Экспертный блог 10 мин чтения

Сотрудники — главная дыра в безопасности (человеческий фактор)

Бизнес тратится на защиту от хакеров, а ломают его через обычного сотрудника, который перешёл по ссылке из письма. Разбираю, почему люди — главная дыра в безопасности и как её закрыть, не превращая команду в виноватых.

экспертноебезопасностьчеловеческий факторфишинг

Коротко (TL;DR)

  • Большинство взломов малого и среднего бизнеса — это не гениальные хакеры, а человеческий фактор: фишинговое письмо, простой пароль, переход по ссылке, чужая флешка, разговорчивость или потерянный ноутбук.
  • Через сотрудника в компанию попадают одним из пяти путей: выманивают пароль или код, заставляют запустить файл, перехватывают доступ к почте, получают данные через разглашение или забирают незаблокированное устройство.
  • Типичные ошибки персонала предсказуемы: один пароль на всё, переход по ссылкам на автомате, отправка данных «по просьбе руководителя», работа с лишними правами.
  • Закрывается человеческая дыра не запретами, а системой: обучение, двухфакторная аутентификация, менеджер паролей, понятные регламенты, права по минимуму и культура, в которой не стыдно переспросить и не страшно признаться в ошибке.
  • Чтобы понять, где именно у вас тонко, и выстроить защиту по шагам, разумно начать с аудита безопасности и обучения команды, а не с покупки ещё одного антивируса.

За годы аудитов я ни разу не видел, чтобы небольшую компанию вскрыли так, как показывают в кино. Всё буднично: кто-то открыл письмо, кто-то перешёл по ссылке, кто-то продиктовал код из SMS «службе безопасности банка», кто-то воткнул найденную на парковке флешку. Ломается не система, а человек перед экраном. И это хорошая новость: с человеческим фактором можно работать. Разберу, как через сотрудников попадают в компанию, какие ошибки повторяются и что реально помогает закрыть эту дыру.

Не хакеры, а люди

Когда предприниматель говорит «нас взломали», он представляет внешнего противника, пробившего защиту снаружи. На практике в большинстве инцидентов с малым и средним бизнесом точкой входа был свой человек. Не злоумышленник внутри, а обычный добросовестный сотрудник, которого обманули или который по незнанию сделал то, чего делать не стоило. По отраслевым отчётам о расследовании утечек человеческий фактор присутствует в большинстве инцидентов: где-то это прямое действие сотрудника, где-то украденные у него данные для входа.

Причина проста: атаковать человека дешевле и надёжнее, чем технику. Чтобы пробить грамотно настроенный сервер, нужны время, квалификация и удача. Чтобы заставить человека ввести пароль, нужно одно убедительное письмо. Современные инструменты усилили перекос: тексты пишутся без ошибок, поддельные сайты копируются за минуты, голос руководителя подделывается по короткой записи. Старые приметы обмана почти исчезли — остался расчёт на эмоцию: спешку, страх, желание помочь, уважение к начальству.

Здесь важно занять правильную позицию. Сотрудник, который попался на фишинг, — не дурак и не предатель. Он жертва атаки, спроектированной так, чтобы обмануть нормального занятого человека в обычный рабочий день. Если за ошибку наказывают и публично стыдят, люди начинают скрывать инциденты: кликнул, заподозрил неладное — и молчит, потому что боится. А упущенные часы решают всё. Поэтому система должна прощать ошибки человека и при этом не давать одной ошибке обрушить всю компанию. Защищаемся не от сотрудников, а вместе с ними.

Как через сотрудников попадают в компанию

Путей, которыми атака заходит внутрь через живого человека, немного. Почти всё, что я разбирал на расследованиях, укладывается в пять сценариев.

1. Выманивают пароль или одноразовый код. Самый массовый случай. Сотруднику приходит письмо «от банка», «от поддержки», «от руководителя» со ссылкой на страницу, неотличимую от настоящей. Человек вводит логин и пароль, иногда добавляет код из SMS — и отдаёт всё мошеннику. Разновидность — звонок, где «безопасность» просит назвать код «для отмены подозрительной операции». Код, продиктованный голосом, — это уже отданный доступ.

2. Заставляют запустить файл. Вложение в письме: «акт сверки», «счёт на оплату», «резюме кандидата». Внутри — программа, которая шифрует файлы компании и требует выкуп или тихо открывает злоумышленнику дверь в сеть. Бухгалтерия и кадры получают такие письма пачками, потому что им по работе положено открывать документы от незнакомцев, — это делает их любимой мишенью.

3. Перехватывают доступ к почте. Корпоративный ящик — ключ почти ко всему: через «забыли пароль» восстанавливаются другие сервисы, в переписке лежат договоры и реквизиты. Получив контроль над ящиком, злоумышленник пишет «от имени» сотрудника его же коллегам и контрагентам — и им верят, потому что письмо пришло с настоящего адреса.

