Вы отправляете сотрудникам письмо: просите включить 2FA для рабочей почты и начать пользоваться менеджером паролей.

Один сотрудник открывает инструкцию сразу. Недавно взломали аккаунт его знакомого, и теперь он боится, что это случится и с ним.

Второй оставляет письмо на потом. Он понимает, что это важно, но задача выглядит большой и сложной: нужно разобраться, как перенести доступы, запомнить мастер-пароль и при этом не потерять доступ к рабочим программам.

Третий не видит проблемы и просто закрывает письмо: «Да кому я нужен, чтобы меня взламывать».

У этих сотрудников есть нужные знания и навыки — все трое прошли курс и сдали тест по теме. Но когда доходит до дела, каждый поступает по-своему.

В статье посмотрим на это через теорию защитной мотивации: почему знания не всегда превращаются в действия и как ИБ-команда может помочь сотрудникам перейти от «разберусь потом» к «сделаю сейчас».

Теория защитной мотивации

Protection Motivation Theory, или теория защитной мотивации, объясняет, как человек реагирует на информацию об угрозе — пытается защититься или оставляет все как есть.

Сначала эту теорию применяли в здравоохранении. С ее помощью изучали, почему люди меняют привычки, связанные со здоровьем: бросают курить, пользуются солнцезащитным кремом или проходят профилактические обследования.

PMT проверяли в метаанализах: на десятках исследований и тысячах участников. Теория помогает предсказывать намерения и поведение людей, а значит — понимать, на что влиять в обучении и коммуникации.

В ИБ сотрудник тоже заранее узнает об угрозе и выбирает, что делать дальше. PMT помогает разобрать это решение на части и понять, почему знания и навыки не всегда превращаются в безопасное поведение.

Для ИБ-команды это вопрос управления человеческим риском. То, что сотрудники знают правила — не гарантирует снижения риска. А бесконечно усложнять правила и процессы нельзя: чем тяжелее безопасный шаг, тем чаще его откладывают.

Как мы принимаем решение защититься или оставить все как есть

В PMT выбор защититься складывается из двух оценок: насколько угроза кажется серьезной и насколько человек верит, что сможет с ней справиться.

Посмотрим на второго сотрудника из нашего примера. Он согласен с тем, что это важные действия, но откладывает их на потом. Чтобы понять почему, разложим его решение по PMT.

Если представить это как внутренний монолог, он звучал бы примерно так:

«Пароль от почты могут украсть. Насколько это реально? Меня раньше не взламывали, но у знакомых такое было. Что предлагают? 2FA, разные пароли, менеджер паролей. 2FA я, наверное, настрою: телефон под рукой, инструкция есть. А вот с паролями сложнее. Сейчас один пароль везде — удобно, я его помню. Если переходить на менеджер, нужно переносить доступы, придумать мастер-пароль и ничего не потерять. Надо будет выделить на это время».

В реальности человек не проговаривает это так подробно и не садится взвешивать все за и против. Такая проверка занимает несколько секунд и часто проходит почти автоматически.

В итоге человек либо делает сразу, либо откладывает. Этот момент можно назвать порогом принятия решения — точкой, где мотивации уже хватает, чтобы перейти от бездействия к защите.

У 2FA этот порог ниже: действие короткое и понятное, телефон под рукой, инструкция есть. Поэтому сотрудник скорее скажет: «Окей, сейчас настрою».

У менеджера паролей порог выше: нужно больше времени и больше уверенности, что все получится. Поэтому появляется другое решение: «Да, надо бы, но разберусь потом».

PMT помогает точнее посмотреть на ситуацию, которую обычно описывают как «сотрудник не выполняет правила». Теория переводит этот разговор в практическую плоскость: что мешает сотруднику сделать следующий шаг.

Для ИБ-команды такой расчет становится картой барьеров, с которыми можно работать.

Как помочь сотруднику перейти от «разберусь потом» к «сделаю сейчас»

Посмотрим, как ИБ-команда может работать с каждой частью PMT.

Показывайте последствия, но не запугивайте

Здесь ИБ-команда работает с оценкой угрозы: помогает сотруднику увидеть серьезность риска и связь с его работой.

В одном эксперименте участвовали около 400 сотрудников из четырех компаний.

Исследователи сравнивали обычное обучение по политикам ИБ и обучение, где отдельно показывали угрозы и последствия нарушений.

Речь была не про увольнение или наказание, а про последствия для работы: потерю файлов проекта, сбои в процессе, ущерб для команды.

Группы, которые прошли обучение с аргументами про угрозы и последствия, кликали реже: 17% и 25% против 34% в контрольной группе.

Это хороший пример того, как можно поднять оценку угрозы. Фишинг перестает быть общей темой из курса и связывается с тем, что сотруднику понятно: проектом, файлами, сроками и командой.

Но здесь важно не передавить.

