Почему обучение по ИБ не работает и что с этим делать в 2026

Компании годами инвестируют в обучение по информационной безопасности: покупают курсы, проводят тесты и измеряют процент сотрудников, которые их проходят. На бумаге все хорошо — показатели растут, отчеты выглядят убедительно.

Но инциденты продолжаются и вопрос остается тем же: почему знание правил не превращается в безопасное поведение?

Один из участников отраслевой дискуссии поделился статистикой внутренних фишинговых тренировок. В одной из таких рассылок, отправленной примерно 500 сотрудникам, около 41% получателей перешли по ссылке или открыли вложение. Из них 34% ввели корпоративные логины и пароли на поддельной странице, а 15% продолжали вводить данные повторно даже после неудачной попытки авторизации.

Такие примеры часто звучат в разговорах с CISO, руководителями ИБ и IT — на конференциях, закрытых встречах и дискуссиях. Форматы этих разговоров разные, но вывод одинаковый: привычная модель обучения по ИБ не дает того эффекта, на который рассчитывают компании.

В этой статье мы собрали ключевые выводы из таких обсуждений и разобрали, почему обучение часто не меняет поведение сотрудников — и как подход People-Centric Security помогает по-новому работать с человеческим фактором и снижать риск инцидентов.

Во многих компаниях обучение по информационной безопасности — курсы, тесты и фишинговые тренировки — существует как формальное требование, а не как часть повседневной работы. Оно отделено от рабочих процессов: сотрудники проходят курс, закрывают его и отчитываются о завершении.

В классической модели внимание сосредоточено на прохождении обучения, а не на изменении поведения сотрудников.

Эффективность измеряют процентом завершенных курсов, результатами тестов и показателями учебных фишинговых атак. Эти метрики удобны для отчетности, но почти ничего не говорят о том, как человек поведет себя в реальной ситуации — когда действует под давлением или в спешке.

Это особенно заметно, когда компании пытаются понять, что считать успехом обучения. Один из руководителей ИБ крупной компании описывает это так:

Эта мысль хорошо показывает, что именно важно во время атаки.

В классической модели ошибка воспринимается как провал обучения. Но даже самый внимательный сотрудник может ошибиться — критичным становится не сам клик, а то, что человек делает дальше.

То, что сотрудник делает после клика — скорость реакции и готовность сообщить об атаке — почти не учитывается в традиционных метриках. В результате компании продолжают инвестировать в курсы и тесты, но уровень защищенности почти не меняется.

Об этом же говорят специалисты по тестированию безопасности. Когда обучение начинают измерять KPI, фокус постепенно смещается с безопасности на показатели.

В таких условиях сотрудники привыкают к учебным сценариям и учатся «играть в тренировку», тогда как реальные атаки почти никогда не выглядят так, как в методичках.

Атаки все чаще начинаются с человека

Специалисты по информационной безопасности отмечают, что большинство атак начинается с социальной инженерии — даже когда дальше используются технические инструменты. То же показывают и данные ежегодных отраслевых отчетов по кибербезопасности.

Во многих случаях такие инциденты начинаются одинаково: не с технической уязвимости, а с обычного письма, сообщения в мессенджере или звонка, который поначалу никто не воспринимает как атаку.

Один из экспертов по кибериспытаниям на отраслевой дискуссии поделился таким наблюдением:

Такие атаки работают именно потому, что выглядят как обычные рабочие ситуации. Письмо может выглядеть как запрос от коллеги, сообщение — как срочная задача от руководителя, звонок — как обращение в поддержку. В таких условиях у человека меньше времени на проверку и больше причин доверять.

ИИ делает атаки правдоподобнее

Фишинг, фейки и дипфейки становятся все убедительнее. Сообщения пишутся без ошибок и с учетом роли сотрудника, голос в телефонном разговоре звучит как голос реального руководителя, а сайты и интерфейсы выглядят привычно.

Как отметил один из спикеров дискуссии:

В результате отличить атаку от обычной рабочей ситуации становится все сложнее — на это обращали внимание многие участники обсуждений.

Данные о сотрудниках доступны в открытых источниках

Еще один фактор, который упрощает подготовку таких атак, — объем открытых данных о сотрудниках.

