Зачем нужны фишинг-симуляции и как их правильно проводить
Фишинг-симуляция — это контролируемая рассылка учебных «фишинговых» писем сотрудникам, чтобы измерить реальную реакцию и научить людей распознавать атаку. Цель — **обучение, а не наказание**: симуляция показывает, где у организации тонко, и даёт повод подтянуть навык, а не повод искать виноватых. **Если коротко:** работают регулярные, а не разовые рассылки; результат измеряется метриками click rate (кто кликнул) и report rate (кто сообщил в службу ИБ); сценарии сегментируются под роли и риски; а сотрудник, попавшийся на учебное письмо, должен сразу получить короткое обучение, а не выговор. Ниже — зачем это нужно, как устроен правильный цикл симуляции, какие метрики смотреть и чек-лист для запуска. Сравнить платформы по подтверждённым сигналам можно в [рейтинге платформ обучения ИБ](/rating/security-awareness-training).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Зачем вообще нужны фишинг-симуляции
Большинство результативных атак начинается с человека: вредоносное вложение, ссылка на поддельную форму входа, письмо «от руководителя» с просьбой срочно оплатить счёт. Технические средства (почтовые шлюзы, антиспам, EDR) перехватывают часть, но не всё — финальное решение «кликнуть или не кликнуть» остаётся за сотрудником.
Лекция и тест «для галочки» этот навык не формируют: человек запоминает не правило, а опыт. Фишинг-симуляция как раз и даёт безопасный опыт — сотрудник в реальной рабочей почте видит учебное письмо, реагирует на него и сразу получает обратную связь. Поэтому симуляции решают сразу несколько задач:
- **дают объективную метрику** реальной уязвимости к фишингу, а не самооценку; - **формируют навык** распознавания через практику, а не теорию; - **проверяют процесс реагирования** — умеют ли сотрудники сообщать об инциденте и доходит ли сигнал до службы ИБ; - **показывают динамику** обученности во времени и эффект от программы security awareness.
Главный принцип: обучение, а не наказание
Симуляция, превращённая в инструмент наказания, разрушает сама себя. Если за клик по учебному письму штрафуют или публично разбирают, люди начинают **бояться и скрывать** инциденты — в том числе настоящие. А именно скорость сообщения о реальной атаке часто определяет масштаб ущерба.
Правильная установка обратная: попался на учебное письмо — это нормальная часть тренировки. Сотрудник тут же видит короткий разбор («вот по каким признакам это можно было распознать») и идёт дальше. Метрики собираются на уровне групп и трендов, а не как «доска позора». Так симуляция повышает не страх, а культуру: сообщать о подозрительном письме становится правильным и поощряемым действием.
Какие метрики смотреть
Две базовые метрики дополняют друг друга, и смотреть только на одну — ошибка.
- **Click rate** — доля сотрудников, кликнувших по ссылке или открывших вложение. Показывает уязвимость. Чем ниже — тем лучше, но сам по себе низкий click rate ещё не значит зрелости. - **Report rate** — доля тех, кто сообщил о письме в службу ИБ. Показывает зрелость реакции. Высокий report rate ценнее низкого click rate: он означает, что люди не просто «не попались», а активно защищают организацию.
Дополнительно полезны: доля открытий письма, время до первого сообщения (чем быстрее — тем лучше), доля повторно «попавшихся» и срез метрик по отделам и ролям. Абсолютные значения зависят от отрасли и зрелости — важнее не разовая цифра, а **динамика от рассылки к рассылке**.
Динамика метрик по ходу программы симуляций
Иллюстративная редакционная оценка типичной траектории зрелой программы. Это не отраслевой бенчмарк и не гарантированный результат — реальные цифры зависят от отрасли, базы и сценариев.
