Security Awareness: как обучить сотрудников и выбрать платформу
Человек — последний рубеж защиты. И самый уязвимый
В 2025 году в России зафиксировано 9,3 млн случаев кибератак в 38,5 тысячах организаций — среднее число инцидентов на одну компанию выросло на 51%. При этом в 60% успешных атак злоумышленники применяли социальную инженерию: давили не на уязвимость в коде, а на человека. Файрволы, антивирусы и SIEM этот вектор не закрывают.
Единственный инструмент, который работает против атак на людей — это системное обучение. Именно этим занимается Security Awareness. Не разовый инструктаж раз в год, а непрерывный цикл, который формирует у сотрудников рефлексы, а не просто знания.
💡 Хотите сначала разобраться в самих техниках атак на людей? Читайте статью Социальная инженерия: что это, как работает и как защититься.
Что такое Security Awareness
Security Awareness — это система непрерывного обучения сотрудников навыкам распознавания и противодействия кибератакам, направленным на людей. Ключевое слово здесь — непрерывного. Не презентация раз в год и не подписанный инструктаж, а постоянный цикл: обучение → симуляция реальной атаки → анализ ошибок → повторное обучение.
Разница между разовым инструктажем и SA-программой принципиальная. Знание о том, что фишинг существует, не формирует навык его распознавания в реальной ситуации. Навык формирует только практика: сотрудник получает учебное фишинговое письмо, кликает — и сразу видит объяснение, что это была симуляция. Именно в этот момент закрепляется рефлекс.
💡 Компании с непрерывным циклом Security Awareness снижают долю ошибочных кликов с 30–40% до 1,5% за 12 месяцев — даже при активном росте численности персонала. Это измеримый результат, который можно показать руководству.
Почему разовые инструктажи не работают
Большинство российских компаний до сих пор ограничиваются ежегодным инструктажем: сотрудники смотрят слайды, подписывают бумагу — и всё. Проблема в том, что знание не равно навыку. Человек может знать о фишинге и всё равно кликнуть — потому что письмо пришло в загруженный день, выглядело как уведомление от HR о зарплате, и на него просто не было времени думать.
Три причины, по которым разовый инструктаж не защищает
Забывание. Без повторения 80% информации теряется за месяц. К следующему инструктажу через год большинство сотрудников не помнят ни одного конкретного признака фишингового письма.
Отсутствие практики. Теория без симуляции не формирует рефлекс. Сотрудник знает, что «нужно проверять отправителя» — но в реальной ситуации этот шаг просто не срабатывает автоматически.
Устаревание сценариев. Тактики атак меняются быстро. В 2026 году ИИ-фишинг без орфографических ошибок и дипфейк-звонки от «руководителя» — уже реальность, а не сценарий из фантастики. Инструктаж двухлетней давности этому не учит.
Обзор российских платформ Security Awareness
На российском рынке есть несколько зрелых платформ для корпоративного Security Awareness. Они различаются по охвату каналов атак, глубине образовательного контента и порогу входа. Разбираем каждую честно — по возможностям, фокусу и тому, кому подойдёт.
Phishman
Одна из наиболее функциональных российских SA-платформ с максимальным охватом векторов атак. Помимо фишинговых рассылок Phishman умеет имитировать атаки через мессенджеры, SMS, поддельные WiFi-точки и USB-накопители, а также проводить обманные звонки — вишинг. Встроенный конструктор позволяет создавать сценарии под конкретную отрасль и адаптировать шаблоны под реальный контекст компании.
Ключевые возможности: фишинговые рассылки с детальной аналитикой по отделам, имитация атак через мессенджеры и соцсети, вишинг, атаки через USB и поддельный WiFi, конструктор сценариев, интеграция с внешними СДО, собственный домен для симуляций.
✅ Подойдёт крупным и средним организациям, которым нужен максимальный охват векторов атак и гибкая настройка сценариев.
Secure-T
Платформа от разработчика, входящего в периметр ГК «Солар», с акцентом на комплексный подход. Здесь есть и модуль симуляций, и полноценная система дистанционного обучения с готовой библиотекой из 60+ курсов, и конструктор учебного контента. Среди готовых курсов — распознавание фишинга, работа с персональными данными, безопасная разработка, интерактивные мини-игры.
Ключевые возможности: 60+ готовых обучающих курсов, конструктор курсов и тестов, модуль фишинговых симуляций, интерактивный контент и мини-игры, аналитика по сотрудникам и отделам, интеграция с внешними СДО. Стоимость — до 2 200 руб. за сотрудника в год.
✅ Подойдёт компаниям, которым нужна не только симуляция атак, но и полноценная образовательная экосистема с готовым контентом.