В научной литературе есть неплохо изученный эффект связи страха и мотивации. Кажется, чтобы люди начали вести себя безопасно, им нужно как можно нагляднее показать последствия.

На самом деле, страх помогает только до определенного предела. Если человек видит риск и понимает, что может с ним справиться, у него появляется мотивация действовать. Если тревоги слишком много, включается другая реакция: отстраниться, закрыть письмо, забыть, сделать вид, что проблемы нет.

Этот эффект сначала изучали в здравоохранении, в том числе на теме курения. Когда человека слишком сильно пугают раком легких, тревога может стать такой высокой, что он начнет защищаться от нее привычным способом — например, курить еще больше.

Объяснять последствия и личную ответственность нужно, но нельзя с этим передавить. Обучение И Б должно вызывать чувство контроля, а не беспомощности.

Покажите, как защитное действие меняет исход атаки

Сотрудник может понимать риск и все равно сомневаться в решении. 2FA нужна, но ведь ее тоже обходят. Менеджер паролей вроде безопаснее, но вдруг это просто еще одно место, где хранятся все доступы.

В PMT это называется эффективностью решения: человек должен верить, что защитная мера реально снижает риск.

Поэтому лучше показывать правило через сценарий: что могло случиться без защитной меры и как эта мера меняет ход атаки.

Так сотрудник видит эффект защитной меры. Один украденный пароль мог открыть доступ ко всей рабочей среде, но 2FA или разные пароли разрывают эту цепочку.

Такое объяснение важно адаптировать под роль. Сотруднику важно, что он сохранит доступ и не сорвет работу. Руководителю команды — что одна ошибка не остановит проект, а ИБ-команде — что мера снижает риск в конкретной цепочке атаки.

Помогайте применить правило на практике

В исследованиях PMT самоэффективность — важный фактор защитного поведения: человек чаще действует, когда верит не только в угрозу и решение, но и в собственную способность применить это решение.

Сотрудник может понимать пользу менеджера паролей и 2FA, но откладывать настройку, потому что боится сделать что-то не так. Боится забыть мастер-пароль, не разобраться с инструкцией, потратить слишком много времени и не успеть сделать рабочие задачи.

Поэтому ему нужна поддержка: что сделать, сколько это займет, что может пойти не так и куда обратиться за помощью.

Так правило становится выполнимым. Сотрудник видит риск, понимает защитную меру и знает, где получить помощь, если что-то пойдет не так.

Угроза реальна, решение понятно, поддержка рядом — значит, «я справлюсь».

Снижайте стоимость решения

Стоимость решения в теории защитной мотивации — это то, насколько сложным для человека выглядит защитное действие: сколько времени оно займет, сколько шагов потребует и насколько помешает привычной работе.

Например, для профилактики рака кожи людям дают две рекомендации — пользоваться кремом и меньше находиться на солнце.

Исследования показали, что добиться выполнения первой рекомендации гораздо проще. Меньше быть на солнце — сложнее: нужно менять график, маршрут, одежду или рабочие привычки.

В одном из исследований PMT это проверили на строителях. Рабочие много времени проводят на солнце, поэтому входят в группу риска.

Когда рядом с учебными материалами и плакатами поставили дозаторы с бесплатным кремом, рекомендацию стало проще выполнить: крем не нужно покупать, носить с собой и вспоминать о нем заранее.

Стоимость действия снизилась, и людям стало легче защищаться. Без доступного крема пропаганда не работала: самостоятельно покупать и носить с собой крем слишком «дорого».

В ИБ логика такая же — чем меньше усилий требует безопасный шаг, тем выше шанс, что сотрудник его сделает.

Если вы просите включить 2FA, дайте прямую ссылку на настройку, короткую инструкцию и понятный способ восстановить доступ. Если просите перейти на менеджер паролей, начните с одного шага: перенести рабочую почту и основные сервисы. Если хотите, чтобы сотрудники сообщали о фишинге, сделайте кнопку или короткий канал для репорта, а не длинную инструкцию на портале.

Сотрудник быстрее переходит к действию, когда защита встроена в рабочий процесс и не требует отдельного подвига.

Давайте обратную связь после имитированной атаки

Имитированная атака сама по себе не меняет поведение — она показывает сотруднику: «со мной тоже это может случиться».

Но этого мало — потом важно объяснить, что именно произошло и как действовать в следующий раз.

Это проверили в полевом эксперименте на 11 802 сотрудниках крупной медицинской компании в США.

Им отправили первое тестовое фишинговое письмо, а потом выделили три группы в зависимости от реакции:

Кликнул или открыл вложение — попался на фишинг.
Не кликнул, но и не сообщил в ИБ.
Не кликнул и сообщил в ИБ.

После этого часть сотрудников получила обратную связь.

