Кибергигиена для сотрудников 2026: защита компании от человеческого фактора

Меня зовут Чимитдоржи Дарижапов, я занимаюсь информационной безопасностью и IT. За годы практики я видел десятки инцидентов в компаниях разного размера — от небольших агентств до организаций с собственным отделом ИБ. И почти всегда, когда я разбирал, «как это вообще случилось», в начале цепочки стоял не гениальный хакер и не неведомая уязвимость нулевого дня. В начале стоял человек. Сотрудник, который устал, спешил, доверял, не знал или просто хотел побыстрее закрыть задачу.

Эта статья — для руководителей, HR и всех, кто отвечает за людей, а не только за серверы. Я намеренно почти не буду говорить про файрволы и SIEM. Я буду говорить про то, что дешевле любого железа и при этом даёт самый большой эффект: про кибергигиену сотрудников. Это набор простых, повторяемых привычек и правил, которые превращают вашу команду из главной уязвимости в первый рубеж обороны.

Человек — главная уязвимость

Когда я прихожу в компанию на аудит, руководитель чаще всего ждёт от меня разговора про антивирус и про то, «надёжный ли у нас провайдер». А я начинаю с другого вопроса: «Что сделает ваш бухгалтер, если ему в пятницу вечером придёт письмо от вас с просьбой срочно оплатить счёт новому поставщику?» В девяти случаях из десяти ответ заставляет всех замолчать.

По данным большинства отраслевых отчётов последних лет, доля инцидентов, в которых ключевую роль сыграл человеческий фактор, держится в районе 80–90%. Формулировки разнятся, но суть одна: техника всё чаще не «ломается» сама — её «открывает» сотрудник. Он вводит пароль на поддельной странице, скачивает «договор» с макросом, диктует код из SMS «сотруднику банка», переводит деньги по письму «от директора». Атакующему дешевле обмануть человека, чем пробивать защиту.

Важно понять психологию: люди не глупые и не злонамеренные. Они работают в условиях спешки, многозадачности и доверия к привычным каналам. Злоумышленник эксплуатирует ровно это — спешку, авторитет, страх и любопытство. Поэтому бороться нужно не с «глупостью сотрудников», а с условиями, в которых ошибка становится лёгкой и незаметной. Это управленческая задача, а не техническая.

Ещё один тезис, который я повторяю на каждом тренинге: безопасность — это не разовое состояние, а гигиена. Как мытьё рук. Один раз помыть руки красиво и потом год не мыть — бессмысленно. Точно так же бессмысленно провести один инструктаж и считать, что команда защищена. Кибергигиена работает только как ежедневная привычка, поддержанная политиками и инструментами.

Фишинг и его виды

Фишинг — это попытка обманом заставить человека выдать данные, перевести деньги или запустить вредоносный код, маскируясь под доверенный источник. Это самый массовый и самый дешёвый для атакующего способ. И именно поэтому он остаётся вектором номер один.

Классический email-фишинг выглядит как письмо от банка, налоговой, контрагента, ИТ-отдела или облачного сервиса. Внутри — ссылка на поддельную страницу входа или вложение. Современный фишинг почти не содержит грамматических ошибок, использует реальные логотипы, верные имена и иногда даже фрагменты настоящей переписки, украденной ранее. «Письма с ошибками от нигерийского принца» давно в прошлом — сегодня это аккуратные, контекстные сообщения.

Вишинг (voice phishing) — это телефонные звонки. «Служба безопасности банка», «техподдержка», «сотрудник ФСБ», «представитель оператора связи». Цель — вывести человека из равновесия, создать ощущение срочности и угрозы, а затем получить коды, доступы или заставить совершить перевод. Вишинг особенно опасен, потому что голос воспринимается как более «живой» и достоверный канал, чем письмо.

