Сотрудник кликнул — и компания потеряла всё. Почему обучение по кибербезопасности не роскошь, а необходимость

Сотрудник получает письмо с темой "Расчёт премий" от якобы HR-отдела, кликает по ссылке — и предоставляет логин с паролем на поддельной странице. Через час хакеры в корпоративной сети. Это не фантастика: в реальных тренировках такие сценарии успешны в 66,5% случаев.

Но у той же компании, где персонал проходит регулярные занятия по кибербезопасности, этот показатель падает до 2%. Разрыв в 33 раза — не технология, а человеческий фактор. И именно его можно изменить не кодом, а обучением.

Как выглядит современный фишинг и почему он работает

Согласно совместному исследованию МегаФона и "Лаборатории Касперского", основанному на данных платформ МегаФон Security Awareness и Kaspersky Automated Security Awareness Platform за период с января по октябрь 2025 года, фишинг остаётся основным вектором атак на бизнес. Злоумышленники больше не рассылают письма с "выигрышем в лотерею" — они имитируют внутренние корпоративные коммуникации.

Наибольший отклик вызывают сообщения, имитирующие работу HR-отдела: "Расчёт премий" (66,5% переходов), ИТ-службы: "Пароль к вашему аккаунту изменён" (24%), и службы информационной безопасности: "Нарушение корпоративной политики использования интернет-ресурсов" (20%). Эти темы работают, потому что вызывают либо интерес, либо тревогу — эмоции, подавляющие критическое мышление.

В ходе тестовых рассылок выяснилось, что 40% сотрудников переходят по подозрительным ссылкам, 10% вводят учётные данные на фальшивых страницах, а 9% открывают вложения, которые в реальной атаке содержали бы вредоносный код. В отдельных компаниях уровень компрометации достигал 38% - это означает, что более трети персонала готов передать доступ к корпоративным ресурсам при минимальном психологическом давлении.

Сравните: если 10 лет назад фишинг требовал грубых ошибок (орфография, подозрительные домены), то сегодня письма почти неотличимы от легитимных. Поддельные страницы используют SSL-сертификаты, копируют дизайн корпоративных порталов, а домены регистрируются с опечатками. Только обученный глаз замечает несоответствие в URL или необычный адрес отправителя.

Почему сотрудники верят фальшивкам? Потому что они не ожидают обмана от "своих". Доверие к внутренним системам — сильная сторона корпоративной культуры и одновременно её уязвимость.

Эффект обучения: цифры, которые говорят сами за себя

Регулярное обучение кардинально меняет поведение персонала. Среди тех, кто прошёл курсы цифровой грамотности, лишь 7% открывают подозрительные письма. Это в шесть раз меньше, чем в среднем по выборке. Ещё более впечатляющ результат по переходам по ссылкам: 2% (в 20 раз ниже, чем у необученных). А компрометация данных падает до 0,2% - это в 190 раз ниже пикового показателя в 38%.

Эти цифры не абстрактны. Они означают, что одна тренировка в квартал снижает риск утечки данных на два порядка. Технические средства (антивирусы, фильтры) блокируют 80-90% угроз, но оставшиеся 10-20% проходят через человека. Именно здесь срабатывает "человеческий файрволл" — осознанность и навык проверки.

Типичная ошибка компаний — считать, что однократный инструктаж достаточно. Последствие — через 3-6 месяцев уровень осведомлённости возвращается к исходному. Альтернатива — систематический подход: короткие модули каждые 1-3 месяца, адаптированные под роль сотрудника (финансисту — сценарии с поддельными платёжками, HR-специалисту — фейковые заявки на вакансии).

А что если обучение скучное и формальное? Оно не работает. Как отметила эксперт Марианна Нечетова из направления повышения цифровой грамотности Kaspersky Security Awareness, "задача обучения — не только давать знания, но и менять отношение к информационной безопасности". Эффективные программы используют реальные примеры, интерактив, симуляции — и немедленную обратную связь после тестового письма.

Что вызывает наибольшее доверие у сотрудников

Анализ показал, что письма с финансовыми и административными темами вызывают максимальную реакцию. Помимо "Премий" и "Изменения пароля", высокий интерес вызвали:

• "Ваша страховая компания отклонила заявление как немедицинское" — 16% поверили;
• "Расчёт налоговых задолженностей за текущий год" — также 16%.

Эти темы работают, потому что затрагивают личные интересы: деньги, здоровье, юридическую ответственность. Злоумышленники эксплуатируют базовые человеческие страхи — потерю дохода, проблемы с законом, угрозу благополучию.

Распространённое заблуждение — что "технические специалисты не поддаются фишингу". На деле даже ИТ-сотрудники могут попасться, если письмо имитирует срочное уведомление от системы мониторинга или партнёра по интеграции. Уровень риска зависит не от должности, а от частоты и качества тренировок.

Разве нельзя автоматизировать защиту полностью? Нет. Атаки всё чаще используют "живые" сценарии: звонок якобы от ИТ-поддержки с просьбой подтвердить данные, после которого приходит письмо. Такие гибридные схемы обходят технические фильтры, но не проходят мимо обученного сотрудника.

Системный подход: обучение как элемент инфраструктуры

Как отметил Демид Балашов, руководитель направления по развитию продуктов кибербезопасности МегаФона, "95% корпоративных клиентов ежегодно повторяют тренировки", но "спрос на такие услуги растёт всего на 3,5% в год". Это означает, что компании понимают ценность обучения, но воспринимают его как формальность, а не как инвестицию в безопасность.

Эффективная программа включает:

• Регулярные симуляции фишинга с последующим разбором ошибок;
• Адаптацию сценариев под департаменты и должности;
• Интеграцию с техническими средствами - например, автоматическое блокирование подозрительных доменов после массового клика;
• Измерение метрик до и после обучения для оценки ROI;
• Культурную трансформацию - поощрение, а не наказание за ошибки при тренировках.

Обучение должно быть не "мероприятием", а частью рабочего процесса — как инструктаж по пожарной безопасности. Без этого даже самый продвинутый EDR-решение окажется бесполезным, если сотрудник сам передаст злоумышленникам ключ от сети.