Профили в социальных сетях, публичные выступления, интервью и фотографии дают злоумышленникам достаточно материала, чтобы имитировать голос, стиль общения или рабочие ситуации — например, переписку с коллегами, просьбы руководителя или обсуждения проектов.

Как заметил один из коллег:

При этом никуда не исчезли и «классические» атаки — подбор учетных данных, атаки на веб-сервисы и автоматизированные сканирования инфраструктуры. Но все чаще такие методы становятся частью более сложных сценариев: сначала человека вовлекают в рабочую ситуацию, а уже потом используют технические приемы.

Атаки стали дешевыми и массовыми

Еще одно изменение, о котором говорили участники дискуссий, — скорость. Злоумышленники внедряют новые инструменты быстрее, чем компании успевают перестраивать процессы защиты. Им не нужны согласования и регламенты — достаточно, чтобы атака срабатывала «в среднем»:

Эту логику хорошо показывает один из экспериментов наших коллег. Исследователь решил собрать полный сценарий атаки на компанию, используя только открытые данные и публичные сервисы.

Информация о сотрудниках нашлась в социальных сетях и на корпоративных страницах, домены и технические параметры инфраструктуры — в открытых базах и сервисах разведки.

В итоге полный сценарий атаки удалось собрать примерно за 500 рублей — это стоимость нескольких онлайн-сервисов и инструментов.

Этот эксперимент показывает, насколько низким стал порог входа для атакующих.

Знать правила не значит действовать безопасно

Большинство сотрудников знают базовые правила информационной безопасности. Они слышали про фишинг, подозрительные ссылки и социальную инженерию. Но знание этих правил не означает, что человек будет действовать так же в реальной ситуации.

Специалисты по безопасности говорят об этом так: знание правил и поведение — разные вещи.

Когда сотрудник проходит курс по ИБ, он находится в учебном контексте. У него есть время, внимание и понятная задача — ответить правильно. В такой ситуации большинство людей действительно выбирает безопасный вариант.

Но реальная атака выглядит иначе. Она приходит в момент, когда человек занят работой: нужно срочно ответить на письмо, проверить документ, решить вопрос по проекту или выполнить просьбу руководителя.

В этот момент сотрудник действует не как слушатель курса по безопасности, а как участник рабочего процесса. Его задача — быстро решить рабочий вопрос и не задержать работу команды.

Именно поэтому многие атаки оказываются успешными даже в компаниях, где сотрудники регулярно проходят обучение.

Требования безопасности не всегда вписываются в рабочие процессы

Еще одна проблема, о которой говорили участники дискуссий, — разрыв между требованиями безопасности и реальной работой сотрудников.

Правила безопасности часто усложняют рабочие процессы. Если требование замедляет работу или делает ее неудобной, сотрудники начинают искать обходные пути.

Как отметил один из участников дискуссии:

Об этом говорят и научные исследования.

В результате безопасность начинает существовать отдельно от реальной работы. Формально политики соблюдаются, но реальные процессы происходят рядом — и часто без участия ИБ.

Ошибка становится проблемой, когда о ней молчат 

Участники дискуссий отмечали, что самая опасная ситуация для безопасности — не сама ошибка сотрудника. Критический момент возникает тогда, когда человек не сообщает о ней.

Если сотрудник боится наказания или разбирательства, он может скрыть проблему или отложить сообщение об инциденте. В этот момент команда безопасности теряет самое важное — информацию о происходящем.

Иногда сотрудники пытаются решить ситуацию самостоятельно — например, предупредить коллег. Но такие действия могут только ускорить распространение атаки.

Во время одной из внутренних фишинговых тренировок компания отправила сотрудникам письмо о кадровых вопросах — один из самых эффективных сценариев социальной инженерии.

Несколько сотрудников перешли по ссылке и ввели учетные данные. Один из них решил предупредить коллег и переслал ссылку из письма в общий рабочий чат.

В результате другой сотрудник открыл ссылку уже из чата и тоже ввел свои данные.

Так компания получила больше скомпрометированных учетных записей, чем отправила писем.

Этот пример показывает, как быстро атака может распространяться внутри одной компании.

Обучение не учитывает давление и контекст, в котором люди принимают решения

Современные атаки специально создают ситуацию срочности и авторитета. Нужно решить вопрос прямо сейчас, запрос выглядит знакомо, времени на перепроверку почти нет. В таких условиях человек принимает решение быстро и опирается на рабочий контекст, а не на правила из курсов по ИБ.

