Security Awareness и социальная инженерия: как защитить компанию
Почему люди — главная уязвимость компании
Файрволы стоят. Антивирусы обновлены. SIEM собирает логи в реальном времени. Но сотрудник получает письмо «от директора» — и переводит деньги на чужой счёт. Именно так выглядит большинство успешных кибератак в 2025–2026 году: не взлом систем, а взлом людей.
В 2025 году в России зафиксировано 9,3 млн случаев кибератак в 38,5 тысячах организаций — среднее число инцидентов на одну компанию выросло на 51%. При этом в 60% успешных атак злоумышленники применяли социальную инженерию: они давили не на уязвимость в коде, а на человека. Любой сотрудник — от рядового менеджера до финансового директора — может стать точкой входа в инфраструктуру компании.
💡 По данным Positive Technologies, социальная инженерия применялась в каждой второй успешной атаке на российские организации в 2025 году. В 2026 году угроза усилилась: ИИ позволяет злоумышленникам создавать персонализированные сценарии, клонировать голоса руководителей и генерировать дипфейк-видео.
Технические средства защиты не закрывают этот вектор — антивирус не читает намерения человека. Единственный инструмент, который работает против атак на людей, — системное обучение. Именно этим и занимается Security Awareness.
Что такое Security Awareness
Security Awareness — это система непрерывного обучения сотрудников навыкам распознавания и противодействия кибератакам, направленным на людей. Не разовый инструктаж, не подписанная памятка и не презентация раз в год. Это постоянный цикл: обучение → симуляция реальной атаки → анализ ошибок → повторное обучение. Цель — не знания, а выработанные рефлексы.
Принципиальная разница между разовым инструктажем и полноценной SA-программой состоит в одном: знание о том, что фишинг существует, не формирует навык его распознавания в реальной ситуации. Человек может помнить, что «нужно проверять отправителя», — но в загруженный рабочий день, когда письмо выглядит как уведомление от HR о зарплате, этот шаг просто не срабатывает автоматически. Навык формирует только практика.
Разница между инструктажем и SA-программой
Большинство российских компаний до сих пор ограничиваются ежегодным инструктажем: сотрудники смотрят слайды, подписывают бумагу — и всё. Проблема в трёх механизмах, которые делают такой подход неэффективным.
Забывание. Без повторения 80% информации теряется за месяц. К следующему инструктажу через год большинство сотрудников не вспомнят ни одного конкретного признака фишингового письма. Отсутствие практики. Теория без симуляции не создаёт рефлекс — человек знает, но не делает. Устаревание сценариев. В 2026 году ИИ-фишинг без единой орфографической ошибки и дипфейк-звонки от «руководителя» уже реальность. Инструктаж двухлетней давности этому не учит.
💡 Компании с непрерывным циклом Security Awareness снижают долю ошибочных кликов с 30–40% до 1,5% за 12 месяцев. Это измеримый результат, который можно показать руководству и обосновать бюджет на SA-программу.
Социальная инженерия: техники атак на людей
Социальная инженерия — это манипуляция людьми с целью получить доступ к данным, системам или помещениям без их технического взлома. Никаких эксплойтов и нулевых уязвимостей — только психология. Атакующий создаёт ситуацию, в которой жертва сама делает нужное ему действие: переходит по ссылке, называет пароль, открывает файл или переводит деньги. Понимание техник — первый шаг к тому, чтобы их остановить.
Фишинг, вишинг и смишинг
Фишинг — массовые или целевые письма с поддельных адресов: под видом банков, госорганов, HR-службы или руководства. Целевой вариант — spear phishing — идёт дальше: атакующий предварительно изучает жертву через открытые источники, узнаёт имя, должность и текущие проекты, создаёт письмо, неотличимое от личной переписки. По данным исследований, более 40% сотрудников российских компаний уязвимы к фишингу, каждый третий вводит рабочие учётные данные на поддельных страницах.
Вишинг — голосовые звонки от «службы безопасности банка», «IT-поддержки» или «представителя ФНС». Цель — получить данные карты, одноразовый код или удалённый доступ. В 2025–2026 годах злоумышленники начали применять клонирование голоса с помощью ИИ: достаточно нескольких минут публичных записей руководителя, чтобы создать неотличимую имитацию. Смишинг работает через SMS и мессенджеры: «ваша посылка задержана», «подтвердите данные», уведомление от «Госуслуг» — короткое сообщение не вызывает подозрений.
Претекстинг, тейлгейтинг и бейтинг
Претекстинг — атакующий создаёт детально проработанную легенду: представляется новым сотрудником, подрядчиком или IT-специалистом. Заранее изучает жертву через открытые источники, называет реальные имена коллег и ссылается на актуальные проекты. Это один из самых труднораспознаваемых методов — человек говорит правильные слова. Тейлгейтинг — физическое проникновение: злоумышленник проходит следом через дверь с пропускной системой, пока та ещё открыта. Бейтинг — подброшенная USB-флешка с наклейкой «Зарплаты Q1 2026»: любопытный сотрудник подключает её к рабочему компьютеру — и запускает загрузчик вредоноса.