Smishing — фишинг через SMS и сообщения в мессенджерах. Короткое сообщение со ссылкой: «ваша посылка задержана», «подтвердите вход», «вам начислен бонус». Люди по привычке доверяют SMS и кликают по ссылкам с телефона, где сложнее разглядеть поддельный адрес.

Отдельно отмечу целевой фишинг (spear phishing) — когда атаку готовят под конкретного человека или компанию, изучив открытые данные. Здесь обращение по имени, упоминание реальных проектов и коллег. Против таких писем «общая бдительность» работает плохо — нужны процессы проверки, о которых я скажу ниже.

Главное правило, которое я прошу запомнить каждого сотрудника: срочность и давление — это красный флаг. Любое сообщение, которое торопит вас, пугает или обещает мгновенную выгоду, должно вызывать не действие, а паузу и проверку по независимому каналу.

Социальная инженерия и BEC

Социальная инженерия — это искусство манипуляции человеком вместо взлома системы. Фишинг — её частный случай. Но арсенал шире: атакующий может представиться новым сотрудником, курьером, аудитором, кандидатом на собеседовании. Он может «случайно» оставить флешку на парковке, позвонить с «уточнением реквизитов», написать в рабочий чат от имени коллеги.

Особо выделю BEC — Business Email Compromise, компрометацию деловой почты. Это один из самых дорогих видов атак для бизнеса. Сценарий обычно такой: злоумышленник либо получает доступ к почтовому ящику руководителя или бухгалтера, либо подделывает адрес, очень похожий на настоящий (например, заменяет одну букву в домене). Затем от имени директора отправляется письмо бухгалтеру: «Срочно оплати счёт, я на встрече, перезвонить не смогу». Или от имени поставщика приходит уведомление: «Мы сменили банковские реквизиты, платите теперь сюда».

Коварство BEC в том, что здесь нет вредоносных вложений и подозрительных ссылок — есть только текст и доверие. Антивирус против этого бесполезен. Защищает только процесс: любое изменение реквизитов и любой нестандартный платёж подтверждается по второму, независимому каналу — личным звонком на известный номер, а не на тот, что указан в письме.

Я всегда советую внедрить простое правило двойного подтверждения для платежей: смена реквизитов контрагента или платёж выше определённого порога требует подтверждения голосом или через отдельную доверенную систему. Это не бюрократия — это страховка, которая однажды сэкономит компании сумму, ради которой всё и затевалось.

Пароли и менеджеры паролей

Пароли — это вечная боль. Люди придумывают «Qwerty123», ставят один пароль на десяток сервисов, записывают их на стикерах под клавиатурой и отправляют друг другу в личных сообщениях. Каждая из этих привычек — открытая дверь.

Проблема не в том, что люди ленивы. Проблема в том, что человеческая память не приспособлена хранить десятки уникальных сложных паролей. Поэтому требовать «придумайте сложный уникальный пароль для каждого сервиса и запомните его» бессмысленно — это требование заведомо невыполнимо, и сотрудник найдёт обходной путь, обычно небезопасный.

Решение одно и оно простое: менеджер паролей. Сотрудник запоминает один мастер-пароль, а менеджер генерирует и хранит все остальные — длинные, случайные, уникальные. Из российских и self-hosted решений я рекомендую обратить внимание на Vaultwarden (совместимая с Bitwarden реализация, которую можно развернуть на своём сервере и полностью контролировать) и Пассворк (российский корпоративный менеджер с разграничением прав, аудитом и хранением на инфраструктуре компании).

Что касается парольной политики, мои практические рекомендации сместились в сторону современных подходов: длина важнее искусственной «сложности». Лучше требовать длинную парольную фразу, чем короткий пароль из спецсимволов, который человек всё равно запишет.

Отдельно проговорю: общие пароли «на отдел» — это зло. Если уволенный сотрудник знает пароль от общей почты, а вы его не меняли, у вас фактически нет контроля над этим доступом. Менеджер паролей с разграничением прав решает и эту задачу — доступ выдаётся персонально и отзывается одним кликом.

