А задумывались ли вы, что некоторые сотрудники, которых мы обучаем правилам кибербезопасности, на самом деле не понимают буквально ничего из того, что мы им рассказываем? Не потому, что они глупы — а потому что их мышление и восприятие технологий, и уж тем более угроз в цифровом пространстве, находится совсем в другой плоскости.
Я специалист по информационной безопасности. Конкретно развитием киберкультуры сотрудников занимаюсь последние 2 года. На настоящий момент я провела около 100 индивидуальных консультаций с пользователями разного технического уровня (сотрудников офиса продаж, бухгалтерии, колл-центров и даже врачей), организовала и провела около 40 обучающих вебинаров и очных встреч. И у меня накопился определённый опыт, которым я хочу с вами поделиться, если вы тоже занимаетесь развитием киберкультуры и заинтересованы повышением осведомленности своих сотрудников.
Небольшая оговорка: в данной статье я буду рассказывать об опыте обучения пользователей технологиям личной кибербезопасности. Вроде бы тема не совсем "корпоративная", но, думаю, объяснять, насколько всё взаимосвязано, не нужно. Если человек не понимает, что нельзя открывать фишинговые письма или переходить по подозрительным ссылкам на своем устройстве, то что он сделает на рабочем? Уязвимость человека — это уязвимость компании.
Мем и реальность
Однажды у меня с моей бабушкой состоялся разговор:
« -А ты кем вообще работаешь‑ то?
-Бабушка, я работаю специалистом по защите информации.
-Ну расскажи мне вкратце, что ты делаешь на работе?
-Ну как это вкратце рассказать, даже не знаю. Ну я пишу политики доступов, регламенты, инструкции, чтобы в организации пользователи соблюдали определенные правила безопасности.. защищаю информацию от потенциальных нашуителей.
-Я не понимаю что ты мне говоришь.. Ну ты же на компьютере работаешь?
-Да. На компьютере.
-Ну все. Теперь понятно. »
Даже мем такой был. Но это — реальность огромного количества пользователей, которые «не видят» цифровое пространство, значит — его для них и не существует, а значит и угроз для них нет. Но ведь это не так. Человек с кнопочным телефоном не защищен ни от методов социальной инженерии, ни от финансовых мошенников, ни от манипуляций с его персональными данными. Многие пользователи считают, что это "не про них", - или не знают, с чего начать, и чувствуют себя беспомощными.
Три типа пользователей, с которыми я сталкиваюсь чаще всего (за исключением тех, кто и так все знает и во всем разбирается. Сегодня речь не про них):
Полное непонимание. Они не понимают, зачем это все. Не читают инструкции. Не верят в полезность защиты. Иногда даже не знают, что такое «обновление системы». «Это всё сложно», «я не разбираюсь», «никогда не сталкивался».
Полное отрицание. «Меня никогда не взламывали и не взломают» — и это, между прочим, цитата. Люди искренне не верят, что не могут стать жертвами. Неважно, сколько кейсов вы им покажете.
Полное доверие и благодарность. Самая приятная категория — люди, которые готовы слушать и учиться. И да, таких много! Многие пострадали от рук мошенников или хотят защитить своих близких. Они задают вопросы, пересылают ссылки семье, благодарят на встречах. Даже конспектируют!
Однажды пользователь на предложение проконсультировать его по вопросам личной кибергигиены прислал очень длинное письмо, смысл в котором был о том, что у него кнопочный телефон, и хоть он кандидат наук, вряд ли мы ему сможем помочь в понимании каких-то технологий и защите своих данных. И тогда я окончательно поняла, что наша задача — давать базовые знания таким людям.
Но в практике появляются принципы, которые работают. Как рассказывать о безопасности, чтобы вас услышали?
1. Появилась определенная формула по формированию у человека привычки безопасности. Рассказать:
Почему это важно и актуально? Объяснение угрозы человечным языком.
Где это применяется? Примеры: «На почте, в госуслугах, в мессенджерах».
Как это настроить? Простая пошаговая инструкция, скриншот или краткое видео.
Пример:
Рекомендация: Двухфакторная аутентификация
Зачем? - угроза фишинга,
Где включить? - почта, Госуслуги, банковское приложение.
Как включить? – инструкция, скриншоты.
2. Легкость подачи информации:
минимум текста
без жаргона
без кучи терминов и аббревиатур
живые примеры и истории
3. Доступность информации:
прямая ссылка на инструкцию или статью в базе знаний
подписка на канал или блог с новостями
возможность для пользователя задать вопрос
короткие инструкции
Еще очень часто остро встаёт вопрос коммуникации между службой ИБ и пользователями.
Например, сотрудник отправляет заявку на доступ к ресурсу и получает отказ. Просто отказ. А почему отказали, даже не объяснили.
Или человек, отправляет письмо на проверку на фишинг и ему приходит формальный ответ: «Письмо легитимное. Отправляйте на проверку только если…». Моя личная реакция на такой ответ — разочарование. Я хотела помочь, быть ответственным пользователем, но вместо поддержки ощущаю, что меня упрекают.
Добавим к этому ситуации, когда ответ вообще не приходит неделями — и получаем вполне логичную реакцию пользователя: «Ладно, больше беспокоить не буду». Но ведь это не тот эффект, которого мы добиваемся.