CEO Start X и эксперт в кибербезопасности Сергей Волдохин отмечал, что это особенно заметно в голосовых атаках:

При этом обучение по ИБ часто воспринимается сотрудниками как обязательная процедура, а не как поддержка. Когда безопасность приходит в виде требований, политик и KPI, сотрудники начинают воспринимать ее как формальность.

На дискуссиях коллеги часто возвращались к одной и той же мысли: проблема не в отдельных сотрудниках. Это сигнал о том, что сама модель работы с человеческим фактором устарела и требует пересмотра.

Если большинство атак начинается с человека, значит система защиты должна работать с поведением людей так же, как работает с техническими уязвимостями.

Из этой логики появился подход People-Centric Security — модель, в которой сотрудники рассматриваются не как слабое звено, а как полноценная часть архитектуры безопасности.

В классической модели задача компании — передать сотрудникам знания о правилах безопасности. Предполагается, что если человек знает правила, он будет действовать безопасно.

Подход People-Centric Security предлагает посмотреть на эту задачу иначе. Вместо попытки «исправить» сотрудников компания встраивает человека в систему безопасности и выстраивает процессы защиты вокруг того, как люди действительно работают.

Иначе говоря, безопасность должна подстраиваться под рабочие процессы людей, а не требовать, чтобы люди подстраивались под безопасность.

People-Centric Security строится на трех принципах работы с человеческим фактором.

Тренировать навыки сотрудников в реалистичных сценариях атак

В подходе People-Centric Security обучение перестает быть отдельной активностью вроде ежегодного курса. Оно становится частью общей системы безопасности и встроено в повседневные процессы сотрудников.

Задача обучения — не просто передать знания, а сформировать устойчивое безопасное поведение.

Для этого обучение выстраивается как последовательный процесс:

• сотрудники получают знания о типах атак и правилах безопасности;
• пробуют применять их в интерактивных тренажерах и имитированных атаках;
• регулярно тренируют навыки безопасного поведения;
• постепенно формируют насмотренность — способность быстрее замечать подозрительные ситуации в рабочих письмах, документах и запросах.

Такой подход позволяет довести безопасные реакции до автоматизма. В момент атаки у сотрудника редко есть время на подробный анализ: решение принимается быстро, в условиях рабочей нагрузки и срочных задач.

Важно и то, как устроены сами сценарии тренировок.

Злоумышленники редко используют очевидные признаки атаки. Они создают правдоподобные рабочие ситуации: письмо от контрагента, срочную просьбу от руководителя или уведомление от знакомого сервиса. Человек быстро оценивает ситуацию — соответствует ли она его роли, задачам и привычным процессам — и принимает решение.

Поэтому имитированные атаки должны воспроизводить именно такие сценарии. Чем ближе они к реальной работе сотрудников, тем быстрее формируется опыт распознавания атак.

Например, бухгалтер может получить письмо от «контрагента» с уточнением реквизитов, а маркетолог — предложение рекламного размещения. Такие сценарии проходят тот же «фильтр на правдоподобность», через который сотрудники ежедневно оценивают рабочие сообщения.

Когда обучение строится вокруг реальных рабочих ситуаций, сотрудники быстрее начинают распознавать атаки и увереннее реагируют на подозрительные запросы.

В результате курсы, тренировки, коммуникация и инструменты обнаружения начинают работать как единая система.

Измерять уровень защищенности сотрудников

Один из первых шагов в этой модели — по-другому измерять поведение сотрудников.

В классической модели обучения эффективность обычно оценивают по формальным показателям:

• процент сотрудников, прошедших курсы;
• результаты тестов;
• доля кликов в учебных фишинговых рассылках.

Такие метрики удобны для отчетности, но плохо отражают реальную устойчивость компании к атакам.

Поэтому компании начинают смотреть на поведение сотрудников:

• скорость сообщения о подозрительном письме;
• количество сигналов о возможных атаках;
• типы сценариев, в которых сотрудники чаще ошибаются;
• динамику поведения сотрудников со временем.

В таких метриках важен не сам факт ошибки. Сотрудник может перейти по ссылке или открыть вложение — это неизбежно происходит даже в хорошо защищенных компаниях. Критичным становится другое: насколько быстро человек понимает, что ситуация подозрительная, и сообщает об этом службе безопасности.

