Безопасность

Почему тренинги по кибербезопасности не работают — и как это исправить

Государственные учреждения, частные компании и некоммерческие организации десятилетиями пытались научить своих сотрудников не переходить по подозрительным ссылкам и не загружать ненадежные файлы, но недавние исследования показывают, что такое обучение кибербезопасности в значительной степени неэффективно и, возможно, даже контрпродуктивно.

Организации полагаются на обучение кибербезопасности — от симуляций фишинга до ежегодных вебинаров — для подготовки своих сотрудников к выявлению и блокированию цифровых угроз. Индустрия безопасности говорит организациям, что люди — их самое слабое звено, и подчеркивает обучение как решение. Целая индустрия программ обучения кибербезопасности выросла для удовлетворения этой потребности. Но эти программы — краеугольный камень современной стратегии безопасности — промахиваются мимо цели.

Глобальный контекст киберугроз в 2025 году

Масштаб проблемы фишинга

Прежде чем углубляться в проблемы обучения, важно понять масштаб угрозы, с которой мы сталкиваемся:

Статистика фишинговых атак в 2025 году:

  • 3,4 миллиарда фишинговых писем отправляется ежедневно
  • 36% всех утечек данных связаны с фишингом (Verizon DBIR 2023)
  • 94% вредоносного ПО распространяется через фишинг
  • 80% зарегистрированных киберпреступлений связаны с фишингом
  • 1,265% — рост объема фишинговых писем с момента выпуска ChatGPT в ноябре 2022 года
  • 8,4 из 1000 пользователей кликают по фишинговой ссылке ежемесячно — почти втрое больше, чем в прошлом году
  • 83% организаций испытают хотя бы одну фишинговую атаку ежегодно

Финансовые последствия:

  • $4,88 млн — средняя стоимость утечки данных, связанной с фишингом
  • $9,36 млн — средняя стоимость утечки данных в США в 2024 году
  • $2,7 млрд — годовые потери от атак Business Email Compromise (BEC)
  • $12,5+ млрд — потери потребителей от email-мошенничества в 2024 году (рост 25% г/г)
  • $70 млн — убытки только от фишинга как основной категории интернет-преступлений в 2024 году

Профиль жертв фишинга

Данные по возрастным группам:

  • 23% — успешность фишинга среди Millennials и Gen-Z (18-40 лет)
  • 22% — наивысший показатель успешности среди 65+ (из-за доверия к авторитетам)
  • 20% — успешность фишинга среди 25-44 лет (крупнейшая поверхность атаки)
  • 19% — среди Generation X (41-55 лет)
  • 12% — среди 18-24 лет (из-за излишней самоуверенности)

Факторы риска:

  • 44% выше вероятность для новых сотрудников в первые 90 дней работы
  • 23% выше вероятность для топ-менеджеров стать жертвами AI-персонализированных атак
  • 3× выше вероятность для сотрудников под жесткими дедлайнами
  • 25-40% выше успешность на мобильных устройствах по сравнению с десктопами
  • 65% успешных фишинговых атак в 2024 году приходится на spear-phishing

Шокирующие результаты исследований эффективности обучения

Отсутствие доказательств эффективности

Обзор Cybersecurity Dive более дюжины исследований и мета-анализов, опубликованных с 2008 года, показывает, что распространенные методы обучения кибербезопасности не снижают значительно вероятность того, что люди попадутся на фишинговые атаки, а в некоторых случаях фактически делают людей более восприимчивыми к этим атакам.

Ежегодное обучение неэффективно

В широко обсуждаемой статье, представленной на нескольких конференциях летом 2025 года, команда исследователей из Чикагского университета и Калифорнийского университета в Сан-Диего не обнаружила доказательств того, что ежегодное обучение осведомленности о безопасности коррелирует со снижением неудач в фишинге.

