Вызов Гомера: как быстро правила информационной безопасности станут требованием
В одной из вступительных заставок мультсериала «Симпсоны» главный герой Гомер Симпсон, дождавшись окончания рабочей смены на атомной станции, моментально роняет радиоактивный элемент и, не заметив этого, уходит с ним домой. Одновременно на заднем фоне два других персонажа меняют цифру «два» на «три» рядом с фразой «Дней без происшествий» (Days without an accident). Этот момент не только раскрывает характер героя, но и подчеркивает его влияние на уровень безопасности на атомной станции, где он работает — предприятии, на котором не проходит и четырех дней без инцидентов.
Переосмыслить сцену можно в контексте данных компании «Бастион»: за первое полугодие 2025 года количество кибератак через личные устройства сотрудников компаний выросло на 30%. До 25% утечек корпоративной информации происходит именно через собственные гаджеты сотрудники компаний.
В мультсериале Гомера даже увольняли с работы за нарушения безопасности, но неизменно брали обратно. Но жизнь — не сериал. Учитывая рост киберугроз, возникает вопрос — как скоро навыки соблюдения информационной безопасности станут одним из обязательных критериев для найма сотрудника и сохранения его в должности? Мой прогноз — очень скоро.
Исследование компании «Бастион» еще раз подтвердило, что целью кибератак чаще всего становятся сотрудники. Как именно — через личные или корпоративные гаджеты — вопрос пути, точки прорыва контура безопасности.
Принципиально другое: более 75% инцидентов информационной безопасности происходят внутри компаний. При этом большинство компаний продолжают инвестировать в первую очередь в защиту внешнего периметра и игнорируют соблюдение правил информационной безопасности сотрудниками.
Российский бизнес уже давно знает о киберугрозах для цифровой инфраструктуры, но не ставит их на первое место в списке потенциальных рисков. Возможных причин две. Первая — множество компаний, особенно малых и средних, логично предполагали, что потенциальная выгода от кибератак ниже затрат на их осуществление. Что делает саму идею организации прорыва не интересной для киберпреступников, поскольку они умеют считать деньги.
Вторая — игнорировать правила позволял низкий уровень развития института деловой репутации в России. После новостей об утечке персональных данных, пользователи не отказывались от сервисов и продуктов компаний, которые ее допустили.
В результате бизнес, в массе своей, не видел прямого и, главное, значимого риска для своей стабильности из-за успешных кибератак на свою инфраструктуру. Но сейчас ситуация изменилась.
Одним из драйверов изменения отношения к киберугрозам стало увеличение штрафов за утечку персональных данных. С конца мая 2025 года за повторную утечку персональных данных компаниям грозит штраф до 500 млн рублей. При этом штраф рассчитывается как 1–3% от годовой выручки компании, но не может составлять менее 20 млн рублей.
Еще один драйвер, может быть даже более важный, рост количества кибератак, цель которых не столько персональные данные, иная информация или деньги, сколько прямой саботаж работы целых компаний. Тенденцию последних нескольких лет зафиксировала, в частности, компания F6 (бывшая F.A.C.C.T.) в своем отчете «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». Аналогичные выводы и у исследования Европейского агентства по кибербезопасности. В качестве примеров подобных действий легко вспомнить атаку на «Аэрофлот», которая привела к отмене значительного числа рейсов. Или приостановку работы магазинов сети «Винлаб».
Что стало причиной успешности атак — проблемы с защитой во внутреннем или внешнем контуре, мне неизвестно, поэтому делать какие-либо выводы по отношению к компаниям некорректно. Но эти примеры демонстрируют, как работа бизнеса может остановиться из-за брешей в защите. Потери при таком сценарии существенно выше, чем размер возможного штрафа.
Сами сотрудники, через которых происходит большинство атак, пока не до конца осознают важность соблюдения правил информационной безопасности. Как показало исследование «Контур.Эгиды», 45% сотрудников российских компаний «в основном» выполняют правила информационной безопасности и, позволяют себе от них отступать, а 15% их вовсе игнорируют. Буквально это означает, что 60% сотрудников — потенциальные источники утечек информации и приостановки работы компании.
Отказ соблюдать кибергигиену опрошенные объяснили тем, что правила излишние, неудобные и мешают привычным методам работы. Можно предположить, что примерно так же, с поправкой на время и уровень общего образования, говорили жители Московской Руси в XVII веке, когда им запретили держать огонь по вечерам в домах, чтобы избежать пожаров, которые уничтожали целые поселения. Или когда в конце XIX века появились первые правила электробезопасности, чтобы предотвратить гибель людей от ударов тока.
