исследование 3 июня 2026

Человеческий фактор в ИБ: как снизить риск через обучение

Большинство инцидентов в информационной безопасности начинаются не с пробитой технологии, а с действия человека: сотрудник открыл фишинговую ссылку, переслал данные «коллеге» по телефону, поставил слабый пароль или запустил «теневой» сервис в обход ИБ-службы. Сколько бы ни стоили межсетевые экраны и EDR, одно неосторожное действие способно свести защиту к нулю. **Если коротко:** человеческий фактор — это управляемый риск, а не неизбежность. Снижают его не запретами, а системно: культурой, регулярным обучением, фишинг-симуляциями и понятными процессами, в которых безопасное поведение проще небезопасного. Ниже — почему люди оказываются слабым звеном, какие меры закрывают каждый тип риска и с чего начать программу повышения осведомлённости. Сравнить поставщиков платформ обучения по подтверждённым сигналам можно в [рейтинге платформ обучения ИБ](/rating/security-awareness-training).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Человеческий фактор в ИБ: как снизить риск через обучение — Тематическая иллюстрация к исследованию: Человеческий фактор в ИБ: как снизить риск через обучение. Markus Winkler / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему люди — слабое звено в ИБ

Технологии развиваются предсказуемо, а поведение людей — нет. Атакующему дешевле обмануть человека, чем взломать систему: социальная инженерия не требует уязвимостей нулевого дня и работает против любой инфраструктуры. Этим объясняется устойчивость фишинга как основного вектора входа в корпоративные сети.

Усугубляют ситуацию несколько факторов. Сотрудники перегружены потоком писем и сообщений и действуют на автомате. Под давлением срочности («оплатите счёт сегодня», «это просьба от директора») критическое мышление отключается. Парольная гигиена хромает: одни и те же пароли переиспользуются между сервисами. А запреты ИБ-службы без удобной альтернативы порождают «теневой IT» — личные мессенджеры, облака и сервисы, которые никто не контролирует.

Откуда чаще начинаются инциденты с участием человека

Усреднённая редакционная оценка распределения по открытым отраслевым материалам. Это ориентир, а не точная статистика вашей организации — реальную картину даёт аудит и фишинг-симуляция.

Фишинг и вредоносные вложения 40 доля, оценка

40 доля, оценка

Социальная инженерия (звонки, мессенджеры) 20 доля, оценка

20 доля, оценка

Слабые и переиспользованные пароли 15 доля, оценка

15 доля, оценка

Теневой IT и неконтролируемые сервисы 12 доля, оценка

12 доля, оценка

Ошибки настройки и неосторожная отправка данных 8 доля, оценка

8 доля, оценка

Внутренние злоупотребления 5 доля, оценка

5 доля, оценка

Какие риски создаёт человек и чем их закрывать

Человеческий фактор — не один риск, а несколько разных, и каждый требует своей меры. Универсального «обучите сотрудников» недостаточно: важно сопоставить конкретную угрозу с конкретной комбинацией организационных и технических мер.

Риск от человека	Как проявляется	Чем снижать
Фишинг	Переход по ссылке, ввод пароля на поддельной странице	Обучение + фишинг-симуляции, антиспам, MFA, кнопка «сообщить о письме»
Социальная инженерия	Передача данных «коллеге»/«поддержке» по звонку	Регламент проверки запросов, обратный звонок, культура «не стыдно перепроверить»
Слабые пароли	Простые и переиспользуемые пароли	Менеджер паролей, MFA, парольная политика, отказ от ротации «для галочки»
Теневой IT	Личные облака и мессенджеры в обход ИБ	Удобные легальные альтернативы, каталог разрешённых сервисов, диалог вместо запрета
Неосторожная отправка данных	Письмо «не тому», открытый доступ к файлу	DLP, обучение работе с данными, проверка получателей
Привилегированные злоупотребления	Избыточные права, действия «на эмоциях»	Минимум привилегий, разделение ролей, логирование и мониторинг

Культура важнее запретов

Запреты без удобной альтернативы не работают: люди обходят их, чтобы выполнять свою работу. Цель зрелой программы — сделать безопасное поведение путём наименьшего сопротивления, а не источником лишних шагов.

- **Психологическая безопасность.** Сотрудник, который кликнул по фишингу, должен сообщить об этом немедленно, не боясь наказания. Страх ведёт к молчанию, а молчание — к развитию инцидента. - **Регулярность вместо разовости.** Годовой инструктаж «под роспись» не меняет поведение. Меняют его короткие регулярные касания и тренировки. - **Релевантность роли.** Бухгалтерии нужны сценарии с поддельными счетами, разработчикам — про секреты в коде, руководителям — про целевые атаки (whaling). - **Поддержка сверху.** Если менеджмент игнорирует правила, обучение не приживётся. Тон задаёт руководство.