Start X
Компания ООО «Антифишинг» работает с 2016 года и специализируется именно на человеческом факторе в кибербезопасности. Флагманский продукт Start AWR охватывает все основные каналы атак: email, SMS, поддельные WiFi-точки, соцсети и мессенджеры. Отличительная черта — персонализированные треки обучения под роль и уровень конкретного сотрудника, а не универсальный курс для всех.
Ключевые возможности: симуляции по всем каналам, персонализированные треки обучения, настройка сценариев под конкретную компанию, аналитика поведения сотрудников.
✅ Подойдёт организациям, для которых важен полный охват каналов атак и персонализация обучения под роли сотрудников.
StopPhish
Платформа с упором на реальные сценарии атак и простоту запуска. Заявляет о снижении инцидентов из-за человеческого фактора в 20–30 раз. Ежегодно проводит отраслевую конференцию StopPhish Conference: в 2025 году на ней выступали специалисты ИБ из Газпромнефть, Сбер, ВТБ. Единственная платформа в обзоре с бесплатным тарифом — удобно для старта без выделенного бюджета.
Ключевые возможности: фишинговые симуляции с широким набором сценариев, атаки через соцсети и мессенджеры, простая аналитика, понятная руководству. Стоимость: есть бесплатный тариф; платные тарифы — от 2 900 руб. за сотрудника в год.
✅ Подойдёт компаниям, которые хотят начать без большого бюджета, и тем, кто ценит практичность над избыточным функционалом.
Сравнение платформ: что выбрать
Если нужны только email-симуляции и быстрый старт — StopPhish или Secure-T. Если важна полноценная СДО с готовыми курсами — Secure-T. Если нужен охват всех векторов включая вишинг, USB и WiFi — Phishman или Start X. Нет бюджета на старте — StopPhish с бесплатным тарифом.
Ключевые отличия по функциям
Фишинговые рассылки — все четыре платформы. Атаки через мессенджеры — Phishman, Start X, StopPhish. Вишинг (обманные звонки) — только Phishman. Атаки через USB и поддельный WiFi — Phishman и Start X. Готовая библиотека курсов (СДО) — все четыре, у Secure-T максимальный объём (60+). Персонализированные треки — только Start X. Бесплатный тариф — только StopPhish.
Как выстроить SA-программу: минимальный рабочий план
Платформа — это инструмент. Без правильно выстроенного процесса она даёт только иллюзию защиты. Вот минимальный цикл, который реально работает.
Шаг 1 — Базовое тестирование
Запустите «нулевую» симуляцию до начала обучения — без предупреждения. Это покажет реальный уровень уязвимости. Типичный результат: 30–40% сотрудников кликают. Эта цифра становится точкой отсчёта для оценки эффективности программы.
Шаг 2 — Базовый курс
20–30 минут на ключевые темы: как выглядит фишинг, признаки вишинга, правила работы с паролями и подозрительными запросами. Коротко, конкретно, с примерами из реальных атак.
Шаг 3 — Регулярные симуляции
Раз в квартал — учебная рассылка. Разные сценарии, разные каналы, без предупреждения. Однотипные симуляции теряют эффект: сотрудники начинают их угадывать, а не распознавать реальные признаки.
Шаг 4 — Моментальная обратная связь
Кликнул на симуляцию? Сразу мини-урок — пока «ошибка ещё горячая». Не наказание, а обучение в момент, когда оно максимально эффективно.
Шаг 5 — Аналитика и повторный срез
ИБ-менеджер видит аналитику по отделам и адресно усиливает обучение там, где уязвимость выше. Раз в год — сравнение с «нулевым» тестированием для отчёта руководству.
💡 При выстроенном непрерывном цикле за 12 месяцев доля ошибочных кликов падает с ~30% до 1,5%. Это измеримый результат, который можно показать на любом уровне — от HR до совета директоров.
Где учиться Security Awareness и защите от социальной инженерии
Повышение осведомлённости сотрудников — один из ключевых методов минимизации рисков социальной инженерии. Если вы выстраиваете защиту от атак на персонал или хотите углубить собственные знания, ниже — проверенные курсы по теме.
Курсы по Security Awareness и социальной инженерии
«Фишинг — тебе пишут мошенники»
SberCyberSecurity School — практический курс о том, как распознавать фишинговые письма, сообщения и звонки. Подходит для сотрудников любого уровня подготовки.
Академия Айспринг — вводный курс по основным техникам социальной инженерии и методам защиты. Удобный формат для корпоративного обучения.
«Курс по противодействию социальной инженерии и мошенничеству»
Data Secure на Stepik — углублённый курс с практическими сценариями. Подойдёт ИБ-специалистам и тем, кто выстраивает SA-программу в компании.