Двухфакторная аутентификация

Если бы меня попросили назвать одно действие, которое даёт максимальный прирост безопасности при минимальных усилиях, я бы без колебаний назвал двухфакторную аутентификацию. 2FA/MFA означает, что для входа недостаточно знать пароль — нужен ещё второй фактор: код из приложения, аппаратный ключ, биометрия.

Смысл в том, что даже если пароль утёк (а он рано или поздно утечёт — через фишинг или утечку базы стороннего сервиса), злоумышленник не войдёт без второго фактора. Это превращает украденный пароль из катастрофы в неприятность.

Но не все вторые факторы одинаковы. Я выстраиваю их по надёжности так:

Моя позиция простая: 2FA должна быть обязательной для всех рабочих сервисов — почты, CRM, облаков, банк-клиента, панелей администрирования. А для тех, у кого есть привилегированный доступ (айтишники, бухгалтеры, руководители), я настаиваю на аппаратных ключах. Это копеечные устройства по сравнению со стоимостью одного серьёзного инцидента.

Обновления и базовая гигиена

Самая скучная глава — и одна из самых важных. Огромная доля успешных атак использует уже известные уязвимости, для которых давно выпущены исправления. Сотрудник месяцами откладывает обновление «потом, я занят» — и оставляет открытой дверь, которую производитель уже закрыл патчем.

Базовая гигиена, которую я прошу довести до автоматизма у каждого:

• Обновления. Операционная система, браузер, офисные приложения и антивирус должны обновляться своевременно. Идеально — автоматически и централизованно, чтобы это не зависело от настроения сотрудника.
• Блокировка экрана. Отошёл от рабочего места — заблокируй компьютер. Сочетание клавиш для блокировки должно быть рефлексом. Настройте автоблокировку через несколько минут бездействия.
• Чистый стол и чистый экран. Никаких паролей на стикерах, никаких конфиденциальных документов на виду, никаких открытых сессий на чужих и общих устройствах.
• Резервные копии. Важные данные должны бэкапиться, а бэкапы — проверяться на восстановление. Это ваша последняя линия обороны против шифровальщиков.
• Антивирус и защита почты. Не панацея, но обязательный базовый слой, который отсекает массовые автоматические атаки.

Эти вещи кажутся очевидными, но именно очевидное чаще всего и не делается. Превратите их из «рекомендаций» в обязательные технические настройки, которые сотрудник не может отключить.

Публичный Wi-Fi и VPN

Сотрудник садится в кафе или аэропорту, подключается к открытой сети «Free WiFi» и спокойно заходит в рабочую почту. Для меня как для специалиста это выглядит так же, как если бы он кричал свои пароли на весь зал.

Публичные сети опасны двумя способами. Во-первых, открытый трафик может перехватываться. Во-вторых, злоумышленник может развернуть поддельную точку доступа с привлекательным названием и пропускать через себя весь трафик жертвы. Современное шифрование сайтов снижает риск, но не убирает его полностью — особенно если сотрудник по привычке проигнорирует предупреждение браузера о подозрительном сертификате.

Решение — корпоративный VPN. Он создаёт зашифрованный туннель от устройства сотрудника до инфраструктуры компании, и публичная сеть видит лишь поток шифрованных данных. Правило для команды: любая работа из публичных и недоверенных сетей — только через корпоративный VPN. А критичные операции (банк-клиент, доступ к административным панелям) из случайных сетей я вообще не рекомендую выполнять, даже с VPN, если этого можно избежать.

Хороший компромисс для разъездных сотрудников — использовать мобильный интернет с собственного телефона как точку доступа. Это не панацея, но заметно безопаснее, чем неизвестная открытая сеть.

Личные устройства и мессенджеры

BYOD (Bring Your Own Device) — практика, когда сотрудники работают с личных телефонов и ноутбуков. Это удобно и экономит бюджет, но создаёт серьёзную проблему: компания не контролирует устройство, на котором лежат её данные. На личном телефоне может стоять что угодно, он может быть потерян, передан ребёнку, заражён через стороннее приложение.

