В последние несколько лет я все чаще замечаю одну и ту же проблему в компаниях разного масштаба: бизнес инвестирует в VPN, антивирусы, защиту серверов и корпоративные регламенты, но реальные уязвимости по-прежнему возникают на уровне обычных повседневных действий сотрудников.
На бумаге система безопасности выглядит надежной. Есть инструкции, внутренние политики, обучающие материалы, периодические инструктажи. Но на практике устойчивость компании к цифровым угрозам определяется не количеством документов, а тем, как люди ведут себя в ежедневной работе: какие пароли используют, откуда подключаются к корпоративным сервисам, как реагируют на письма и насколько внимательно относятся к своим учетным данным.
Где безопасность действительно работает
Исследование показало интересную закономерность: если система физически или программно не дает совершить ошибку, регламент выполняется на 100%.
Например:
- 96% сотрудников используют для передачи документов только корпоративные каналы связи и рабочую почту;
- у 87% пользователей устройства автоматически блокируются при уходе с рабочего места;
- лишь 13% сотрудников продолжают хранить пароли на бумажных стикерах.
Для бизнеса это означает простую вещь: сотрудники гораздо чаще соблюдают правила, если безопасный сценарий уже встроен в рабочий процесс. Люди не становятся внезапно более дисциплинированными — просто компании начали выстраивать процессы так, чтобы безопасное поведение было встроено в саму систему работы.
Если сотрудник просто не может отправить файл через сторонний сервис, риск автоматически снижается. Если экран блокируется без участия пользователя, вероятность случайной ошибки почти исчезает.
Вместо надежды на человеческий фактор система проектируется так, чтобы предотвратить ошибку на физическом или логическом уровне.
Именно поэтому я считаю, что современная кибербезопасность — это уже не про постоянный контроль людей.
Почему пароли до сих пор остаются главной проблемой
Самая показательная часть исследования касается управления паролями. Здесь статистика резко ухудшается:
- 78% сотрудников используют пароли короче 12 символов;
- 61% применяют одинаковые пароли для разных сервисов;
- только 35% пользуются менеджерами паролей.
Такая статистика выглядит вполне закономерной. Большинство людей ежедневно работают сразу с десятками сервисов: CRM, корпоративная почта, внутренние порталы, таск-трекеры, облачные хранилища, бухгалтерские системы. Запомнить уникальный сложный пароль для каждого инструмента практически невозможно без дополнительной помощи. Кто-то записывает данные в заметки, кто-то использует один и тот же пароль везде, а кто-то хранит доступы прямо в браузере.
С точки зрения человека это удобно. С точки зрения безопасности — крайне рискованно.
Особенно опасно повторное использование паролей. Один взломанный сторонний сервис может стать точкой входа во внутреннюю инфраструктуру компании. И на практике такие сценарии происходят значительно чаще, чем кажется руководителям.
Почему сотрудники передают пароли коллегам
Еще один тревожный звоночек: около 30% сотрудников готовы передавать свои логины и пароли коллегам.
Примечательно, что люди в этом не видят проблемы, а, наоборот, считают передачу данных проявлением помощи и взаимовыручки. Нужно срочно выгрузить отчет, проверить договор или открыть клиентскую карточку — гораздо проще попросить пароль, чем ждать согласования новых прав доступа.
Но именно в этот момент компания теряет контроль над своими данными.
Когда под одной учетной записью работают несколько человек:
- невозможно точно определить, кто совершил конкретное действие;
- усложняются внутренние расследования;
- появляются серьезные юридические риски, особенно при работе с персональными данными.
Как я упоминала ранее, проблема не только в дисциплине. Во многих компаниях сотрудники делятся доступами, потому что сама система ролей и согласований работает слишком медленно. Люди начинают обходить ограничения ради скорости работы.
Гибридная работа создала новые риски
Отдельно меня заинтересовали результаты, связанные с удаленной и гибридной работой.
Исследование показывает:
- почти 40% сотрудников используют личные устройства для работы с корпоративными системами;
- только 57% подключаются через VPN.
На мой взгляд, именно здесь кроется одна из самых слабых точек корпоративной защиты.
Компании научились защищать офисную среду, но домашние устройства сотрудников по-прежнему остаются «слепой зоной». При этом сотрудник получает доступ к тем же корпоративным ресурсам, что и из офиса.
Почему даже 9% ошибок — это уже много
Пожалуй, самый показательный для меня блок исследования связан с фишингом и электронной почтой.
С одной стороны, результаты выглядят оптимистично:
- 74% сотрудников внимательно проверяют адресатов перед отправкой писем;
- 91% не открывают вложения от подозрительных отправителей.
В информационной безопасности оставшиеся 9% — это уже серьезный риск. Здесь не работает логика «большинство соблюдает правила — значит, все хорошо»: система уязвима настолько, насколько уязвим ее самый слабый элемент.
Безопасность сегодня — это вопрос культуры
Мне кажется, бизнес постепенно приходит к важному пониманию: кибербезопасность — это уже не отдельная функция ИТ-отдела. Это часть общей корпоративной культуры и ежедневных рабочих привычек команды.
Можно инвестировать миллионы в инфраструктуру, но при этом потерять данные из-за одного простого пароля или случайно открытого письма.
И наоборот — компании, которые делают безопасные процессы удобными и понятными для сотрудников, обычно оказываются гораздо устойчивее даже без чрезмерной бюрократии.
В конце концов, защищенность бизнеса определяется не количеством инструкций, а тем, насколько естественно безопасность встроена в ежедневную работу людей.