Ключевые выводы исследования:

  • Исследователи ожидали увидеть лучшие результаты у людей, недавно завершивших обучение
  • Исследование не обнаружило значительной связи между тем, как недавно пользователь прошел обучение, и тем, как хорошо он справился с фишинговым тестом
  • “Ежегодное обучение осведомленности не предоставляет значимых новых знаний или образования пользователям” — Грант Хо, доцент кафедры компьютерных наук Чикагского университета

Вывод: Сообщество кибербезопасности должно пересмотреть, обеспечивает ли такое обучение, как оно проводится сегодня, значимые преимущества для безопасности.

Проблемы с встроенным обучением

Негативные побочные эффекты

Исследователи ETH Zurich в 2021 году сообщили о еще более тревожных результатах исследования встроенного обучения. Подход не только “не делает сотрудников более устойчивыми к фишингу”, но и может иметь негативные побочные эффекты, которые “делают сотрудников еще более восприимчивыми к фишингу”.

Основные проблемы:

  1. Излишняя самоуверенность — сотрудники становятся чрезмерно уверены в своих способностях
  2. Ложное чувство безопасности — вера, что ошибки в тестах не имеют последствий
  3. Неправильное понимание — создание ошибочных представлений о безопасности
  4. Ограниченный охват — уроки представляются только тем, кто проваливает тест

Исследование ETH Zurich 2024 года обнаружило:

  • “Информирование сотрудников об упражнении и направление их к обучающим материалам на следующий день после инцидента кажется столь же эффективным, как «немедленное» встроенное обучение”
  • Нет необходимости конфронтировать людей сразу после неудачи
  • Встроенное обучение может “создать непонимание и излишнюю уверенность”

Неэффективность для наиболее уязвимых

Исследование ETH Zurich 2024:

  • Исследователи разделили участников теста на две группы
  • Предупредили людей в одной группе, что две неудачи приведут к обязательному обучению
  • Результат: Не обнаружено статистически значимой разницы между группами
  • Вывод: “Для наиболее восприимчивых участников обязательное обучение не принесло дополнительных преимуществ”

Исследование Гарвардского университета 2019:

  • Проведено 20 фишинговых кампаний для более чем 5400 сотрудников
  • После 15-й кампании обязали пройти обучение тех, кто кликнул хотя бы по 5 приманкам
  • Результат: Обучение “не оказало существенного влияния на показатели кликов”
  • Вывод: Нарушители оставались более склонными кликать по фишинговым симуляциям

Краткосрочный эффект обучения

Исследования показывают быстрое угасание эффекта

Университет Аделаиды (Австралия), обзор 2023 года: “Доказательства успеха программ в обеспечении устойчивых изменений поведения ограничены”

Исследование 2020 года:

  • Люди значительно лучше различали реальные и мошеннические письма сразу после обучения
  • Улучшение сохранялось через 4 месяца
  • К 6-месячной отметке улучшение исчезло

Объяснение от эксперта: “Наши привычки сильнее, чем получаемые нами подталкивания”, — сказал Арун Вишванат, исследователь кибербезопасности и консультант. Предвзятые представления о риске “имеют большую инерцию”, чем эфемерные обучающие материалы.

Статистика эффективности различных подходов

Противоречивые данные индустрии

Оптимистичные заявления вендоров:

  • 70% снижение рисков безопасности от обучения осведомленности о кибербезопасности (отраслевые источники)
  • 30% меньше вероятность кликнуть по фишинговой ссылке у обученных пользователей
  • 218% выше доход на сотрудника в организациях со структурированными программами обучения
  • 45-70% снижение рисков безопасности (отчет Aberdeen Group)
  • 86% снижение успешности фишинга при правильных программах обучения

Данные KnowBe4 (крупнейший вендор обучения):

  • Организации с эффективными программами обучения в 8,3 раза реже попадают в публичные списки утечек данных
  • 97,6% текущих клиентов KnowBe4 в США не пострадали от публичных утечек данных с 2005 года
  • 65% снижение вероятности последующих утечек после внедрения программы
  • 73% утечек у клиентов KnowBe4 произошли до внедрения программы обучения

ОДНАКО: Независимые академические исследования не подтверждают эти цифры и показывают противоположные результаты.