И отсюда появляется 4й принцип – максимальная доброжелательность и открытость. Дело даже не в поощрении. Хотя это тоже хороший метод работы с аудиторией. Дело в помощи тем, кому и так трудно.
Так вот, когда создается доверительная и доброжелательная обстановка, сотрудники начинают говорить. Они спрашивают:
- Что будет страшного, если взломают мой аккаунт в Telegram?
- Разве могут меня обычного пользователя взломать? Кому я нужен?
- Мой ребенок постоянно взламывает родительский контроль.
- Работает ли бесплатный антивирус?
- Как проверить, что сайт не вредоносный?
- Как мне запомнить и где хранить все пароли?
Они предлагают темы, делятся историями, спрашивают советы, радуются, когда становится понятно. Самые популярные темы по обратной связи:
Детская безопасность в интернете
Защита финансовых приложений и профиля госуслуг
Антивирусы
Настройки браузеров и мессенджеров
Как защитить персональные данные
Часто задаваемый вопрос: «У меня совсем всё плохо. Что делать в первую очередь?»
Вот скрипт базовых мер безопасности, который сформировался сам собой:
Поставьте пароль на свое устройство (да, есть такие, у кого нет пароля на телефоне).
Настройте конфиденциальность мессенджерах.
Включите двухфакторную аутентификацию везде, где это возможно.
Подпишитесь на канал с актуальной и проверенной информацией о новых методах социальной инженерии, уловках мошенников, утечках.
Не закрывайтесь от поступающей информации об угрозах, наоборот – прислушивайтесь и делитесь со знакомыми.
Да, человек может быть бухгалтером, сисадмином или менеджером. Но в первую очередь он — родитель, ребёнок пожилых родителей, пользователь социальных сетей, клиент банка. Его цифровая безопасность начинается там, где он живёт, общается и тратит деньги. Цифровая безопасность — это не только и не столько про технологии. Это еще про поведение и привычки.
Кибербезопасность — это совместная задача пользователей и специалистов по защите информации. И если мы хотим, чтобы сотрудники помогали нам защищать компанию, мы должны сначала поддержать их — в информационном поле, в диалоге, в нормальном человеческом общении.
Мой финальный вопрос к вам:
А что бы вы порекомендовали таким пользователям? С чего бы начали? Что считаете самым важным?
Комментарии (8)
Aggle
04.08.2025 21:35-Я не понимаю что ты мне говоришь.. Ну ты же на компьютере работаешь?
-Да. На компьютере.
-Ну все. Теперь понятно
– Вы действительно играете на пианино в борделе?!
– Видите ли, я программист. Специализируюсь на протоколах TCP/IP, пишу распределённые сетевые приложения для операционных систем UNIX, но как это объяснить семилетнему пацану? (ц)
llllXl
04.08.2025 21:35ИБ как религия. Пока человек не столкнётся с мошенничеством или кражей его данных, то он никогда не будет даже на унцию задумываться о вопросах обеспечения собственной ИБ. Ну и помним золотое правило: "Информационная безопасность начинается только тогда, когда имеется какой-либо актив", если человеку безразличны его данные, в той или иной степени, то никогда не получится привить ему навыки по обеспечению собственной ИБ, что тогдв говорить о корпоративной
Bystrovavv Автор
04.08.2025 21:35В случае с личными данными можно привязать: данные(доступ к госуслугам)=деньги, да и с корпоративными тем более. Просто здесь пример нагляднее, ближе "к телу" пользователя.
Но "ИБ как религия" - здорово звучит)) Правда в эту "веру" тяжело обратить))
Ndochp
А как двухфакторка защищает от фишинга? Я вошел на левые госуслуги, ввел пароль. Злоумышленник транслировал его на госуслуги. Я ввел второй фактор (смс, ТОПТ, не важно) он сразу отправился вслед за паролем. И?
Я зарегистрирован в куче мест (угадай под каким именем) и в большинстве у меня пароль ZombiK12. И зачем мне нужен ТОПТ, или не дай бог СМС везде, где только можно? Чтобы на даче (куда провели оптику) лезть на ёлку за СМС?
Имхо - держи ценности защищенными, остальные ресурсы считай заранее скомпрометированными. Паспорт утекшим, телефон с пропиской - тем более. Не доверяй людям, которые обращаются к тебе по имени отчеству и пытаются выдать тебе информацию, которую ты уже считаешь общедоступной, чтобы ты им поверил.
PerroSalchicha
Да, действительно, не обманули, почта ndochp@gmail.com, пароль ZombiK12. Не, вам двухфакторочка не нужна, вам и однофакторная-то не пригодилась.
Ndochp
Как не пригодилась? на любой сайт, в котором я использовал эту пару я могу войти авторизованным пользователем не включая KeePass. К почте этот пароль не подходит и никогда не подходил. А держать KeePass разблокированным подолгу вредно, вроде про это здесь несколько раз писали.
Bystrovavv Автор
Да, согласна с Вами. Отличный пример, что в некоторых случаях даже 2FA не поможет.
Ваш подход к хранению данных - интересный. Но пока еще не многие знают, что их данные потенциально утекают каждый день. Поэтому и советы такие. Бдительность, и уж тем более в привычке, спасет там, где 2FA не справится.