Но соблюдать правила все же проще, чем тушить пожар, лечить электротравму или восстанавливать цифровую инфраструктуру. Если сотрудник игнорирует эту аксиому, то возникает вопрос, готов ли он действовать в интересах компании?
И здесь мы переходим к главному вопросу — как долго бизнес будет спокойно относиться к сотрудникам, которые позволяют себе игнорировать отдельные правила информационной безопасности или вовсе их не соблюдать? Вопрос уже переходит в разряд риторических, потому что кажется, что скоро лояльность уступит место требованиям.
Не может устраивать владельца бизнеса и руководителя, что отдельный сотрудник во второй, пятый и десятый раз переходит с рабочей почты по фишинговым ссылкам в надежде получить бесплатный билет на футбольной матч «Спартак» — «Динамо» на переполненном стадионе, выигрыш в лотерее или наследство от принца из Нигерии. Или постоянно использует для решения своих рабочих задач личную, незащищенную двухфакторной аутентификацией, почту. Или входит во внутренний контур компании с личного гаджета с установленным на нем вредоносным ПО.
В реальном бизнесе нет места владельцу атомной станции из «Симпсонов» Чарльзу Бернсу, который может спокойно реагировать на происшествия на своем предприятии в течение всех 37 сезонов. Это, собственно, и есть тот «вызов Гомера» — как компании реагировать на несоблюдение правил информационной безопасности своими сотрудниками?
Выход видится в том, чтобы правила информационной безопасности и их соблюдение стали обязательными для всех должностей. Проверять эти навыки, возможно, нужно начинать уже на собеседовании. По крайней мере, такой путь выглядит намного эффективнее, чем законодательные нормы о дополнительных штрафах для компаний.
Сегодня, по разным исследованиям, можно отметить, что навыки работы с искусственным интеллектом (ИИ) в будущем станут преимуществом при устройстве на работу. Часто инициатором таких прогнозов становятся авторы курсов по работе с нейросетями, подобно тому, как пару лет назад всем обещали безбедное существование после базового курса по заработку на маркетплейсах. Но кажется, знания основ информационной безопасности в скором времени станут более значимым преимуществом, потому что отсутствие сгенерированного ИИ видеопоздравления с милым котиком на день рождения вряд ли сильно расстроит владельца бизнеса. А вот если его сотрудники так и не научатся отличать фишинговое письмо от письма из бухгалтерии, работать с информацией и устройствами, то это грозит компании потерями, остановкой бизнеса или даже банкротством.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Переосмыслить сцену можно в контексте данных компании «Бастион»: за первое полугодие 2025 года количество кибератак через личные устройства сотрудников компаний выросло на 30%. До 25% утечек корпоративной информации происходит именно через собственные гаджеты сотрудники компаний.
В мультсериале Гомера даже увольняли с работы за нарушения безопасности, но неизменно брали обратно. Но жизнь — не сериал. Учитывая рост киберугроз, возникает вопрос — как скоро навыки соблюдения информационной безопасности станут одним из обязательных критериев для найма сотрудника и сохранения его в должности? Мой прогноз — очень скоро.
Внутренний и внешний контур
Исследование компании «Бастион» еще раз подтвердило, что целью кибератак чаще всего становятся сотрудники. Как именно — через личные или корпоративные гаджеты — вопрос пути, точки прорыва контура безопасности.
Принципиально другое: более 75% инцидентов информационной безопасности происходят внутри компаний. При этом большинство компаний продолжают инвестировать в первую очередь в защиту внешнего периметра и игнорируют соблюдение правил информационной безопасности сотрудниками.
Российский бизнес уже давно знает о киберугрозах для цифровой инфраструктуры, но не ставит их на первое место в списке потенциальных рисков. Возможных причин две. Первая — множество компаний, особенно малых и средних, логично предполагали, что потенциальная выгода от кибератак ниже затрат на их осуществление. Что делает саму идею организации прорыва не интересной для киберпреступников, поскольку они умеют считать деньги.
Вторая — игнорировать правила позволял низкий уровень развития института деловой репутации в России. После новостей об утечке персональных данных, пользователи не отказывались от сервисов и продуктов компаний, которые ее допустили.
В результате бизнес, в массе своей, не видел прямого и, главное, значимого риска для своей стабильности из-за успешных кибератак на свою инфраструктуру. Но сейчас ситуация изменилась.