Я не призываю запрещать BYOD — для многих компаний это нереалистично. Я призываю выстроить вокруг него правила:

• Рабочие данные на личных устройствах — только в защищённых корпоративных приложениях, по возможности с разделением рабочего и личного профилей.
• Обязательная блокировка устройства паролем или биометрией и шифрование хранилища.
• Возможность удалённо отозвать доступ при утере устройства или увольнении сотрудника.
• Запрет на пересылку рабочих документов в личные облака и на личную почту «чтобы поработать дома».

Отдельная тема — мессенджеры для работы. Рабочие вопросы расползаются по личным чатам, и вместе с ними расползаются персональные данные клиентов, реквизиты, договоры. Это и риск утечки, и нарушение 152-ФЗ. Моя рекомендация — определить корпоративный канал коммуникаций (корпоративный мессенджер или защищённую внутреннюю систему), хранить рабочую переписку и файлы там, а личные мессенджеры исключить из рабочих процессов с персональными данными. Чёткое правило «где мы обсуждаем рабочее» снимает огромный пласт рисков.

Управление доступами (принцип минимума)

Один из самых частых диагнозов на моих аудитах — «у всех есть доступ ко всему». Менеджер по продажам видит всю клиентскую базу целиком. Стажёр имеет доступ к финансовым документам. Уволенный полгода назад сотрудник до сих пор числится в системе.

Здесь работает принцип минимальных привилегий: у сотрудника должен быть доступ только к тому, что нужно для его работы, и не больше. Это снижает ущерб от любого инцидента. Если фишинг скомпрометирует учётку рядового менеджера, у которого доступ только к его сделкам, потери будут локальными. Если же у этого менеджера были права администратора, под угрозой вся компания.

Что я рекомендую внедрить:

• Ролевая модель доступа. Права привязаны к должности, а не выдаются «по просьбе» и не копятся годами.
• Регулярный пересмотр прав. Раз в квартал или полгода проверяйте, у кого к чему есть доступ, и отзывайте лишнее.
• Немедленный отзыв доступа при увольнении. В идеале — в день увольнения, до того как человек ушёл из офиса. Это часть HR-процесса, и здесь роль HR критична.
• Отдельные учётки для административных задач. Айтишник работает под обычной учёткой и переключается на административную только когда это действительно нужно.

Управление доступами — это место, где безопасность и HR должны работать рука об руку. Приём, перевод и увольнение сотрудника всегда должны сопровождаться соответствующими действиями с его доступами.

Обучение сотрудников и фишинг-симуляции

Можно купить лучшие инструменты, но если люди не понимают, зачем они нужны и как распознать атаку, защита будет дырявой. Обучение — это то, что превращает правила в живые навыки. Но обучение обучению рознь.

Разовый инструктаж «прочитайте и распишитесь» не работает. Человек подписывает, забывает через неделю и продолжает кликать по всему подряд. Работает другой подход — регулярный, практический и без атмосферы страха:

• Короткие регулярные модули. Лучше 15 минут раз в месяц, чем четырёхчасовая лекция раз в год. Внимание удерживается, материал откладывается.
• Фишинг-симуляции. Это ключевой инструмент. Компания сама рассылает сотрудникам безопасные тренировочные «фишинговые» письма и смотрит, кто кликнул. Кликнувший попадает не на разнос, а на короткое обучение прямо в момент ошибки — когда урок усваивается лучше всего.
• Культура без наказания за честность. Сотрудник должен не бояться сообщить «кажется, я кликнул на что-то подозрительное». Если за это наказывают, люди начинают скрывать инциденты, и вы узнаёте о проблеме слишком поздно.
• Адаптация под роли. Бухгалтеру нужны примеры с поддельными счетами и BEC, HR — с фейковыми резюме, руководителю — с целевыми атаками на топ-менеджмент.