4. Получают данные через разглашение. Иногда техника не нужна вовсе. Человеку звонят, представляются подрядчиком или проверяющим — и в разговоре он называет внутренние детали: кто за что отвечает, какие сервисы используются, когда руководитель в отъезде. По кусочкам собирается картина, которая делает следующую атаку почти безотказной. Сюда же — рабочая переписка в личных мессенджерах и пересылка документов на личную почту.

5. Забирают устройство. Ноутбук, оставленный в кафе, незаблокированный телефон, флешка с выгрузкой базы. Если диск не зашифрован, а вход не защищён, потерянное устройство — это открытый доступ ко всему, что на нём было. Сюда же — воткнутая из любопытства в рабочий компьютер чужая флешка. Объединяет все пять сценариев одно: дверь открывает обычный сотрудник, уверенный, что делает нормальную рабочую вещь.

Типичные ошибки персонала

Ошибки, которые приводят к инцидентам, одинаковы от компании к компании. Это не глупость конкретных людей, а естественное поведение человека, которому удобство важнее абстрактной безопасности и которого никто не научил иначе.

Один пароль на всё. Один пароль на почту, CRM, банк-клиент и личные сервисы. Достаточно одной утечки на стороннем сайте — и злоумышленник пробует эту пару логин-пароль везде. Где совпало, там и вошёл.

Простые пароли. Имя ребёнка, дата рождения, «123456», «qwerty». Их не нужно «взламывать» — они перебираются автоматически за секунды по готовым словарям.

Клики на автомате. Рабочий день — поток писем, и человек переходит по ссылкам и открывает вложения, не приглядываясь к адресу отправителя. Спешка и привычка доверять входящему — главные союзники атакующего.

Данные «по просьбе руководителя». Приходит сообщение от «директора»: срочно оплати счёт, пришли реквизиты, отправь выгрузку. Подделать имя отправителя несложно, а культура «начальству не переспрашивают» довершает дело. Сотрудник выполняет, не проверив по другому каналу.

Лишние права. Когда у каждого доступ ко всему «на всякий случай», взлом любой учётной записи открывает всю компанию. Бухгалтер с правами администратора, давно уволенный сотрудник с работающим входом — типовые находки на аудитах.

Молчание об инциденте. Самая дорогая ошибка. Человек понял, что попался, но боится сказать — и время, за которое можно было сменить пароли и остановить ущерб, уходит впустую. Эту ошибку порождает не сотрудник, а атмосфера страха. И почти все пункты выше — не про злой умысел, а про отсутствие простых правил и инструментов, которые сделали бы правильное поведение лёгким, а опасное — затруднённым.

Как закрыть человеческую дыру

Хорошая система безопасности не требует от людей героизма и постоянной бдительности. Она устроена так, что удобное поведение и есть безопасное. Вот что действительно работает.

Обучение, а не запугивание. Люди должны на конкретных примерах увидеть, как выглядит фишинговое письмо, как звучит звонок мошенника, чем поддельный сайт отличается от настоящего. Не лекция раз в год под подпись, а короткие регулярные разборы реальных случаев и тренировочные рассылки. Цель — выработать рефлекс «сначала проверю, потом сделаю». Это зона корпоративного обучения работе с ИИ и цифровой гигиене: когда команда понимает современные атаки, она перестаёт быть слабым звеном.

Двухфакторная аутентификация на всё важное. Самая высокая отдача на вложенные усилия. Даже если пароль украли, без второго фактора в учётную запись не войдут. Включаем 2FA на почту, банк-клиент, CRM, админ-панели, облачные хранилища. Предпочтительно приложение-генератор кодов или аппаратный ключ, а не SMS: SMS перехватывают через перевыпуск симки.

Менеджер паролей. Решает сразу «один пароль на всё» и «простые пароли». Сотрудник запоминает один мастер-пароль, а программа генерирует и хранит длинные уникальные пароли и подставляет их только на настоящем сайте — на поддельном домене пароль не предложит, и это бонусом защищает от фишинга.

Права по минимуму. Каждый имеет доступ только к тому, что нужно для работы. Администраторские права — только тем, кому они действительно необходимы, а при увольнении доступы отзываются в тот же день. Тогда взлом одной учётной записи остаётся локальной неприятностью, а не катастрофой.

Понятные регламенты для опасных действий. Простые письменные правила там, где цена ошибки высока. Любая оплата или передача данных «по срочной просьбе руководителя» подтверждается по второму каналу. Никаких кодов из SMS никому по телефону. Рабочие документы — только в рабочих сервисах. Сотрудник не угадывает, а следует понятной процедуре.