На одном из отраслевых обсуждений руководитель ИБ крупной телеком-компании рассказал, как в компании решили проверить связь между метриками обучения и реальным поведением сотрудников.

Формальные показатели выглядели хорошо: сотрудники успешно проходили курсы и тесты, а отчеты показывали высокий процент завершения обучения. Но результаты фишинговых тренировок почти не менялись из года в год.

После анализа компания изменила подход к оценке эффективности обучения. Вместо прохождения курсов начали измерять скорость, с которой сотрудники сообщают о подозрительных письмах.

В результате сотрудники начали сигнализировать о фишинговых письмах примерно через 5 минут после получения, а время реакции сократилось примерно в 15 раз.

Этот пример показывает, как изменение метрик напрямую влияет на реальную устойчивость компании к атакам.

Интегрировать человека в системы безопасности

Если обучение сотрудников не связано с другими системами безопасности, оно остается изолированной активностью. Сотрудники проходят курсы и тренировки, но результаты этого обучения никак не влияют на процессы выдачи доступов, расследования инцидентов или мониторинга угроз.

Когда компания начинает регулярно измерять поведение сотрудников, появляется новый тип данных — данные о человеческом факторе. Их можно использовать в других процессах безопасности так же, как используются данные о технических уязвимостях или инцидентах.

Например, в системах управления доступами.

Если сотрудник запрашивает доступ к чувствительным данным или внутренним сервисам, система может учитывать его уровень защищенности: проходил ли он обучение, как реагирует на имитированные атаки и насколько часто сообщает о подозрительных событиях.

Если уровень защищенности достаточный — доступ можно предоставить. Если нет — сотруднику может потребоваться дополнительная тренировка или подтверждение доступа.

Похожая логика может использоваться и в системах предотвращения утечек данных.

DLP-системы позволяют обнаруживать нарушения политики безопасности, но после расследования часто оказывается, что инцидент произошел не из злого умысла, а из-за нехватки знаний или опыта. В таких случаях система может автоматически назначить сотруднику дополнительное обучение или тренировку.

Еще одна важная точка интеграции — системы мониторинга инцидентов.

Во многих компаниях безопасность до сих пор строится вокруг контроля: правил, проверок и санкций за ошибки. В такой системе сотрудники могут воспринимать службу безопасности как контролирующий орган, а не как поддержку. У такого подхода есть побочный эффект: люди реже сообщают о проблемах.

Иногда сотрудник не понимает, что столкнулся с атакой, не хочет создавать лишнюю тревогу или просто боится последствий. В результате подозрительные ситуации или собственные ошибки остаются внутри команды и не доходят до службы безопасности.

Как заметил Сергей Волдохин на одной из дискуссий:

Поэтому в подходе People-Centric Security важна не только подготовка сотрудников, но и среда, в которой они работают. 

Именно сотрудники первыми сталкиваются с атакой: получают письмо, отвечают на звонок или открывают сообщение в мессенджере. Во многих случаях они становятся первым источником сигнала о происходящей атаке — раньше, чем ее фиксируют системы мониторинга.

Сергей Волдохин формулирует это так:

Если компания получает такой сигнал быстро, команда безопасности может обнаружить атаку на ранней стадии и ограничить ее распространение.

Работает простое правило: если у сотрудника возникает сомнение в рабочем сообщении, запросе или письме, он может проверить ситуацию без риска для себя. Сообщения о подозрительных событиях поощряются и не воспринимаются как ошибка.

Чтобы это правило работало на практике, сотрудникам нужен понятный и быстрый способ передать подозрительное сообщение команде безопасности.

Например, через плагин Start AWR сотрудники сообщают о подозрительных письмах напрямую команде ИБ в один клик. Плагин отфильтровывает имитированные атаки и передает специалистам только реальные письма, а за репорты атак сотрудники получают дополнительные баллы в рейтинге.

Запишитесь на бесплатное демо, и мы покажем, как Start AWR помогает внедрить подход People-Centric Security и встроить работу с человеческим фактором в процессы безопасности компании.

Когда обучение, метрики поведения и инструменты защиты начинают работать вместе, сотрудники перестают быть слабым звеном и становятся частью системы обнаружения и предотвращения атак. Именно в этот момент обучение перестает быть формальной процедурой и начинает реально снижать риск инцидентов.