Из специализированных российских платформ для обучения и фишинг-симуляций можно рассмотреть Antiphish, Start X (бывший «Антифишинг») и Phishman. Они позволяют автоматизировать рассылку тренировочных писем, вести аналитику по отделам и назначать обучающие курсы тем, кто чаще ошибается. Я смотрю на такие платформы не как на способ «поймать виноватого», а как на постоянный тренажёр для всей команды.

Метрика, за которой я слежу, — это не «сколько провели тренингов», а динамика доли кликов по фишинг-симуляциям. Если за полгода она снижается с условных 30% до 5%, обучение работает. Если стоит на месте — что-то надо менять в подходе.

Политики безопасности (что должно быть)

Политика безопасности — это не толстый документ ради галочки, который никто не читает. Это набор понятных, коротких и выполнимых правил, которые знает каждый сотрудник. Если ваша политика на сорок страниц юридического текста, считайте, что её нет.

Минимальный набор политик, который я считаю обязательным для любой компании:

• Парольная политика и политика 2FA — как создавать, хранить и защищать учётные данные.
• Политика допустимого использования — что можно и что нельзя делать на рабочих устройствах и в рабочих аккаунтах.
• Политика работы с персональными данными — как обрабатывать, хранить и передавать данные клиентов и сотрудников в рамках 152-ФЗ.
• Политика BYOD и удалённой работы — правила работы с личных устройств и из внешних сетей.
• Политика управления доступами — кто, к чему и на каком основании получает доступ.
• Регламент реагирования на инциденты — что делать, если что-то пошло не так.

Главное в политиках — не их наличие, а их применимость. Каждое правило должно отвечать на вопрос сотрудника «а как мне теперь правильно сделать мою работу». Если политика только запрещает, но не показывает удобной разрешённой альтернативы, люди будут её обходить. Поэтому я всегда советую писать политики в связке «нельзя так — потому что вот риск — а можно вот так удобно и безопасно».

Реагирование на инцидент

Рано или поздно что-то случится. Идеальной защиты не существует. Разница между лёгким испугом и катастрофой — в том, насколько быстро и грамотно компания отреагирует. А скорость реакции напрямую зависит от того, знает ли рядовой сотрудник, что делать в первые минуты.

Я учу команды простому алгоритму первых действий при подозрении на инцидент:

ЕСЛИ ТЫ ПОДОЗРЕВАЕШЬ, ЧТО ЧТО-ТО ПОШЛО НЕ ТАК
(кликнул по ссылке, ввёл пароль, открыл файл, перевёл деньги)

1. НЕ ПАНИКУЙ И НЕ СКРЫВАЙ.
   Скорость важнее, чем сохранённое лицо.

2. ОТКЛЮЧИ устройство от сети
   (выдерни кабель / выключи Wi-Fi),
   но НЕ выключай и НЕ перезагружай его.

3. СООБЩИ ответственному за ИБ / руководителю
   немедленно, по заранее известному каналу.

4. НЕ удаляй письма, файлы и следы —
   они нужны для разбора.

5. СМЕНИ пароли со ЧИСТОГО устройства,
   начиная с почты и критичных сервисов.

6. ДОЖДИСЬ инструкций ответственного.
   Дальше действуй по регламенту.

Обратите внимание на пункт первый. Самая дорогая ошибка при инциденте — это попытка сотрудника «сделать вид, что ничего не было». Час молчания может превратить локальную проблему в утечку базы данных. Поэтому культура, в которой о проблеме безопасно и не стыдно сообщить сразу, — это не «мягкотелость», а прямая экономия денег и репутации.

На уровне компании должен существовать регламент: кто отвечает за реагирование, кого уведомляют, как фиксируют инцидент, в каких случаях и в какие сроки уведомляют регулятора (для утечек персональных данных это требование закона). Этот регламент стоит отрепетировать заранее, как пожарную тревогу, а не сочинять в момент пожара.

