Известный специалист по кибербезопасности Брюс Шнайер часто говорил: «Люди — это самое слабое звено в цепочке безопасности». Нет более точных слов в отношении киберугроз. Можно потратить миллионы на межсетевые экраны, средства защиты конечных точек, контроль доступа и шифрование данных, но один сотрудник способен вызвать катастрофическую утечку, просто скачав вредоносный файл или перейдя по фишинговой ссылке.
Исследования показывают, что от 70% до 90% инцидентов происходят из-за социальной инженерии, ошибок персонала, передачи данных в теневые IT-сервисы или компрометации привилегированных учётных записей. При этом ситуация усугубляется: злоумышленники активно используют сложные атаки на основе ИИ, такие как дипфейки.
Эта проблема хорошо известна. В качестве ответной меры компании в 2025 году потратили около 6 миллиардов долларов на обучение по информационной безопасности (SAT). Большинство из них — не по инициативе, а ради соответствия нормативным требованиям, таким как HIPAA, GDPR и PCI.
По оценкам аналитиков, расходы на SAT будут расти примерно на 15% ежегодно, поскольку организации инвестируют в то, что Gartner называет «программами поведения и культуры безопасности».
Парадокс обучения по безопасности
Несмотря на то что SAT стало стандартом для CISO и HR-отделов, его эффективность остаётся под вопросом. Многие компании воспринимают обучение как формальность, необходимую для соответствия нормативам. Сотрудники, в свою очередь, проходят курсы «для галочки», быстро кликая по урокам, чтобы быстрее закончить. Даже прилежные пользователи сталкиваются с «кривой забывания» — психологическим феноменом, при котором знания теряются, если их не закреплять.
Иногда SAT даже вредит: в ряде исследований отмечалось, что сотрудники, успешно прошедшие обучение, начинают слишком самоуверенно относиться к безопасности и становятся менее бдительными.
На мой взгляд, мы имеем дело с парадоксом: несмотря на большие вложения и требования регуляторов, обучение даёт минимальный эффект.
Очевидно, что традиционный подход устарел — даже с такими дополнениями, как симуляция фишинга. Что нужно? В ближайшие годы организациям следует перейти от разрозненного обучения к новой дисциплине — управлению человеческим риском (HRM).
Что такое управление человеческим риском?
HRM — это стратегия кибербезопасности, направленная на выявление, измерение и снижение рисков, вызванных поведением людей. Если SAT отвечает на вопрос «что знает сотрудник», то HRM — «что он делает», то есть как ведёт себя на практике.
HRM интегрируется с инструментами защиты электронной почты, веб-шлюзами и системами управления доступом (IAM), чтобы выявлять уязвимости. Он оценивает риски на основе поведенческих данных и определяет самых проблемных пользователей. Затем применяются целевые меры: микрообучение, симуляции или автоматические меры безопасности. Наконец, HRM отслеживает изменения в поведении, позволяя оценивать прогресс.
Существует заблуждение, что HRM и SAT — это разные направления, и на оба нужно выделять бюджет. Это не так. Ведущие решения от Fable Security, KnowBe4 и Mimecast включают полный набор стандартных SAT-материалов и даже поддерживают соответствие нормативным требованиям.
Демократизация обучения с помощью ИИ
Вы можете подумать: HRM — это просто модное словечко от маркетологов кибериндустрии. Отчасти это правда, но у HRM есть мощный союзник — искусственный интеллект. В отличие от общего шума вокруг ИИ, здесь есть реальные исследования и экспертное согласие: ИИ способен кардинально изменить обучение.
Профессор Университета Пенсильвании Итан Моллик в книге «Co-Intelligence: Living and Working with AI» утверждает, что ИИ может стать «сократическим наставником», который мягко направляет пользователей к успеху, предлагает симуляции и ролевые игры, адаптирует обучение под личность. В контексте HRM «намёк» — это микрообучение в реальном времени: сотрудник кликает на вредоносную ссылку — и сразу получает урок по безопасному поведению.
HRM с ИИ учитывает индивидуальные привычки: Алиса лучше усваивает текст, а Боб — видео. Современные платформы проводят ролевые игры, добавляют геймификацию и задействуют дух соревнования. Таким образом, HRM с ИИ способен сделать экспертные знания доступными для всех.
С точки зрения возврата инвестиций, HRM предлагает гораздо более точный подход к снижению киберрисков, чем SAT. CISO и HR-менеджеры могут отчитываться не о количестве обученных, а о реальных улучшениях в поведении пользователей. Повторные нарушители не просто выявляются — им предоставляются персонализированные инструменты. В итоге становится возможным показать прямую связь между обучением и снижением числа инцидентов.
Как говорил Аристотель: «Мы — то, что мы делаем постоянно. Следовательно, совершенство — это не действие, а привычка». HRM как раз и призван формировать такие привычки. Если бы Аристотель был CISO, он бы без колебаний выбрал переход от SAT к HRM.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jon Oltsik
