Как научить сотрудников работать с конфиденциальными данными и почему это важно

Владислав Пеньков - Архитектор направления информационной безопасности Лиги Цифровой Экономики. В любой компании есть сведения, которые необходимо защищать. Например, персональные данные сотрудников и клиентов, утечка которых может нарушить 152-ФЗ. Или коммерческая информация, раскрытие которой несет финансовые риски. К сожалению, технические решения не гарантируют абсолютную защиту, поскольку зачастую причиной утечек становится человеческий фактор. Подобные риски актуальны для организаций любого масштаба и отрасли. По последним данным, половина компаний малого и среднего бизнеса вовсе не обучают персонал работе с конфиденциальной информацией. 

Частые причины утечек Причин, по которым посторонние получают доступ к конфиденциальной информации, несколько. Однако большинство из них связаны с невнимательностью сотрудников, которые, например, не замечают ошибки в адресе электронной почты или поддаются целенаправленной фишинговой атаке. Согласно исследованию «СерчИнформ», 62 % инцидентов информационной безопасности в московских компаниях за 2025 год случались по неосторожности сотрудников, чаще всего утечки данных происходили по почте или через мессенджеры. По статистике ГК «Солар», 71 % сложных кибератак начинаются с фишинга через электронную почту. Например, хакеры рассылают от лица представителей других отделов, банков, клиентов и подрядчиков письма, в которых содержатся вредоносные файлы и фишинговые ссылки. Когда сотрудник открывает файл или переходит по ссылке, он предоставляет злоумышленникам доступ к внутренней системе компании. Дальнейший вектор атаки и риски зависят от должности сотрудника и его прав в системе. Наибольший интерес для злоумышленников представляют бухгалтерия или ИТ-отдел. Общедоступные мессенджеры становятся все более популярными для обмена документами и обсуждения деловых вопросов. По информации «Контур.Толк», 88 % россиян используют один аккаунт для частных и рабочих задач, из-за чего атаки на личные профили сотрудников становятся одним из каналов доступа к внутренней информации компании. Стоит отметить, что уровень защищенности мессенджеров достаточно высок, но при этом в них нет механизмов настройки корпоративных политик безопасности, а вся информация хранится на внешних серверах, что недопустимо для конфиденциальных сведений. Актуальным остается риск намеренной передачи информации сотрудниками третьим лицам. По последним данным, за 2025 год в России было зафиксировано 68 таких инцидентов. Причины намеренных зловредных действий могут быть разными: финансовая выгода, конфликты с руководством или желание передать информацию при переходе на новое место работы. Одна из неочевидных причин нарушений — излишне высокие требования к ИБ. Иногда политика безопасности препятствует рабочим процессам, например, блокировка социальных сетей может помешать SMM или PR-отделу. Слишком сложные требования к паролям заставляют людей записывать их на стикерах или в заметках. Когда защита воспринимается как помеха работе, сотрудники неизбежно ищут способы обойти ее для облегчения своих задач. Поэтому специалистам ИБ необходимо всегда поддерживать диалог с коллегами и находить баланс между конфиденциальностью и доступностью. Цифровая гигиена — шаг к кибербезопасности компании Один из важнейших шагов к повышению информационной безопасности в компании — системное обучение сотрудников. Оно должно быть понятным, опираться на реальные рабочие ситуации и показывать, как конкретные действия помогают защитить и компанию, и самого сотрудника. Формат может быть разным: живые лекции и обсуждения, онлайн-курсы или памятки для самостоятельного изучения. Если основой становятся материалы для чтения, в таком случае необходимо регулярно проводить тренинги по кибербезопасности и напоминать о популярных схемах атак (фишинговые рассылки в почте, подделка аккаунтов в мессенджерах). Важно, чтобы у сотрудников было пространство для живого общения и возможности задать вопросы — регулярные встречи или отдельный чат с экспертами по ИБ. Иначе требования воспринимаются формально, а результат обучения быстро сойдет на нет. Регулярные форматы особенно необходимы, когда появляются новые кейсы, проекты и сотрудники. Проверка знаний Обучение рекомендуется подкреплять периодической проверкой знаний. Обычные тесты показывают только знание теории и почти не отражают реальное поведение сотрудников. Гораздо более эффективной является проверка с помощью фиктивных хакерских атак — например, рассылки фишинговых писем. Такие профилактические мероприятия позволяют выявить пробелы, скорректировать программу обучения и дополнительно проработать ошибки. Актуализация знаний о новых угрозах С каждым днем хакерские атаки модернизируются и становятся изощреннее, появляются новые схемы обмана и способы взломов. В таких условиях важным инструментом защиты становится регулярное информирование об актуальных угрозах. Обучение сотрудников не должно быть единоразовым мероприятием. Пример хорошей практики — ежемесячная или ежеквартальная рассылка о новых техниках взлома и фишинга, рекомендациях по защите и напоминанием о ключевых правилах кибербезопасности. Повышение уровня безопасности Технические средства защиты информации могут быть дорогими для крупных компаний и почти недоступными для малого бизнеса. На этом фоне вложения в обучение сотрудников кибербезопасности окупаются с точки зрения как эффекта, так и стоимости. Простые меры — использование надежных паролей, шифрование передаваемых данных, внимательное отношение к фишинговым рассылкам — требуют минимальных затрат, но снижают значительную часть рисков. Многие компании по-прежнему пренебрегают информационной безопасностью, руководствуясь следующим принципом: заплатить штраф дешевле, чем купить средства защиты. Но ситуация меняется, размеры взысканий растут, а репутационный ущерб после утечки данных может стоить дороже любого внедрения и привести к потере как потенциальных, так и постоянных клиентов.