Зрелость мер против человеческого фактора по эффекту

Редакционная оценка относительного вклада мер в снижение риска для типовой организации. Не вендорский бенчмарк; приоритет под вашу специфику определяется аудитом.

Многофакторная аутентификация (MFA) 90 /100

90 /100

Фишинг-симуляции с разбором 85 /100

85 /100

Регулярное микрообучение 80 /100

80 /100

Менеджер паролей 75 /100

75 /100

Понятный канал «сообщить об инциденте» 70 /100

70 /100

Каталог легальных сервисов против теневого IT 60 /100

60 /100

Чек-лист программы повышения осведомлённости

Базовая линия проведите входную фишинг-симуляцию и опрос, чтобы измерить текущий уровень.

Регулярность запланируйте короткое обучение раз в месяц-квартал, а не один курс в год.

Ролевые треки подготовьте отдельные сценарии для бухгалтерии, разработки, руководителей и поддержки.

Фишинг-симуляции запускайте тренировочные рассылки с обязательным разбором ошибок без наказания.

Кнопка «сообщить» дайте сотрудникам простой способ пожаловаться на подозрительное письмо.

MFA и менеджер паролей закройте парольные риски технически, не полагаясь только на дисциплину.

Альтернатива теневому IT предложите удобные разрешённые сервисы вместо одних запретов.

Метрики отслеживайте долю кликов, скорость репортинга и повторные ошибки по подразделениям.

Поддержка руководства вовлеките менеджмент, чтобы культура задавалась сверху.

Как запустить программу: 5 шагов

01 Оценка
Снимите базовую линию: фишинг-симуляция, аудит паролей и теневого IT, опрос осведомлённости.
02 Приоритеты
По итогам оценки выберите самые болезненные риски и роли — туда направьте первые усилия.
03 Контент и каналы
Подготовьте короткие модули под роли и удобный канал репортинга об инцидентах.
04 Тренировки
Запустите регулярные фишинг-симуляции и микрообучение с безоценочным разбором.
05 Замер и итерация
Отслеживайте метрики, показывайте динамику руководству и корректируйте сценарии.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Платформы обучения и фишинг-симуляций сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом платформ обучения ИБ](/rating/security-awareness-training): здесь — суть проблемы и меры, там — сравнение конкретных поставщиков по подтверждённым фактам.

Актуальный статус российских платформ полезно сверять в проверяемых первоисточниках — [реестре отечественного ПО](https://reestr.digital.gov.ru/) и [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/).

Следующий шаг

Поняли, как снижать человеческий фактор, — переходите к выбору инструментов: **[рейтинг платформ обучения ИБ и фишинг-симуляций →](/rating/security-awareness-training)**. Полезно прочитать рядом: [зачем нужны фишинг-симуляции](/research/zachem-nuzhny-fishing-simulyacii), [как выбрать платформу security awareness](/research/kak-vybrat-platformu-security-awareness) и [рейтинг платформ обучения ИБ 2026](/research/rejting-platform-obucheniya-ib-2026).

Частые вопросы

Что такое человеческий фактор в информационной безопасности?

Это риск инцидентов, вызванных действиями людей: переходом по фишинговым ссылкам, передачей данных под действием социальной инженерии, слабыми паролями, использованием неконтролируемых сервисов. По разным оценкам, человек участвует в большинстве успешных атак, поэтому он считается самым уязвимым звеном защиты.

Почему обучение эффективнее запретов?

Запреты без удобной альтернативы люди обходят, чтобы выполнять работу, — так рождается теневой IT. Обучение и удобные процессы меняют само поведение и делают безопасный путь проще небезопасного, а это устойчивее любого жёсткого правила.

Зачем нужны фишинг-симуляции, если есть антиспам-фильтры?

Фильтры ловят не всё, а цель симуляции — тренировка реакции человека на письма, которые прошли защиту. Регулярные тренировочные рассылки с безоценочным разбором снижают долю кликов и ускоряют сообщение о подозрительных письмах. Подробнее — в материале зачем нужны фишинг-симуляции.

Как измерить эффект программы повышения осведомлённости?

По динамике метрик: доля кликов в фишинг-симуляциях, скорость и частота репортинга об инцидентах, число повторных ошибок по подразделениям, результаты опросов. Важно снять базовую линию до старта, чтобы видеть прогресс.

Где сравнить платформы обучения и фишинг-симуляций?

В рейтинге платформ обучения ИБ — поставщики ранжированы по подтверждённым сигналам, а не по рекламе. Как выбирать, описано в гайде как выбрать платформу security awareness.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг платформ обучения ИБ Сравнить поставщиков по подтверждённым сигналам Зачем нужны фишинг-симуляции и как их правильно проводить Как выбрать платформу security awareness: критерии сравнения Рейтинг платформ обучения ИБ и фишинг-симуляций 2026