Текст статьи. В современном деловом мире инвестиции в информационную безопасность (ИБ) часто воспринимаются как гонка технологических вооружений. Компании стремятся приобрести самый дорогой фаервол, внедрить сложные системы обнаружения вторжений (IDS) и зашифровать все каналы связи. Однако, анализируя статистику крупных утечек данных за последние пять лет, можно прийти к парадоксальному выводу: наиболее уязвимым звеном любой, даже самой технологически оснащенной организации, остается человек.
Если в начале 2000-х годов доминирующим типом атак были прямые попытки взлома сетевого периметра, то сегодня ландшафт угроз сместился в плоскость социальной инженерии. Злоумышленники больше не тратят годы на поиск уязвимости нулевого дня (zero-day) в сложном программном обеспечении, если можно просто позвонить сотруднику колл-центра и, представившись службой технической поддержки, вынудить его выдать учетные данные.
По данным исследований, более 80 % инцидентов так или иначе связаны с действиями сотрудников — будь то сознательный саботаж, неосторожность или банальная нехватка цифровой гигиены [6]. Это ставит перед руководителями служб ИБ сложную задачу: как найти баланс между тотальным контролем и сохранением эффективности бизнес-процессов.
Одна из главных проблем современной корпоративной безопасности заключается в конфликте между удобством и защищенностью. Когда политика безопасности становится слишком обременительной (например, требование менять 20-символьный пароль каждые три дня с невозможностью его сохранения), сотрудники находят пути обхода этих правил. Они записывают пароли на стикеры, клеят их на мониторы или используют примитивные шаблоны вроде «Season+Year».
В этом контексте информационная безопасность перестает быть чисто технической дисциплиной и превращается в дисциплину поведенческую. Как отмечается в методологии NIST, эффективная защита строится не на запретах, а на формировании у персонала так называемого «чувства сопричастности» [4]. Когда сотрудник воспринимает конфиденциальные данные не как абстрактную собственность компании, а как зону личной ответственности, уровень риска снижается кратно.
Для того чтобы система защиты информации была устойчива к внутренним угрозам, недостаточно раз в год проводить формальный инструктаж. Необходим комплексный подход, который включает в себя три ключевых элемента:
регулярная симуляция атак — проведение внутренних фишинговых рассылок (с разбором ошибок, а не с целью наказания) позволяет выявить «слабые звенья» в реальном времени; исследования показывают, что после 3–4 учебных атак восприимчивость сотрудников к реальным фишинговым письмам снижается с 30 % до 2–4 % [6];
принцип наименьших привилегий (PoLP) — с технической стороны, критически важно внедрять доступ к информации по принципу «необходимо знать»; часто утечки происходят не из-за злого умысла, а из-за избыточных прав доступа, которые были предоставлены сотруднику для решения смежных задач и не были отозваны после смены функционала [3];
психологический климат — статистика неумолима: большинство преднамеренных инсайдерских угроз совершается сотрудниками, находящимися в состоянии стресса, профессионального выгорания или на этапе увольнения; внедрение программ early warning (раннего предупреждения) во взаимодействии с HR-департаментом позволяет своевременно выявлять потенциально нелояльных сотрудников и ограничивать их доступ к критическим активам [5].
Отношение к информационной безопасности как к затратной, а не инвестиционной статье — это опасное заблуждение. Стоимость восстановления после атаки программы-вымогателя (ransomware) сегодня включает не только выкуп (что делать категорически не рекомендуется большинством регуляторов), но и простой бизнеса, потерю репутации и, что самое важное, колоссальные штрафы со стороны регуляторов за утечку персональных данных.
В условиях ужесточения законодательства оборотные штрафы за утечки персональных данных в российском сегменте достигают значительных величин, что делает вопрос соблюдения требований (комплаенс) приоритетным для бизнеса [7]. Технические средства защиты — это лишь каркас здания. Жизнеспособность этого здания определяет то, как сотрудники взаимодействуют с этим каркасом каждый день. Как подчеркивается в Федеральном законе «О персональных данных», организация обязана принимать меры, направленные на обеспечение безопасности персональных данных при их обработке, что невозможно без учета человеческого фактора [1].
Подводя итог, можно утверждать, что будущее информационной безопасности лежит на стыке технологий и гуманитарных наук. Ни один, даже самый совершенный искусственный интеллект в системах DLP (Data Loss Prevention) не сможет гарантировать защиту, если пользователь сам добровольно предоставляет доступ к защищаемым сведениям.
Развитие «кибергигиены» должно стать таким же естественным процессом в жизни человека, как чистка зубов. Переход от парадигмы «меня поймают и накажут» к парадигме «я защищаю общее дело, потому что понимаю риски» — это единственный долгосрочный способ противостоять современным киберугрозам. Инвестируя в обучение, создавая комфортную среду для соблюдения регламентов и внедряя принципы нулевого доверия (Zero Trust), бизнес строит не просто стену, а действительно живой и адаптивный «человеческий щит» [5; 6].
Список литературы
- Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025) «О персональных данных» // Собрание законодательства РФ. – 2025.
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- National Institute of Standards and Technology (NIST). Building an Information Technology Security Awareness and Training Program (NIST Special Publication 800-50). – Gaithersburg: NIST, 2003. – 48 p.
- McDonough, B. R. Cyber Guardians: Empowering Board Members for Effective Cybersecurity. – Hoboken: John Wiley & Sons, 2024. – 254 p.
- Чернышева, А. Кибергигиена 2.0: от боли к профилактике – путь «Ростелекома» в создании корпоративной киберкультуры // CISOCLUB. – 2024. – 10 декабря. – URL: (дата обращения: 31.03.2026).
- Свириденко, О. Что Роскомнадзор проверит в первую очередь и за что накажет: новые оборотные штрафы за утечку персональных данных // Дело-пресс. – 2025. – 19 мая. – URL: (дата обращения: 31.03.2026).