ИИ как новый инструмент атакующих
В 2026 году генеративный ИИ радикально снизил порог входа в социальную инженерию. Фишинговые письма без единой орфографической ошибки, клонированные голоса руководителей для вишинга, дипфейк-видео для сложных схем мошенничества — всё это перестало быть сценарием из фантастики. Если раньше письмо можно было распознать по корявому языку, сегодня этот признак уходит в прошлое. Это означает, что обучение сотрудников должно строиться не на распознавании «плохого качества», а на понимании психологических триггеров и процедурах верификации.
💡 Все атаки социальной инженерии эксплуатируют психологические триггеры: срочность, страх, авторитет, социальное давление, доверие, любопытство. Главный признак атаки — ощущение, что нужно действовать прямо сейчас. Это сигнал остановиться и проверить, а не повод торопиться.
Подробный разбор всех техник, реальные примеры атак и шесть правил защиты — в материале Социальная инженерия: что это, как работает и как защититься.
Как строится программа Security Awareness
Платформа — это инструмент. Без правильно выстроенного процесса она даёт только иллюзию защиты. Программа SA — это управляемый цикл, а не набор мероприятий. Её цель — не провести обучение, а изменить поведение сотрудников настолько, чтобы это стало измеримым. Именно поэтому любая программа начинается с базовых измерений и заканчивается сравнением с точкой отсчёта.
О том, как выстроить SA-программу от стратегии до метрик, — подробно в статье Как построить программу Security Awareness. Здесь — выжимка ключевых шагов.
Пять шагов рабочего SA-цикла
Шаг 1 — Базовое тестирование («нулевой замер»). Запустите симуляцию до начала обучения, без предупреждения. Типичный результат: 30–40% сотрудников кликают на фишинговое письмо. Эта цифра становится точкой отсчёта для оценки эффективности всей программы.
Шаг 2 — Базовый курс. 20–30 минут на ключевые темы: как выглядит фишинг, признаки вишинга, правила работы с подозрительными запросами. Коротко, конкретно, с примерами из реальных атак — не из учебника 2019 года.
Шаг 3 — Регулярные симуляции. Раз в квартал — учебная рассылка. Разные сценарии, разные каналы, без предупреждения. Однотипные симуляции теряют эффект: сотрудники начинают угадывать шаблон, а не распознавать реальные признаки атаки.
Шаг 4 — Моментальная обратная связь. Кликнул на симуляцию — сразу мини-урок, пока «ошибка ещё горячая». Не наказание, а обучение в момент максимальной восприимчивости. Это ключевой механизм формирования рефлекса.
Шаг 5 — Аналитика и повторный срез. ИБ-менеджер видит данные по отделам и адресно усиливает обучение там, где уязвимость выше. Раз в год — сравнение с «нулевым» замером для отчёта руководству. Снижение доли кликов с 30% до 1,5% — это аргумент для любого бюджетного обсуждения.
💡 О том, как фишинг используется в симуляциях и почему регулярная тренировка важнее любого инструктажа — читайте в материале Фишинг как угроза: обучение сотрудников.
Платформы Security Awareness на российском рынке
На российском рынке сформировалось несколько зрелых платформ для корпоративного Security Awareness. Они различаются по охвату каналов атак, глубине образовательного контента, порогу входа и стоимости. Детальный обзор с разбором каждой платформы — в статье Security Awareness: как обучить сотрудников и выбрать платформу. Здесь — краткая выжимка.
Phishman
Одна из наиболее функциональных российских SA-платформ с максимальным охватом векторов атак. Помимо фишинговых рассылок умеет имитировать атаки через мессенджеры, SMS, поддельные WiFi-точки, USB-накопители и проводить обманные звонки (вишинг). Встроенный конструктор сценариев позволяет адаптировать шаблоны под конкретную отрасль. Подойдёт крупным и средним организациям, которым нужен максимальный охват векторов.
Secure-T
Платформа с акцентом на комплексный подход: есть и модуль симуляций, и полноценная СДО с готовой библиотекой из 60+ курсов — от фишинга до безопасной разработки, включая интерактивные мини-игры. Стоимость — до 2 200 руб. за сотрудника в год. Подойдёт компаниям, которым нужна не только симуляция атак, но и полноценная образовательная экосистема.
Start X
Компания ООО «Антифишинг» с 2016 года специализируется на человеческом факторе в ИБ. Флагманский продукт Start AWR охватывает все основные каналы: email, SMS, поддельные WiFi-точки, соцсети, мессенджеры. Отличительная черта — персонализированные треки обучения под конкретную роль сотрудника, а не универсальный курс для всех. Подойдёт организациям, для которых важна персонализация под роли.