Базовая техническая гигиена. Шифрование дисков, автоблокировка экрана, обновления, резервные копии вне основной сети (чтобы пережить шифровальщик), почтовая фильтрация и защита домена от подделки писем. Это незаметный фон: многие плохие письма не дойдут, а потерянный ноутбук останется просто железкой.

Культура «не стыдно спросить, не страшно признаться». Самое важное и недооценённое. Должно быть нормой переспросить «это правда вы мне написали?» и сразу прийти со словами «кажется, я кликнул не туда» — без наказания, с благодарностью за скорость. Только так инциденты вскрываются за минуты, а не всплывают через неделю. Технику можно купить, культуру — только выстроить, и именно она определяет, выдержит компания атаку или нет.

Чтобы понять, какие меры у вас уже есть, а где зияют дыры, разумно начать с независимой оценки. Внешний взгляд быстро находит слабые места: где лишние права, где нет 2FA, кто из уволенных всё ещё имеет доступ. Это задача IT-аудита — а по его итогам можно осознанно выстраивать системную защиту от киберугроз с понятными приоритетами, а не закрывать дыры наугад.

Частые вопросы

У нас маленькая компания, кому мы нужны? В этом и ловушка. Массовые атаки не выбирают жертву по размеру — рассылка идёт по миллионам адресов сразу, и попадается тот, кто не защищён. Малый бизнес часто привлекательнее: деньги на счетах есть, а защиты почти нет.

Не проще ли просто всё запретить сотрудникам? Запреты без альтернативы порождают обходные пути. Запретили личную почту — пересылают через мессенджер. Заставили менять пароль каждый месяц — пишут его на стикере под клавиатурой. Безопасность работает, когда правильное поведение удобнее неправильного. Поэтому ставка на инструменты и обучение.

Сотрудник кликнул и ввёл пароль. Что делать в первую очередь? Действовать за минуты, не за часы. Сразу сменить пароль учётной записи и везде, где он повторялся, завершить активные сессии, проверить 2FA, предупредить тех, кому могли уйти письма «от его имени». И поблагодарить человека за то, что сразу сказал. Скорость важнее поиска виноватого.

Если у всех включена 2FA, можно расслабиться? Двухфакторная аутентификация закрывает огромную часть рисков, но не все. Остаются вредоносные вложения, разглашение данных в разговоре, потерянные устройства, лишние права. Безопасность — это несколько простых слоёв, которые страхуют друг друга.

Как часто обучать команду? Один раз в год под подпись не работает — забывается через неделю. Лучше короткие регулярные форматы: разбор свежего случая раз в месяц, тренировочная рассылка раз в квартал, отдельный инструктаж для новичков. Важна регулярность и привязка к настоящим примерам.

Выводы

Главная дыра в безопасности компании — не устаревший сервер и не отсутствие дорогого софта, а человек, которого никто не научил и которому не дали удобных инструментов поступать правильно. Атакующие давно это поняли и бьют по людям: спешка, страх, доверие и желание помочь обходят любую технику. Но это же означает, что защита по большей части в наших руках и не требует огромных бюджетов.

Рецепт спокойный и выполнимый: учить команду на живых примерах, включить двухфакторную аутентификацию на всё важное, поставить менеджер паролей, раздать права по минимуму, прописать простые правила для денег и данных, закрыть техническую базу — и, главное, построить культуру, где не стыдно переспросить и не страшно признаться в ошибке. Система должна прощать промах человека, не давая ему обрушить всю компанию.

Не нужно делать всё сразу. Начните с того, что даёт максимум защиты при минимуме усилий — с двухфакторной аутентификации и честного разговора с командой о том, как сегодня выглядят атаки. Дальше двигайтесь по приоритетам, лучше всего оттолкнувшись от трезвой оценки, где у вас сейчас тонко. Человеческий фактор нельзя убрать совсем, но его можно сделать управляемым. И тогда ошибка обычного сотрудника останется мелкой ошибкой, а не началом дорогого инцидента.

Услуги по теме

Как я работаю с бизнесом

  • IT-аудит и диагностика
  • Данные, миграции, единая база
  • ИИ под задачу: локально и приватно
  • Безопасность и 152-ФЗ
  • Прозрачно и по делу
Написать в Telegram

Бесплатно: чек-лист «Готов ли ваш бизнес к 152-ФЗ»

12 пунктов, которые проверяют готовность за час: данные, согласия, уведомление в РКН, локализация, защита. Отметьте, что уже сделано, и увидите дыры, за которые сейчас штрафуют.

Готовы обсудить вашу задачу?

Бесплатная консультация — разберём, как внедрить это в вашем бизнесе под ключ. Без форм, пишите напрямую.

Готовые решения под ключ 449 готовых IT-решений для бизнеса Автоматизация, боты, AI, 152-ФЗ и платформы · бесплатная консультация Смотреть каталог