Реальные показатели эффективности

Данные Hoxhunt (поведенческая программа):

  • До обучения: только 34% пользователей успешно сообщают о фишинговых симуляциях
  • 11% проваливают тест, открывая вложение или кликая по вредоносной ссылке
  • После 6 месяцев обучения: уровень неудач снижается в 2,5 раза
  • После 12 месяцев: успешность более чем удваивается с 34% до 74% (при 12 симуляциях)
  • После 14 симуляций: успешность достигает 80%
  • Уровень неудач падает в 5,5 раза — с 11% до менее 2%

Средние показатели для квартального обучения:

  • ~7% — показатель отчетности о фишинге в программах, ориентированных на соответствие нормам (SAT)
  • 20% — глобальный бенчмарк для отчетности (Verizon DBIR 2024)
  • 20%+ обычно указывают на программу изменения поведения и зрелую культуру безопасности

Qualcomm — пример успеха:

  • 63% снижение повторных кликов у наиболее уязвимых сотрудников
  • 46% улучшение производительности пользователей высокого риска за 6 месяцев
  • Персонализированный подход к обучению самой рискованной группы пользователей

Проблема знаний и поведения

Знаний недостаточно для изменения поведения

Одним из крупнейших препятствий для эффективного обучения осведомленности о безопасности является сложность преобразования знаний в поведение. Обучающие сессии могут научить людей выявлять фишинговые атаки, но все равно не защищают их от этих атак.

Мета-анализ Лейденского университета (2024, 69 исследований): “Хотя обучение значительно увеличивает предикторы поведения конечного пользователя, такие как отношение или знания, изменения в поведении можно наблюдать лишь минимально.”

Юлия Прюммер, кандидат наук Лейденского университета: “Мы стали чрезвычайно хороши в изменении этих предшественников поведения, но не самого поведения, которое необходимо для обеспечения безопасности.”

Исследователи Оксфордского университета (2019): “Знания и осведомленность — это предпосылка для изменения поведения, но не обязательно достаточная, и именно поэтому это должно быть реализовано в сочетании с другими стратегиями влияния.”

“Правильный ответ на вопросы не означает, что человек мотивирован вести себя в соответствии со знаниями, полученными во время программы осведомленности.”

Роль “подталкиваний” (nudges)

Исследование ETH Zurich 2024:

  • Регулярные “подталкивания” — напоминания об опасностях фишинга и важности их блокирования — были основными драйверами эффективности обучения
  • Содержание обучающих модулей, которое даже “наиболее восприимчивые участники” описывали как бесполезное, имело меньшее значение

Кари Костиайнен, старший научный сотрудник ETH Zurich: “Результаты о подталкиваниях и контенте должны побудить организации пересмотреть свою защиту от фишинга в целом. Вместо акцента на тестировании/обмане, акцент может быть на напоминаниях и отчетности.”

Методологические проблемы исследований

Критика “искусственных” условий

Многочисленные исследования на протяжении многих лет обнаруживали, что обучение осведомленности о безопасности улучшает практики безопасности людей, но из-за методологических проблем эти выводы могут быть не такими значимыми, как кажется изначально.

Проблема лабораторных условий:

  • Многие исследования фишингового обучения включают добровольцев, проходящих тесты в исследовательской лаборатории
  • Эта среда, в которой участники интенсивно вовлечены в обучающие материалы и бдительны к опасностям фишинга
  • Может давать нереалистично “положительные результаты об эффективности обучения”

Исследователи Чикагского и Калифорнийского университетов: “Очень немногие пользователи взаимодействуют со встроенным обучением в дикой природе.”

Австралийские исследователи: Подчеркнули ограниченную ценность исследований, проведенных “в искусственных экспериментальных условиях”, которые “не дают реального понимания успеха программ в обеспечении устойчивых изменений поведения в естественных условиях.”