Удалёнка и её риски

Удалённая и гибридная работа давно стали нормой, и они размывают периметр безопасности. Раньше сотрудник сидел в офисе, за корпоративным файрволом, на проверенном устройстве. Теперь он работает из дома, из коворкинга, иногда из другой страны, нередко с личного ноутбука и через домашний роутер, который последний раз настраивали при подключении.

Основные риски удалёнки, которые я вижу постоянно:

• Незащищённые домашние сети. Роутер с заводским паролем, устаревшая прошивка, общий Wi-Fi на всю семью.
• Смешение личного и рабочего на одном устройстве — выше шанс занести угрозу из личной активности в рабочую среду.
• Подглядывание и подслушивание в публичных пространствах — экран виден соседям, конфиденциальный звонок слышен всему кафе.
• Сложность поддержки. Айтишнику труднее быстро помочь и проконтролировать настройку удалённого рабочего места.

Что помогает: обязательный VPN, по возможности корпоративные устройства с централизованным управлением, минимальные требования к домашней сети (сменить пароль роутера, обновить прошивку, включить шифрование), привычка к блокировке экрана и аккуратность в публичных местах. И отдельно — чёткое понимание сотрудника, что дома действуют те же правила безопасности, что и в офисе. Дом не отменяет гигиену.

152-ФЗ: утечки по вине сотрудников и штрафы

Здесь я перехожу к теме, которая в последнее время заставляет руководителей слушать особенно внимательно. Раньше многие воспринимали штрафы за нарушения в области персональных данных как незначительную статью расходов. Сейчас ситуация изменилась радикально.

Ключевой момент, который должен понять каждый руководитель: по 152-ФЗ ответственность за персональные данные несёт оператор — то есть компания. Если утечка произошла по вине конкретного сотрудника (слил базу, переслал документ не туда, попался на фишинг), отвечать перед регулятором и перед законом будет именно организация. «Это сотрудник виноват» не освобождает компанию от ответственности — обработка и защита данных были обязанностью оператора.

С принятием поправок (ФЗ-420 и связанных изменений) штрафы за утечки персональных данных стали по-настоящему серьёзными. Введены крупные фиксированные штрафы за сам факт утечки, а за повторные нарушения предусмотрены оборотные штрафы — то есть рассчитываемые как процент от выручки компании. Для бизнеса с большим оборотом это означает потенциальные потери, измеряемые миллионами, а в крупных случаях — суммами, сопоставимыми с серьёзной долей годовой прибыли. Параллельно усилена и уголовная ответственность за незаконный оборот персональных данных.

Я сознательно не привожу здесь конкретные цифры до рубля — нормы детализируются и уточняются, и за актуальными значениями нужно обращаться к действующей редакции закона и к юристу. Но вектор однозначен: цена утечки выросла на порядок, и человеческий фактор теперь стоит компании очень дорого. Тот самый клик по фишинговой ссылке, который раньше был «инцидентом», теперь может стать строкой в бюджете с шестью или семью нулями.

Практический вывод для руководителя простой. Инвестиции в кибергигиену сотрудников — обучение, менеджер паролей, 2FA, VPN, фишинг-симуляции — стоят несопоставимо меньше, чем один оборотный штраф плюс репутационные потери и отток клиентов. Это уже не вопрос «надо ли тратиться на безопасность», а вопрос управления вполне конкретным финансовым риском. И этот аргумент, в отличие от технических, обычно хорошо понимают и собственники, и финансовый директор.

Инструменты (российские)

Сведу воедино инструменты, которые я упоминал, и добавлю общую логику выбора. Я намеренно делаю акцент на решениях, которые можно развернуть на своей инфраструктуре или которые предлагаются российскими разработчиками — это удобнее с точки зрения и доступности, и соответствия требованиям по хранению данных.

