Кейсы утечек из-за ошибок сотрудников: как предотвратить инциденты через обучение ИБ

Когда говорят об утечках данных, в воображении сразу рисуются образы хакеров с капюшонами, вредоносных программ и сложных атак. Однако на практике гораздо чаще виновниками инцидентов становятся не внешние злоумышленники, а собственные сотрудники. Не по злому умыслу, а по незнанию. Ошибка в настройке доступа, письмо «не туда», открытие зараженного файла — и вот уже персональные данные клиентов или конфиденциальная информация ушли в публичное плавание.

В этой статье мы разберём реальные случаи утечек, вызванные человеческим фактором, и покажем, какие меры обучения могли бы предотвратить катастрофу.

Ошибки сотрудников — не редкость, а закономерность

По некоторым оценкам, более 88% инцидентов информационной безопасности так или иначе связаны с действиями сотрудников. Это не только халатность, но и банальное непонимание рисков. Многие до сих пор уверены, что «открыть Word-файл от клиента — это безопасно». Именно поэтому обучение информационной безопасности перестаёт быть опцией и становится базовой необходимостью.

Но прежде — кейсы.

Случай 1: письмо «не тем» и массовая утечка персональных данных

В 2022 году одна из крупных медицинских клиник в Москве отправила клиентскую рассылку, прикрепив Excel-файл со списком пациентов, диагнозами и контактами. Вместо закрытой ссылки или обезличенной выборки — открытый документ без шифрования. Ошибка младшего администратора.

Как предотвратить:
Обучение работе с персональными данными и базовым принципам обращения с конфиденциальной информацией. Сотрудник должен понимать, что даже банальный список клиентов — это объект правовой защиты. Основы ФЗ-152, правила анонимизации, форматирование данных — всё это должно входить в программу начального обучения в компании.

Важно также объяснять не только что делать нельзя, но и почему. Люди редко следуют слепым запретам, но хорошо откликаются на понимание последствий.

Случай 2: фишинг всё ещё работает

В одной ИТ-компании сотрудник открыл письмо с заманчивым предложением о сотрудничестве. Вложенный PDF был заражён. Через него злоумышленники получили доступ к внутренней сети. Ушли контракты, исходники, финансовые документы. Причина — сотрудник не знал, как выглядит фишинговое письмо.

Как предотвратить:
Интерактивные тренинги с реальными примерами фишинга, регулярные «боевые учения» с поддельными письмами, где сотрудник может ошибиться — и получить разбор без наказания. Такая геймификация учит быстрее и глубже, чем лекции. Важно не просто рассказать, что «фишинг — это плохо», а показать, как он выглядит в реальной жизни.

Случай 3: «удобство важнее безопасности»

Сотрудник департамента закупок решил сохранить копии всех контрактов в личном облачном хранилище, чтобы «всегда был под рукой». Без защиты, без шифрования, без ведома ИТ-отдела. В один день облако взломали, и все документы оказались в открытом доступе.

Как предотвратить:
Обучение культуре информационной безопасности в компании должно включать разъяснение границ ответственности. Сотрудники должны понимать, что использование внешних сервисов — это не просто «удобно», это потенциальная точка компрометации. Обсуждение кейсов, разбор политики безопасности, работа с контртезисами «а мне так быстрее» — обязательная часть курса.

Что даёт обучение информационной безопасности?

Можно сколько угодно описывать правила, но без вовлечения сотрудников они остаются мёртвым текстом. Именно поэтому эффективное обучение информационной безопасности всегда должно быть интерактивным, многосценарным и построенным на реальных примерах. Сухой инструктаж не заменит моделирование инцидентов и обратную связь.

Сотрудник, осознающий угрозы, реже станет их источником. Люди начинают задавать вопросы, советоваться, вовлекать ИБ-отдел в повседневную работу. При наличии документально подтверждённого обучения организация может снизить ответственность в случае инцидента.

На базовом уровне обучение должно охватывать:

• работу с персональными данными;
• основы защиты информации;
• распознавание фишинговых атак;
• правила хранения и передачи файлов;
• использование корпоративных и личных устройств.

На продвинутом — моделирование атак, реагирование на инциденты, понимание юридических последствий.

Сотрудник — не враг и не угроза по умолчанию. Он становится риском, если не знает, как действовать правильно. А значит, задача бизнеса — не только ограничивать, но и обучать. Построение системы информационной безопасности в компании невозможно без системной работы с человеческим фактором. Именно он — главный, хоть и самый непредсказуемый, элемент этой системы.