Ограничения исследований

Обзор литературы Лейденского университета (2024):

  • Малый размер выборки в некоторых исследованиях
  • Участников недостаточно тестировали для надежного определения восприимчивости
  • Одна обучающая сессия перед оценкой навыков
  • Неправильные метрики — фокус на намерениях поведения, изменениях в отношении и восприятии вместо фактического поведения в кибербезопасности

Немецкие и шотландские исследователи (2008): Признали ограничения своей работы по видео о фишинге: производительность участников “определенно следует рассматривать как сценарий ‘наилучшего случая'”, потому что они были настроены на фокус на безопасности. “Их фактические показатели обнаружения, вероятно, будут хуже в реальном мире.”

Текущее состояние отрасли обучения

Статистика внедрения обучения

Данные от 58,984 старших технологических лидеров в США (2025):

Причины прохождения обучения:

  • 79% — обязательное соответствие нормам (mandatory compliance)
  • 12% — реальные примеры повышают вовлеченность
  • 8% — внутреннее признание
  • 1% — давление коллег

Методы оценки эффективности:

  • 49% используют опросы для проверки понимания
  • 33% заявляют, что измеряют эффективность (методы различаются)

Проблемы внедрения (Bitwarden 2025):

  • 68% IT-менеджеров видят мотивацию сотрудников как крупнейший вызов
  • Более половины говорят, что сотрудники не относятся к безопасности серьезно
  • Проблема мотивации существует даже в сценариях высокого риска, таких как обновление скомпрометированных паролей

Текущая ситуация с угрозами

Статистика атак 2024-2025:

  • 96% организаций сообщили хотя бы об одной фишинговой атаке в прошлом году
  • 52% считают угрозы более сложными
  • 92% сообщили, что хотя бы один бизнес-email был скомпрометирован
  • 93% столкнулись с утечками данных из-за небрежности или скомпрометированных учетных данных
  • 79% сообщили об увеличении количества получаемых email
  • 33% получают значительно больше, чем в предыдущие годы

Удаленная работа и риски:

  • 20% организаций столкнулись с нарушением безопасности из-за удаленного работника
  • 44% не предоставили обучение по кибербезопасности, ориентированное на угрозы удаленной работы
  • 56% сотрудников используют личный компьютер при работе из дома
  • 25% не знают протоколов безопасности на своих устройствах
  • 20% заявили, что их IT-отдел не предоставил советов по работе из дома

Экспертные мнения и рекомендации

Что говорят исследователи

Арун Вишванат, исследователь кибербезопасности: “Обучение осведомленности, как оно есть, не является решением. Аналогия, которую я использую: вы идете в кабинет врача, и он бросает вам таблетку, которая является обучением осведомленности. А затем вы возвращаетесь, и пациент все еще болен, и они дают вам больше, и продолжают давать вам больше, и в конце концов они обвиняют вас.”

Грант Хо, Чикагский университет: Текущий научный консенсус заключается в том, что “обычно развернутые формы обучения предлагают небольшие или минимальные защитные преимущества.”

Юлия Прюммер, Лейденский университет: “Встроенное обучение часто не рассматривает коренную причину того, почему кто-то попадается на фишинговое письмо. Сначала нам нужно понять, что приводит к увеличению виктимизации онлайн, прежде чем мы сможем попытаться это исправить.”

Поведенческая наука отсутствует

Проблемы текущих программ:

  • Игнорируют поведенческую науку в пользу легко масштабируемой передачи знаний “один размер подходит всем”
  • “Ни одна из этих программ не занимается исправлением привычек” — Вишванат
  • Не обращаются к неправильным представлениям об угрозах безопасности
  • “То, во что вы верите относительно риска того, что вы делаете, очень важно. Ни одна из программ осведомленности о безопасности не обращается к этому”

AI меняет правила игры

Влияние искусственного интеллекта на фишинг (2025):

  • AI-генерируемые фишинговые атаки на 24% более эффективны, чем человеческие (март 2025)
  • AI-атаки грамматически идеальны и культурно адаптированы
  • Устраняют пробелы, которые раньше выдавали атакующих
  • 1,265% рост объема фишинговых писем с момента выпуска ChatGPT

Новая парадигма: Решение не в том, чтобы обучать людей выявлять ошибки, а в том, чтобы обучать проверять все через доверенные каналы. Будущее не в том, чтобы играть в детектива email. Это о внедрении привычек здорового скептицизма и умной проверки.