• Менеджеры паролей: Vaultwarden (self-hosted, совместим с Bitwarden), Пассворк (российский корпоративный менеджер с аудитом и правами доступа).
• Обучение и фишинг-симуляции: Antiphish, Start X (бывший «Антифишинг»), Phishman — рассылка тренировочных писем, аналитика, обучающие курсы.
• Второй фактор: приложения-генераторы TOTP-кодов для рядовых сотрудников и аппаратные ключи FIDO2 для администраторов и финансистов.
• VPN: корпоративное решение для защищённого доступа из внешних сетей.
• Управление доступами и устройствами: централизованное управление учётными записями и корпоративными устройствами, чтобы быстро выдавать и отзывать доступ.

Важная мысль: инструменты — это усилитель культуры, а не её замена. Менеджер паролей не поможет, если сотрудники не понимают, зачем он. Фишинг-платформа бесполезна, если результаты симуляций никто не разбирает. Сначала договоритесь о правилах и о том, почему они важны, а потом подкрепляйте их инструментами. Технология без процесса и без понимания со стороны людей превращается в дорогую галочку.

Чек-лист кибергигиены

Ниже — компактный чек-лист, который я отдаю руководителям после аудита. Его можно использовать как самопроверку: чем больше пунктов отмечено, тем устойчивее ваша компания к атакам через человека.

КИБЕРГИГИЕНА КОМПАНИИ — БАЗОВЫЙ ЧЕК-ЛИСТ

ДОСТУПЫ И УЧЁТНЫЕ ДАННЫЕ
[ ] Менеджер паролей внедрён и используется
[ ] Нет общих паролей "на отдел", переданных в чатах
[ ] 2FA включена на всех рабочих сервисах
[ ] Аппаратные ключи у администраторов и финансистов
[ ] Принцип минимальных привилегий соблюдается
[ ] Доступы пересматриваются раз в квартал
[ ] Доступ отзывается в день увольнения

УСТРОЙСТВА И СЕТИ
[ ] Автообновления ОС и приложений включены
[ ] Настроена автоблокировка экрана
[ ] Шифрование дисков на ноутбуках включено
[ ] Корпоративный VPN для внешних сетей
[ ] Правила BYOD оформлены и доведены до людей
[ ] Резервные копии создаются и проверяются

ЛЮДИ И ПРОЦЕССЫ
[ ] Регулярное обучение (не раз в год)
[ ] Фишинг-симуляции проводятся, динамика отслеживается
[ ] Сообщать об ошибке безопасно, без наказания
[ ] Правило двойного подтверждения платежей
[ ] Регламент реагирования на инцидент написан
[ ] Сотрудники знают первые шаги при инциденте

ДОКУМЕНТЫ И ЗАКОН
[ ] Политики безопасности короткие и понятные
[ ] Обработка персональных данных соответствует 152-ФЗ
[ ] Понятно, как и в какие сроки уведомлять регулятора
[ ] Рабочая переписка с ПДн ведётся в доверенном канале

Если по этому списку у вас отмечено меньше половины — это не повод для паники, а карта работ. Начните с самого дешёвого и эффективного: 2FA, менеджер паролей и обучение. Эти три шага закрывают непропорционально большую долю рисков.

Топ ошибок

За годы практики я вижу одни и те же ошибки, которые повторяются из компании в компанию. Перечислю самые частые — если узнаете в них себя, считайте, что уже сделали первый шаг к исправлению.