Ответственность и саботаж
Одним из драйверов изменения отношения к киберугрозам стало увеличение штрафов за утечку персональных данных. С конца мая 2025 года за повторную утечку персональных данных компаниям грозит штраф до 500 млн рублей. При этом штраф рассчитывается как 1–3% от годовой выручки компании, но не может составлять менее 20 млн рублей.
Еще один драйвер, может быть даже более важный, рост количества кибератак, цель которых не столько персональные данные, иная информация или деньги, сколько прямой саботаж работы целых компаний. Тенденцию последних нескольких лет зафиксировала, в частности, компания F6 (бывшая F.A.C.C.T.) в своем отчете «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». Аналогичные выводы и у исследования Европейского агентства по кибербезопасности. В качестве примеров подобных действий легко вспомнить атаку на «Аэрофлот», которая привела к отмене значительного числа рейсов. Или приостановку работы магазинов сети «Винлаб».
Что стало причиной успешности атак — проблемы с защитой во внутреннем или внешнем контуре, мне неизвестно, поэтому делать какие-либо выводы по отношению к компаниям некорректно. Но эти примеры демонстрируют, как работа бизнеса может остановиться из-за брешей в защите. Потери при таком сценарии существенно выше, чем размер возможного штрафа.
Комфорт или общий успех
Сами сотрудники, через которых происходит большинство атак, пока не до конца осознают важность соблюдения правил информационной безопасности. Как показало исследование «Контур.Эгиды», 45% сотрудников российских компаний «в основном» выполняют правила информационной безопасности и, позволяют себе от них отступать, а 15% их вовсе игнорируют. Буквально это означает, что 60% сотрудников — потенциальные источники утечек информации и приостановки работы компании.
Отказ соблюдать кибергигиену опрошенные объяснили тем, что правила излишние, неудобные и мешают привычным методам работы. Можно предположить, что примерно так же, с поправкой на время и уровень общего образования, говорили жители Московской Руси в XVII веке, когда им запретили держать огонь по вечерам в домах, чтобы избежать пожаров, которые уничтожали целые поселения. Или когда в конце XIX века появились первые правила электробезопасности, чтобы предотвратить гибель людей от ударов тока.
Но соблюдать правила все же проще, чем тушить пожар, лечить электротравму или восстанавливать цифровую инфраструктуру. Если сотрудник игнорирует эту аксиому, то возникает вопрос, готов ли он действовать в интересах компании?
Готов ли бизнес терпеть Гомера?
И здесь мы переходим к главному вопросу — как долго бизнес будет спокойно относиться к сотрудникам, которые позволяют себе игнорировать отдельные правила информационной безопасности или вовсе их не соблюдать? Вопрос уже переходит в разряд риторических, потому что кажется, что скоро лояльность уступит место требованиям.
Не может устраивать владельца бизнеса и руководителя, что отдельный сотрудник во второй, пятый и десятый раз переходит с рабочей почты по фишинговым ссылкам в надежде получить бесплатный билет на футбольной матч «Спартак» — «Динамо» на переполненном стадионе, выигрыш в лотерее или наследство от принца из Нигерии. Или постоянно использует для решения своих рабочих задач личную, незащищенную двухфакторной аутентификацией, почту. Или входит во внутренний контур компании с личного гаджета с установленным на нем вредоносным ПО.
В реальном бизнесе нет места владельцу атомной станции из «Симпсонов» Чарльзу Бернсу, который может спокойно реагировать на происшествия на своем предприятии в течение всех 37 сезонов. Это, собственно, и есть тот «вызов Гомера» — как компании реагировать на несоблюдение правил информационной безопасности своими сотрудниками?
Выход видится в том, чтобы правила информационной безопасности и их соблюдение стали обязательными для всех должностей. Проверять эти навыки, возможно, нужно начинать уже на собеседовании. По крайней мере, такой путь выглядит намного эффективнее, чем законодательные нормы о дополнительных штрафах для компаний.
Сегодня, по разным исследованиям, можно отметить, что навыки работы с искусственным интеллектом (ИИ) в будущем станут преимуществом при устройстве на работу. Часто инициатором таких прогнозов становятся авторы курсов по работе с нейросетями, подобно тому, как пару лет назад всем обещали безбедное существование после базового курса по заработку на маркетплейсах. Но кажется, знания основ информационной безопасности в скором времени станут более значимым преимуществом, потому что отсутствие сгенерированного ИИ видеопоздравления с милым котиком на день рождения вряд ли сильно расстроит владельца бизнеса. А вот если его сотрудники так и не научатся отличать фишинговое письмо от письма из бухгалтерии, работать с информацией и устройствами, то это грозит компании потерями, остановкой бизнеса или даже банкротством.