Как исправить обучение: рекомендации экспертов

Стратегии, которые работают

Рекомендации исследователей Оксфорда:

  1. Избегать контрпродуктивных тактик:
    • Запугивание или пристыживание людей “не является эффективной тактикой”
    • Не полагаться на страх и стыд
  2. Делать контент эффективным:
    • Образовательный контент должен быть “целевым, практичным и выполнимым”
    • Конкретные, действенные шаги вместо общих советов
  3. Обеспечить непрерывную обратную связь:
    • Организации должны предоставлять “непрерывную обратную связь”
    • Помогать пользователям формировать хорошие привычки
  4. Формировать отношение:
    • Приоритизировать обучение, которое формирует отношение людей к безопасности
    • Влиять на мотивацию, затем на поведение

Персонализация и адаптация

Команда исследователей Лейденского университета: “Нам нужно найти методы обучения, которые подходят для каждого поведения в кибербезопасности, которое мы пытаемся решить индивидуально.”

Ключевые принципы:

  • Никакой единый режим обучения не подойдет для всех организаций и ситуаций
  • Пользователи демонстрируют широкий спектр вызывающих беспокойство поведений
  • Необходим персонализированный подход к разным типам рисков

Непрерывный процесс

Рекомендации KnowBe4: “Какое бы обучение они ни прошли, всем и каждому сотруднику необходимо отправлять симулированные фишинговые атаки дважды в месяц или, по крайней мере, раз в месяц, чтобы быть эффективными.”

Пример из практики — Сан-Диего:

  • Инциденты безопасности, связанные с фишингом, упали на 15-20% в первый год программы осведомленности о безопасности
  • Затем они снова начали расти
  • Вывод: Обучение должно быть постоянным процессом

Фокус на отчетности и реагировании

Рекомендации ETH Zurich:

  • Вместо акцента на тестировании/обмане
  • Акцент на напоминаниях и отчетности
  • Создание простых инструментов для сообщения о подозрительных email
  • Встраивание в email-клиент для легкого доступа

Данные Hoxhunt:

  • 9× рост в отчетности о симулированных угрозах
  • Большинство программ пренебрегают отчетностью об угрозах
  • Большинство пользователей не имеют знаний, навыков или инструментов для эффективной отчетности

Технические меры защиты

Многоуровневая стратегия защиты

Эффективные технические средства защиты:

  1. Устойчивая к фишингу многофакторная аутентификация (MFA):
    • FIDO2 или WebAuthn
    • Может блокировать более 99% атак на основе идентификации
    • Даже если атакующий имеет правильную комбинацию имени пользователя и пароля
  2. Email-аутентификация:
    • SPF/DKIM/DMARC
    • Правильно настроенные DMARC политики
    • DNS блокирование фишинговой инфраструктуры
  3. AI-управляемое обнаружение угроз:
    • Адаптивные системы обнаружения
    • Анализ поведения
    • Машинное обучение для выявления аномалий
  4. Безопасные Email-шлюзы (SEG):
    • Однако: 91% менеджеров по безопасности не уверены в эффективности традиционных решений
    • Необходима комбинация с другими мерами

Мониторинг и реагирование

Ключевые метрики:

  • Скорость обнаружения фишинговых сайтов (в среднем живут менее 12 часов)
  • Время реагирования на инциденты
  • Показатели отчетности пользователей
  • Скорость кликов по симуляциям

Рабочий процесс реагирования:

  • Быстрый рабочий процесс сдерживания для подозрительных фишинговых инцидентов
  • Четкие пути эскалации для BEC-атак или компрометации учетных данных
  • Использование forensic-инструментов для отслеживания доступа к данным, вызванного фишингом
  • После инцидентов пересмотр данных симуляции и уточнение политик