StopPhish
Платформа с упором на реальные сценарии атак и простоту запуска. Единственная в обзоре с бесплатным тарифом — удобно для старта без выделенного бюджета. Платные тарифы — от 2 900 руб. за сотрудника в год. Ежегодно проводит отраслевую конференцию StopPhish Conference. Подойдёт компаниям, которые хотят начать без большого бюджета.
Как измерить эффективность программы
Без метрик SA-программа — это просто набор мероприятий. С метриками — управляемый процесс с измеримым результатом, который можно защищать на уровне руководства и обосновывать бюджет. Ключевые показатели, которые отслеживают зрелые программы: доля кликов на учебных фишинговых рассылках (Click Rate), доля сотрудников, прошедших обучение, время реакции на подозрительное письмо и количество самостоятельных обращений в службу ИБ.
Точкой отсчёта всегда служит «нулевой замер» — симуляция до начала программы. Именно разница между начальным значением и текущим показывает реальную эффективность: снижение доли ошибочных кликов с 30–40% до 1,5% за 12 месяцев — стандартный результат при выстроенном непрерывном цикле. Дополнительный индикатор зрелости — снижение числа реальных инцидентов, вызванных человеческим фактором.
Культура безопасности: следующий уровень после осведомлённости
Осведомлённость — это знание правил. Культура безопасности — это состояние, когда сотрудники следуют этим правилам автоматически, даже когда никто не смотрит. Разница принципиальная: в первом случае человек помнит, что проверять отправителя «надо», во втором — делает это рефлекторно, потому что иначе кажется странным.
Переход от осведомлённости к культуре требует нескольких условий: регулярные симуляции, которые становятся привычной частью рабочей среды; открытые коммуникации — сотрудник не боится сообщить об ошибке; лидерство сверху — руководство само демонстрирует нужные поведенческие паттерны. О том, как выстраивать киберкультуру в компании системно, — в статье Кибербезопасная культура в компании.
💡 Культура безопасности — это не проект с дедлайном, а непрерывный процесс. Компании, достигшие этого уровня, не просто снижают Click Rate: у них сотрудники сами сообщают о подозрительных письмах и звонках — и число таких обращений в службу ИБ растёт как позитивный индикатор.
Кому нужно обучение по Security Awareness
Security Awareness — это не только для ИБ-отдела. Социальная инженерия атакует всех: рядового менеджера по продажам, финансового директора, сотрудника кадровой службы и технического специалиста. У каждой роли своя точка уязвимости — и программа обучения должна это учитывать.
Рядовые сотрудники — основная масса тех, кто кликает на фишинговые письма. Им нужны простые, запоминающиеся правила и регулярные симуляции. Финансовые и административные сотрудники — главная цель BEC-атак (компрометация деловой переписки) и мошеннических переводов: отдельный трек с акцентом на верификацию платёжных инструкций. ИТ-специалисты — высокоценная цель для претекстинга и атак через «внутреннюю поддержку»: углублённые симуляции с нестандартными сценариями. Руководители и CISO — стратегический уровень: как выстроить, измерить и защитить программу SA перед советом директоров. Для тех, кто хочет развиваться в направлении CISO, — понимание SA-процессов является обязательной компетенцией.
Специалисты по Security Awareness — отдельная и быстро растущая роль в ИБ-командах. Они отвечают за весь цикл: разработку обучающего контента, запуск симуляций, аналитику и коммуникации с бизнесом. Эта профессия находится на пересечении кибербезопасности, педагогики и внутренних коммуникаций — и именно поэтому требует специализированного обучения, а не просто переноса навыков из смежных ролей. Специалисты Blue Team также тесно работают с SA-программами — симуляции атак являются частью их инструментария.
Где пройти курс по Security Awareness
Если вы хотите не просто познакомить сотрудников с фишингом и социальной инженерией, а выстроить устойчивую привычку безопасного поведения, начните с практического обучения и регулярных симуляций. Ниже — подборка курсов для специалистов по ИБ, руководителей направлений и команд, которым важно снизить риск инцидентов, связанных с человеческим фактором.
INSECA
Практический курс для ИБ-специалистов и тех, кто запускает SA-программу в компании. В программе — психология обучения, симуляции фишинга, работа с контентом и дорожная карта внедрения.
SberCyberSecurity School
Курс о том, как распознавать фишинговые письма, сообщения и звонки. Подходит для сотрудников любого уровня подготовки и удобен для быстрого корпоративного старта.
iSpring Academy
Вводный курс по основным техникам социальной инженерии и методам защиты. Хороший вариант для быстрого запуска обучения и повышения осведомлённости команды.
Stepik / Data Secure
Курс по противодействию социальной инженерии и мошенничеству
Практический курс с кейсами по противодействию манипуляциям и мошенническим сценариям. Подойдёт как ИБ-специалистам, так и тем, кто выстраивает SA-программу в компании.