Как устроен правильный цикл симуляции
Симуляция — это не одно письмо, а повторяющийся цикл. Разовая «контрольная» даёт срез, но не формирует навык; работает регулярность (например, ежемесячно или раз в квартал) с постепенным усложнением сценариев. Ниже — что делать на каждом этапе.
| Этап симуляции | Что делать |
|---|---|
| Подготовка | Определить цели и метрики, согласовать с HR и юристами, предупредить о факте программы (без дат и сценариев) |
| Сегментация | Разбить сотрудников по ролям и риску (топ-менеджмент, финансы, ИТ, новички); подобрать релевантные сценарии |
| Сценарий | Выбрать тип письма под сегмент (поддельный вход, «от руководителя», уведомление сервиса), задать уровень сложности |
| Рассылка | Отправить учебные письма волнами, не предупреждая о конкретной дате; не блокировать настоящую почту |
| Обучение | Каждому «попавшемуся» сразу показать короткий разбор признаков; никаких санкций |
| Измерение | Снять click rate и report rate по сегментам, сравнить с прошлой волной |
| Разбор и план | Подсветить уязвимые группы, скорректировать сценарии и темы обучения на следующий цикл |
Чек-лист запуска фишинг-симуляций в организации
На что смотреть при выборе платформы
Провести симуляцию можно и вручную, но на масштабе нужна платформа: библиотека сценариев, автоматическая привязка обучающих модулей, отчётность по метрикам и сегментам, интеграция с почтой и кнопкой «Сообщить о фишинге». На российском рынке этот класс представлен решениями вроде KASAP (Kaspersky ASAP), «Антифишинг», Phishman, StartX и другими — это **ориентир по рынку, а не рейтинг**: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/security-awareness-training).
> Перед закупкой сверяйте актуальный статус продукта в > [реестре отечественного ПО](https://reestr.digital.gov.ru/) и > [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/) — это проверяемые > первоисточники.
Следующий шаг
Поняли, как правильно строить программу симуляций — переходите к выбору инструмента: **[рейтинг платформ обучения ИБ и фишинг-симуляций →](/rating/security-awareness-training)**. Полезно прочитать рядом: [как выбрать платформу security awareness](/research/kak-vybrat-platformu-security-awareness), [рейтинг платформ обучения ИБ 2026](/research/rejting-platform-obucheniya-ib-2026) и [человеческий фактор в ИБ](/research/chelovecheskij-faktor-v-ib).
Частые вопросы
Не демотивирует ли сотрудников фишинг-симуляция?
Нет, если она построена на обучении, а не наказании. Деморализует именно карательный подход: штрафы и публичные разборы заставляют людей скрывать инциденты. Когда клик по учебному письму — это нормальная часть тренировки с коротким разбором, симуляция, наоборот, повышает доверие и культуру сообщения об угрозах.
Как часто проводить симуляции?
Регулярно, а не разово. Типичная практика — ежемесячно или раз в квартал, с постепенным усложнением сценариев. Важна не отдельная рассылка, а динамика метрик от волны к волне: именно регулярность формирует устойчивый навык.
Что важнее — click rate или report rate?
Обе метрики, но report rate показывает зрелость реакции. Низкий click rate говорит, что люди «не попались», а высокий report rate — что они активно сообщают об угрозе в службу ИБ. В зрелой программе цель — не только снижать клики, но и наращивать долю сообщений.
Нужно ли предупреждать сотрудников о симуляциях?
О самом факте программы — да, это вопрос этики и доверия, и часто требований HR и юристов. А вот конкретные даты, частоту и сценарии раскрывать не нужно, иначе теряется смысл замера реальной реакции.
Можно ли проводить симуляции без платформы?
Технически да, разовую рассылку можно собрать вручную. Но на масштабе нужны библиотека сценариев, автопривязка обучения, сегментация и отчётность по метрикам — это и дают специализированные платформы. Сравнить их можно в рейтинге обучения ИБ.
Источники и метод проверки
Фишинг-симуляция — это контролируемая рассылка учебных «фишинговых» писем сотрудникам, чтобы измерить реальную реакцию и научить людей распознавать атаку. Цель — **обучение, а не наказание**: симуляция показывает, где у организации тонко, и даёт повод подтянуть навык, а не повод искать виноватых. **Если коротко:** работают регулярные, а не разовые рассылки; результат измеряется метриками click rate (кто кликнул) и report rate (кто сообщил в службу ИБ); сценарии сегментируются под роли и риски; а сотрудник, попавшийся на учебное письмо, должен сразу получить короткое обучение, а не выговор. Ниже — зачем это нужно, как устроен правильный цикл симуляции, какие метрики смотреть и чек-лист для запуска. Сравнить платформы по подтверждённым сигналам можно в [рейтинге платформ обучения ИБ](/rating/security-awareness-training).