Инструкции против привычек. Почему ИТ‑защита бизнеса ломается на уровне сотрудников

Многостраничные инструкции по ИТ‑безопасности есть почти в каждой компании, но одних регламентов уже недостаточно для защиты бизнеса. Исследование CaseStudy.Techart показало: сотрудники знают базовые правила безопасности, однако привычка выбирать более простой и быстрый способ работы нередко создает риски для компании. Разбираем, какие действия команды чаще всего ослабляют защиту данных и что предприниматель может сделать, чтобы снизить вероятность утечек данных.

Какие правила безопасности сотрудники соблюдают чаще всего и почему

Наиболее высокие показатели в отчетах аналитиков связаны с процессами, которые контролируются программным обеспечением или строгими внутренними регламентами:

1. Обмен документами: абсолютное большинство сотрудников — 96% участников опроса — отправляют и получают рабочие файлы исключительно через разрешенные корпоративные каналы связи и официальную почту.
2. Физический доступ к устройствам: у 87% респондентов рабочие компьютеры и ноутбуки автоматически блокируются, как только специалист покидает свое рабочее место. Это существенно снижает риск того, что посторонний человек или посетитель офиса сможет получить доступ к открытой корпоративной системе.
3. Физическая безопасность данных: лишь 13% сотрудников признались в том, что до сих пор хранят бумажные стикеры с записанными логинами и паролями на мониторе или под клавиатурой. Еще несколько лет назад подобная картина была нормой для любого офиса, но сегодня уровень базовой осторожности в физическом пространстве заметно вырос.

Эти цифры подтверждают важный тезис для любого предпринимателя: Дисциплина формируется там, где у человека нет необходимости постоянно держать в голове мелкие технические действия из‑за спешки или загруженности.

Почему большинство сотрудников используют одинаковые пароли

Проблемы начинаются в тех зонах, где автоматизацию внедрить сложнее, и безопасность компании начинает напрямую зависеть от личной ответственности конкретного человека. Как только сотруднику предоставляется свобода действий в повседневных сценариях, статистика резко ухудшается.

Аналитики зафиксировали следующие показатели:

1. Короткие комбинации: У 78% опрошенных сотрудников длина используемых паролей составляет менее 12 символов. С точки зрения современных вычислительных мощностей, короткие текстовые пароли без использования спецсимволов и цифр взламываются методом простого перебора (брутфорса) за минимальное время.
2. Повторное использование: 61% респондентов честно признают, что используют одинаковые комбинации логинов и паролей для доступа к совершенно разным сервисам. Это создает серьезные риски для компаний. Если менеджер зарегистрировался на стороннем ресурсе или в интернет‑магазине с использованием рабочей почты и своего привычного пароля, то при любой утечке данных этого магазина внешние лица могут получить ключи к его рабочему аккаунту в корпоративной сети.
3. Игнорирование инструментов защиты: Специализированными менеджерами паролей пользуются всего 35% сотрудников. Остальные предпочитают полагаться на собственную память, записывать данные в блокноты или использовать встроенные инструменты браузеров, которые легко компрометируются вредоносным ПО.

Данная статистика иллюстрирует ключевой конфликт: люди систематически выбирают простоту вместо соблюдения сложных практик защиты. Запомнить один простой пароль для пяти сайтов гораздо легче, чем генерировать и хранить десятки сложных комбинаций.

К чему приводит передача паролей между коллегами

Еще одна неочевидная угроза — отношение к передаче доступов внутри коллектива. Около 30% участников исследования заявили, что готовы без колебаний поделиться своим логином и паролем от корпоративной системы с коллегами по работе.

Однако для бизнеса подобная практика оборачивается потерей точности учета и размытием персональной ответственности:

1. Проблемы с мониторингом действий: когда доступы становятся общими, руководство и служба безопасности теряют возможность точно установить, кто именно совершил то или иное действие в системе. Если в базе данных произойдут изменения или ошибки, по цифровым логам виновным окажется владелец аккаунта, хотя на самом деле под его учетной записью в этот момент работал совсем другой сотрудник.
2. Трудности при внутренних расследованиях: в случае некорректных действий (например, случайного удаления важных коммерческих файлов) установить реальную хронологию событий и определить ответственного сотрудника становится невозможно, если его учетными данными открыто пользовался весь отдел.
3. Нарушение требований законодательства: передача доступов к персональным данным клиентов третьим лицам (даже если это коллеги из соседнего отдела, у которых нет официального допуска) напрямую нарушает требования законодательства (в частности, 152‑ФЗ), что грозит компании крупными штрафами со стороны контролирующих органов.