Отраслевая перспектива

Наиболее целевые индустрии

Распределение по секторам (2024-2025):

  • Финансы — наибольшие потери ($1,2 млн в среднем на инсайдерский инцидент, связанный с фишингом)
  • Здравоохранение — постоянная цель для ransomware
  • Государственный сектор — spear-phishing на темы выборов или налогов
  • Образование — ransomware через фишинговые бреши
  • Технологии — высокая частота атак

Пример из здравоохранения: HSE (национальная служба здравоохранения Ирландии) — ransomware-атака, вызванная тем, что сотрудник открыл фишинговое вложение. Общая стоимость: €100 млн

Рост рынка обучения безопасности

Индустрия обучения:

  • Рост на 55% в 2014-2015 для лидеров рынка
  • Из 18 компаний обучения в отчете Gartner, 15 имели рост выручки г/г более 25%
  • 4 компании имели сверхрост 100%
  • Прогноз: обучение осведомленности о безопасности станет многомиллиардной индустрией

Парадокс:

  • Обучение осведомленности о безопасности для сотрудников — наиболее недофинансированный сектор индустрии кибербезопасности
  • Одновременно — быстрорастущий сегмент
  • Но академические исследования ставят под сомнение эффективность продуктов

Статистика барьеров и вызовов

Организационные вызовы

Барьеры для эффективной защиты:

  • Низкая осведомленность о безопасности среди сотрудников — главный барьер для организаций, создающих эффективную защиту (2021 Cyberthreat Defense Report, CyberEdge Group)
  • Домен people (люди) был самым слабым из 3 проанализированных доменов (люди, процессы, технологии) согласно модели кибер-зрелости Hiscox 2021
  • Тем не менее, финансирование обучения снизилось на 8% (Hiscox Cyber Readiness Report 2021)

Доверие и полномочия:

  • 55% IT-лидеров полагаются на сотрудников для оповещения о инцидентах кибербезопасности
  • 89% инцидентов привели к последствиям для вовлеченных сотрудников
  • Только 54% сотрудников имеют полномочия или доверие со стороны культуры безопасности организации

Человеческий фактор

Статистика ошибок:

  • 74% успешных фишинговых атак были хотя бы частично связаны с человеческой ошибкой
  • 98% успешных атак связаны с небрежностью (2023)
  • 86% случаев вовлекали украденные учетные данные
  • 43% ошибок связаны с отправкой информации не тому получателю

Рискованное поведение:

  • 71% работающих взрослых признают, что участвовали в поведении, которое может способствовать фишингу
  • Включая повторное использование или совместное использование паролей
  • Переход по ссылкам от незнакомых отправителей
  • Предоставление учетных данных ненадежному источнику
  • 96% тех, кто признал такое рискованное поведение, знали, что идут на риск

Будущее обучения кибербезопасности

Что нужно изменить

Научный консенсус: Улучшение обучающих программ потребует значительного изменения того, как они разрабатываются, доставляются и оцениваются.

Ключевые направления:

  1. Понимание коренных причин — почему люди попадаются на фишинг
  2. Формирование привычек — не только передача знаний
  3. Изменение отношения — влияние на мотивацию
  4. Использование поведенческой науки — применение проверенных стратегий убеждения
  5. Персонализация — разные подходы для разных поведений
  6. Непрерывность — постоянный процесс, а не разовые события

Направление исследований

Арун Вишванат: “В дальнейшем исследователи должны больше сосредоточиться на исправлении ошибочного обучения, чем на критике программ, которые многие регулируемые компании обязаны использовать.”

Реальность

Текущая ситуация: “Я не думаю, что мы продвинулись дальше, когда дело доходит до киберустойчивости, чем мы были до [кампаний по повышению осведомленности],” — сказал Вишванат. “Мы чувствуем, что мы что-то делаем по этому поводу. Мы потратили много денег на это. Но стали ли мы лучше? Я так не думаю.”