• «У нас нечего красть». Это иллюзия. У любой компании есть персональные данные клиентов и сотрудников, деньги на счетах и доступ, который можно использовать как плацдарм для других атак. Размер не спасает — наоборот, малый бизнес часто защищён хуже и потому привлекательнее.
• Ставка только на технику. Купили антивирус и файрвол и считают вопрос закрытым. Но 80% атак идут через человека, которого антивирус не защитит от убедительного звонка или письма.
• Разовый инструктаж под подпись. Документ подписан, галочка стоит, навыка нет. Безопасность — это привычка, а не подпись.
• Наказание за честность. Когда за сообщение об ошибке наказывают, сотрудники скрывают инциденты, и компания узнаёт о них слишком поздно.
• «Безопасность мешает работать». Когда правила неудобны, люди их обходят. Хорошая безопасность встроена в процесс так, что безопасный путь оказывается и самым удобным.
• Забытые доступы уволенных. Человек ушёл, а его учётка живёт. Это одна из самых частых дыр, которую я нахожу.
• Игнорирование руководителями собственных правил. Если директор требует 2FA от всех, а сам работает без неё с паролем «12345», вся система рушится. Личный пример здесь решает.

FAQ

С чего начать, если бюджет почти нулевой?
С трёх вещей, которые почти ничего не стоят: включите 2FA на всех сервисах, разверните бесплатный self-hosted менеджер паролей вроде Vaultwarden и проведите живой разговор с командой про фишинг с реальными примерами. Это даст самый большой эффект на вложенный рубль.

Как часто проводить обучение?
Регулярно и небольшими порциями. Короткий модуль раз в месяц плюс фишинг-симуляции работают намного лучше, чем большая лекция раз в год. Цель — поддерживать навык, а не «отчитаться о проведённом мероприятии».

Можно ли наказывать сотрудников за то, что попались на фишинг-симуляцию?
Нет. Симуляция — это тренажёр, а не ловушка. Кликнувший должен получить короткое обучение, а не выговор. Иначе люди начнут бояться и скрывать настоящие инциденты, и вы потеряете главное — раннее оповещение.

Кто в компании должен отвечать за кибергигиену?
Это совместная зона ответственности. Технику и инструменты обеспечивает IT/ИБ, процессы приёма и увольнения — HR, а культуру и приоритеты задаёт руководитель личным примером и решениями. Безопасность сотрудников — управленческая задача, а не только техническая.

Действительно ли за утечку отвечает компания, а не виновный сотрудник?
Да. По 152-ФЗ ответственность перед регулятором несёт оператор персональных данных, то есть организация. Внутренние меры к сотруднику возможны, но они не отменяют ответственности компании перед законом и пострадавшими.

Нужен ли VPN, если все сайты и так используют шифрование?
Шифрование сайтов защищает содержимое соединения, но не отменяет рисков поддельных точек доступа и не скрывает, к каким ресурсам вы обращаетесь. Для работы из публичных и недоверенных сетей корпоративный VPN остаётся правильной практикой.

Выводы

Если убрать всё лишнее, мой главный тезис звучит так: безопасность компании — это в первую очередь про людей, а не про железо. Можно потратить большой бюджет на технические средства защиты и при этом остаться беззащитным, если рядовой сотрудник по-прежнему кликает по всему подряд, использует один пароль на всё и диктует коды из SMS незнакомцам по телефону.

Хорошая новость в том, что самые эффективные меры — одновременно и самые дешёвые. Двухфакторная аутентификация, менеджер паролей, регулярное обучение с фишинг-симуляциями, культура, в которой не стыдно сообщить об ошибке, и принцип минимальных привилегий закрывают непропорционально большую долю рисков. Это доступно компании любого размера.

В 2026 году к этому добавился вполне ощутимый финансовый стимул. С ужесточением 152-ФЗ и появлением оборотных штрафов человеческий фактор перестал быть абстрактной угрозой и превратился в конкретный, измеримый в деньгах риск. Инвестиции в кибергигиену сотрудников сегодня — это не статья расходов «на всякий случай», а прямое управление этим риском.

Начните с малого, но начните сегодня. Включите 2FA. Разверните менеджер паролей. Поговорите с командой по-человечески о том, как их обманывают, и почему важно сообщать об ошибках сразу. Сделайте безопасный путь удобным. Шаг за шагом ваша команда перестанет быть главной уязвимостью и станет тем, чем и должна быть, — вашим самым надёжным рубежом обороны.