Где скрываются уязвимости гибридного формата работы

Развитие гибридных форматов работы и возможность выполнять задачи из любой точки мира открыли для бизнеса новые коммерческие возможности, но одновременно с этим создали новые технологические задачи для кибербезопасности. Компании активно инвестируют в доступность своих сервисов вне офиса, однако формирование безопасных привычек у сотрудников явно не поспевает за темпами цифровизации процессов:

1. Личные устройства в корпоративной сети: почти 40% сотрудников заходят в корпоративные системы и работают с конфиденциальными ресурсами со своих личных смартфонов, планшетов или домашних компьютеров. Главная уязвимость здесь заключается в том, что домашний ПК находится вне зоны контроля системных администраторов компании. На нем может не быть лицензионного антивируса, зато могут быть установлены сторонние программы или расширения для браузера, способные незаметно перехватывать вводимые данные.
2. Работа без защищенного подключения:защищенное подключение при удаленной работе используют только 57% специалистов. Остальные 43% подключаются к рабочим серверам напрямую, в том числе через открытые сети Wi‑Fi в общественных местах. Трафик в таких сетях часто не зашифрован, что повышает риск перехвата учетных данных или коммерческой переписки.

Обычно это связано не с дисциплиной, а с отсутствием удобных инструментов. Сотрудники реже используют защищенное соединение, если процесс подключения слишком сложный или в компании не настроен единый корпоративный доступ для удаленной работы.

Почему общая защищенность компании определяется надежностью каждого сотрудника

• 74% сотрудников внимательно проверяют точные адреса получателей перед тем, как нажать кнопку «Отправить», чтобы случайно не услать конфиденциальные документы тезке из другой организации;
• 91% опрошенных утверждают, что никогда не открывают вложения к письмам и не переходят по ссылкам, если они не уверены в личности отправителя.

На первый взгляд, 91% пользователей — это высокий уровень грамотности. Однако специфика информационной безопасности такова, что даже небольшой процент ошибок может иметь критические последствия. Оставшиеся 9% сотрудников, которые могут из‑за спешки или невнимательности открыть вложение в подозрительном письме, создают существенные риски для инфраструктуры.

В реальной бизнес‑практике злоумышленникам не нужно искать уязвимости на каждом компьютере. Достаточно одной ошибки, чтобы вредоносное ПО из вложения попало во внутреннюю сеть, заблокировало серверы или нарушило операционную деятельность компании. Безопасность системы в данном случае определяется надежностью каждого отдельного сотрудника.

Как защитить бизнес, если вы не ИТ‑специалист

Вот несколько шагов, которые помогут снизить риски.

Проверяйте не знания, а реальные действия. Регулярные инструктажи полезны, но они не показывают, как сотрудники ведут себя в рабочих ситуациях. Периодические учебные фишинговые рассылки позволяют оценить реальные риски и вовремя обратить внимание на проблемные зоны.

Не давайте сотрудникам больше доступов, чем нужно для работы. Чем меньше систем доступно сотруднику для выполнения задач, тем ниже потенциальный ущерб в случае ошибки, утечки данных или взлома учетной записи. Например, если доступ к программе нужен только определенной группе специалистов, остальным сотрудникам можно предоставить права только на просмотр или ограниченный гостевой доступ.

Разделяйте рабочую и личную среду. Если сотрудники работают удаленно с личных устройств, им стоит организовать отдельный рабочий доступ к корпоративным данным. Это снижает риски, связанные с домашними компьютерами и мобильными устройствами, которые компания не контролирует напрямую.

Делайте безопасное поведение удобным. Если соблюдение правил требует лишних действий, сотрудники будут искать обходные пути. Поэтому меры защиты должны не усложнять работу, а максимально органично встраиваться в привычные процессы.

Напоминайте о рисках регулярно. Информационная безопасность — это не разовый проект, а постоянная работа. Даже хорошо обученные сотрудники со временем теряют бдительность. Короткие регулярные напоминания, разбор реальных кейсов и обсуждение новых схем мошенничества помогают поддерживать внимание команды значительно эффективнее, чем редкие формальные тренинги.

Главный вывод прост: в вопросах кибербезопасности нельзя полностью исключить человеческие ошибки. Но можно выстроить процессы так, чтобы одна случайная ошибка сотрудника не превращалась в проблему для всего бизнеса.