Факты:

  • Бизнесы и государственные учреждения остаются уязвимыми к нарушениям
  • Утечки данных выросли в разы, даже когда осведомленность также значительно возросла
  • Разрыв между инвестициями в обучение и фактическими результатами остается огромным

Практические рекомендации для организаций

Немедленные действия

  1. Пересмотреть программу обучения:
    • Оценить текущую эффективность на основе поведения, а не знаний
    • Перейти от compliance к behavior-based подходу
    • Внедрить частые, короткие обучающие сессии вместо ежегодных
  2. Внедрить многоуровневую защиту:
    • Phishing-resistant MFA как приоритет #1
    • Правильно настроенные DMARC/SPF/DKIM
    • AI-управляемое обнаружение угроз
    • Регулярный мониторинг и анализ
  3. Изменить культуру:
    • Убрать стыд и обвинение из процесса
    • Сделать отчетность о подозрительных email легкой и поощряемой
    • Предоставить простые инструменты для отчетности
    • Праздновать сообщения о фишинге, а не наказывать за ошибки
  4. Персонализировать подход:
    • Идентифицировать пользователей высокого риска
    • Таргетировать обучение на основе роли, отдела, истории
    • Использовать адаптивное обучение, которое подстраивается под уровень навыков
  5. Измерять правильные метрики:
    • Фокус на изменении поведения, а не прохождении тестов
    • Отслеживать показатели отчетности
    • Мониторить время реагирования
    • Анализировать долгосрочные тренды

Долгосрочная стратегия

Создание устойчивой программы:

  • Непрерывное обучение с регулярными подталкиваниями
  • Интеграция безопасности в повседневную работу
  • Построение культуры, где безопасность — ответственность каждого
  • Инвестиции в понимание психологии и поведенческой науки
  • Комбинация технических средств с человеческим фактором

Реалистичные ожидания:

  • Понимание, что 100% защита невозможна
  • Фокус на снижении риска и времени реагирования
  • Принятие того, что некоторые будут кликать — цель минимизировать ущерб
  • Построение процессов быстрого реагирования и восстановления

Заключение

Исследования ясно показывают: традиционное обучение кибербезопасности не работает так, как мы надеялись. Десятилетия инвестиций в ежегодные вебинары, обязательные тесты и встроенные уроки после неудач не привели к измеримому снижению успешности фишинговых атак.

Ключевые выводы:

  • Ежегодное обучение не коррелирует со снижением фишинговых неудач
  • Встроенное обучение может усилить восприимчивость к фишингу
  • Обязательное обучение неэффективно для наиболее уязвимых
  • Эффекты обучения быстро исчезают — обычно за 6 месяцев
  • Знания не равны поведению — это критический разрыв
  • Большинство исследований имеют методологические недостатки

Что работает:

  • Регулярные подталкивания и напоминания
  • Простые инструменты для отчетности о фишинге
  • Персонализированное обучение на основе роли и риска
  • Фокус на формировании привычек, а не передаче знаний
  • Понимание коренных причин уязвимости
  • Phishing-resistant MFA и другие технические средства
  • Непрерывный процесс, а не разовые события
  • Отсутствие стыда и обвинения

Путь вперед: Организации должны радикально переосмыслить свои подходы к обучению кибербезопасности. Вместо того чтобы продолжать инвестировать в неэффективные программы, потому что “это то, что все делают”, пришло время применить научные данные и поведенческую психологию для создания программ, которые действительно изменяют поведение и снижают риск.

Будущее обучения кибербезопасности — это не в большем количестве того же самого. Это в другом подходе: меньше комплаенса, больше культуры; меньше знаний, больше привычек; меньше стыда, больше поддержки; меньше ежегодных событий, больше непрерывного процесса.

С учетом того, что AI делает фишинг на 24% более эффективным и объем атак растет экспоненциально, у нас нет времени продолжать делать то, что не работает. Пора прислушаться к науке и изменить подход.

Последнее добавленное

Календарь статей

December 2025
M T W T F S S
1234567
891011121314
15161718192021
22232425262728
293031