Тем, кто ошибся, сразу показывали объяснение: это было тестовое письмо, вот что должно было насторожить, вот что делать в следующий раз.

Тем, кто не перешел по ссылке, но промолчал, через неделю отправляли письмо: хорошо, что вы не кликнули, но подозрительные письма нужно не просто игнорировать, а передавать в ИБ.

Через две недели всем отправили второе тестовое письмо и посмотрели, изменилось ли поведение.

Обратная связь сильнее всего помогла тем, кто уже ошибся: повторная ошибка снизилась с 50% до 40%. Еще она помогла тем, кто не кликнул, но промолчал: они чуть реже ошибались во второй раз и чаще сообщали о письме в ИБ.

Имитированная атака повышает оценку угрозы: человек видит, что риск касается лично его. Обратная связь добавляет ощущение контроля: сотрудник понимает, какие признаки пропустил и что сделать в следующий раз.

Как проверить PMT на практике

Допустим, сотрудники не подключают менеджер паролей.

Можно сказать: «Они не понимают риски». А можно проверить точнее: риск кажется им далеким, инструмент не вызывает доверия, есть страх потерять доступ или задача выглядит слишком большой для рабочего дня.

Для этого при аудите можно провести короткий опрос. Он не заменяет данные о поведении, но помогает понять, где именно не складывается решение.

Вопросы можно дать в формате утверждений и попросить оценить согласие по шкале от 1 до 5.

Ответы на опрос полезно сравнить с поведением: кто включил 2FA, кто начал пользоваться менеджером паролей, кто сообщает о подозрительных письмах, кто откладывает действие или повторяет одну и ту же ошибку в имитированных атаках.

Ответы лучше смотреть не только в среднем по компании, но и по отдельным группам. Одна и та же коммуникация не сработает одинаково для всех: роли, задачи, привычки и уровень цифровой грамотности влияют на то, как сотрудники воспринимают риск и защитные меры.

Так ИБ-команда видит не средний результат по компании, а разные профили поведения.

Потенциальный секьюрити-чемпион;«Взлом пароля опасен, и меня это тоже касается».;«Я могу настроить 2FA, поставить менеджер паролей и не использовать один пароль везде».;Настроит 2FA, перейдет на менеджер паролей, сам разберется с инструкцией.;Поддерживать и усиливать влияние: вовлекать в пилоты, просить обратную связь, приводить как пример для команды. Тревожный;«Я понимаю, что пароль могут украсть, и меня это пугает».;«2FA настраивать долго, с менеджером паролей можно запутаться, вдруг я потеряю доступы».;Отложит действие или выберет самый простой шаг. Может избегать темы, чтобы лишний раз не нервничать.;Снизить сложность: дать короткую инструкцию, понятный первый шаг, помощь при настройке и сценарий восстановления доступа. Оптимист;«Меня это вряд ли коснется».;«Если понадобится, я все настрою».;Пока ничего не делает. Может включиться, если увидит риск на своем примере.;Показать личную уязвимость: имитированные атаки, сценарии для его роли, последствия для проекта или команды. Игнорщик;«Это не опасно» или «меня это не касается».;«Сложно, долго, да и все равно не поможет».;Не следует рекомендациям и не видит смысла что-то менять.;Одной коммуникации мало. Нужны ограничения и поддержка: например, доступ к системе только с 2FA, простая настройка и понятный канал помощи.

Не обязательно разбираться, почему сообщение сработало для одной группы и не сработало для другой. Иногда достаточно увидеть, как люди реагируют по факту в конкретной ситуации, и принять это в расчет.

Короткий чек-лист для ИБ-команды

Перед запуском обучения, имитированной атаки или другой меры полезно проверить, помогает ли она сотруднику дойти до действия.

Есть ли у риска понятный защитный шаг: что сделать, сколько это займет и куда обратиться за помощью?
Понимает ли сотрудник, как именно мера меняет исход атаки?
Связан ли риск с рабочей ситуацией сотрудника: ролью, проектом, командой?
Может ли сотрудник выполнить действие без отдельного подвига: лишних шагов, долгой инструкции и поиска нужного контакта?
Есть ли поддержка, если что-то пойдет не так?
Не оказывается ли старый способ быстрее и удобнее прямо сейчас?
Видит ли ИБ-команда различия между группами, а не только средний результат по компании?

PMT не объясняет каждый отдельный поступок сотрудника. На поведение влияет не только личная мотивация, но и среда вокруг человека: как в компании говорят об ошибках, как устроены рабочие процессы и как команда относится к требованиям ИБ.

Поэтому PMT лучше использовать как способ задавать более точные вопросы. Где сотрудник не видит угрозу? Где не верит в защитную меру? Где боится не справиться? Где действие кажется слишком сложным?

Если модель помогает только разобрать ошибку после инцидента и не меняет следующие действия ИБ-команды, практической пользы становится меньше.