«Фокус на кликах в фишинге — это тупик. Мы измеряем не умение людей, а их способность угадать нашу симуляцию, и этим убиваем культуру безопасности. Настоящая эффективность — в изменении паттернов поведения и в том, чтобы сотрудники сами стали источником сигналов для СБ, а не объектом для учёта ошибок.»
Клики — плохой индикатор. В чём измерять пользу?
Процент кликов в тестовых фишинговых кампаниях — первая цифра в любом отчёте по обучению. Она проста, наглядна и создаёт иллюзию контроля. Но именно эта простота искажает реальность. Руководство видит статичный показатель, не меняющийся после пяти модулей, и делает вывод: обучение неэффективно.
Клик — это финальная точка в цепочке принятия решения. Он ничего не говорит о причинах сбоя. Человек не распознал подделку домена? Поверил сфабрикованной срочности? Не обратил внимание на опечатки в тексте? Одна и та же метрика «15% кликов» может скрывать десяток разных проблем, каждая из которых требует своего решения.
Чтобы оценить реальный эффект, нужна система взаимодополняющих индикаторов, которые отражают разные стадии осознанного поведения.
- Количество отчётов о фишинге: Рост этой цифры — лучший признак успеха, чем падение кликов. Это значит, что сотрудники не просто избегают угроз, а активно их идентифицируют и сообщают. Это переход от обороны к контролю над периметром.
- Качество сообщений: Не просто «пришло странное письмо», а конкретика: «В письме якобы от директора просят перевести деньги, домен отличается на одну букву». Это показатель глубины понимания.
- Скорость реакции: Время от получения подозрительного письма до обращения в службу ИБ. Снижение этого времени напрямую сокращает окно возможной атаки.
- Вовлечённость в смежные процессы: Повысилось ли внимание к настройкам двухфакторной аутентификации, участию в чистках учётных записей, обсуждению политик безопасности?
Переход на такие метрики показывает скрытые паттерны. Статичный «процент кликов» может маскировать две противоположные ситуации: сотрудники стали умнее или они стали просто панически бояться всех внешних писем, блокируя бизнес-коммуникации. Только комплексный анализ выявит разницу.
[ИЗОБРАЖЕНИЕ: Сравнительная диаграмма старого и нового подхода к оценке. Левая колонка — «Одна метрика (Клики)»: график почти плоский с незначительными колебаниями. Правая колонка — «Система метрик»: четыре разных графика: «Отчёты о фишинге» — резкий рост, «Время реакции» — спад, «Клики в тестах» — медленный спад, «Участие в аудитах» — постепенный рост.]
Почему обучение работает, даже если цифры «плохие»
Предположим, общий процент кликов в симуляциях не снизился. Формально — провал. Но если сегментировать данные, окажется, что 80% этих кликов теперь совершают сотрудники со стажем работы менее трёх месяцев. Проблема не в неэффективности обучения, а в его отсутствии для новой целевой группы. Таким образом, метрика помогла не списать программу, а точно диагностировать её слабое место.
Обучение создаёт корпоративный культурный код. Оно формирует общий язык. Когда в чате отдела кто-то пишет: «Это пахнет социнженерией из прошлого тренинга», — это не измеримый KPI, но это прямой результат вложений в ИБ. Такая среда сама по себе является сдерживающим фактором, в том числе для внутренних нарушителей, которые видят, что коллеги не спят.
Сам факт регулярных учебных симуляций меняет психологический контекст. Это сигнал от руководства: безопасность — не формальность, а приоритет. Это повышает общий уровень бдительности, что статистически осложняет жизнь злоумышленникам, даже если метрика кликов остаётся прежней.
Что делать, если метрики упёрлись в потолок
Отсутствие прогресса в цифрах после нескольких циклов — это не тупик, а знак, что базовый подход исчерпал себя. Дальнейшие улучшения требуют большей детализации и интеграции.
Персонализация вместо массовости
Единый курс для всех нарушает принцип актуальности, заложенный в требованиях по защите персональных данных. Для финансового отдела релевантен сценарий с поддельным платёжным поручением. Для системного администратора — письмо от «поставщика» с обновлением для сетевого оборудования. Персонализация повышает вовлечённость, потому что сотрудник видит угрозу, которая реально может к нему прийти.
Смещение фокуса с кликов на отчёты
Нужно не просто научить не кликать, а создать систему, где сообщить об угрозе проще и выгоднее, чем проигнорировать. Простой адрес типа phishing@company.com, одобрение руководства, мгновенная обратная связь от ИБ-службы («Спасибо, это действительно фишинг») и номинальное поощрение работают лучше любых штрафов. Ключевой показатель эффективности (KPI) смещается с негативного «сколько не сделали» на позитивное «сколько полезных действий совершили».
Включение ИБ в рабочие процессы
Самое эффективное обучение — незаметное. Это не отдельный курс, а принципы, вшитые в инструменты:
- Автоматическая пометка писем с внешних доменов в корпоративной почте.
- Обязательное подтверждение через второй канал для запросов на перевод денег или изменение реквизитов.
- Всплывающие напоминания о политиках при попытке загрузить файл из интернета в корпоративное хранилище.
Когда безопасность становится частью интерфейса, она перестаёт быть абстрактным требованием.
[ИЗОБРАЖЕНИЕ: Схема адаптивного цикла обучения. Круг из четырёх этапов: 1. Анализ данных (сегментация инцидентов по отделам/ролям). 2. Персонализация (разработка таргетированных сценариев угроз). 3. Проведение и сбор метрик (не только клики, но и отчёты, скорость). 4. Интеграция выводов (автоматизация рутинных проверок, обновление политик). Стрелки замыкают цикл на этап анализа.]
Заключение: как перестать измерять ногой и начать думать
Ориентация исключительно на клики в фишинге — это управление по шуму, а не по сигналу. Эффективность программ обучения информационной безопасности — это комплексный показатель, который формируется из изменений в культуре, точности реагирования и адаптивности процессов.
Если метрики перестали расти, это не причина сворачивать обучение, а повод сменить его парадигму. Перейти от массовых тестов к точечным симуляциям, основанным на реальных профилях угроз для разных ролей. Переключить цель с пассивного избегания ошибок на активное участие в защите периметра. Встроить контрольные точки безопасности непосредственно в ежедневные workflow сотрудников.
Конечная цель — не идеальный график снижения кликов, а формирование устойчивой человеческой инфраструктуры безопасности, где каждый сотрудник действует как сенсор и первый рубеж обороны. Успех здесь измеряется не процентами в отчёте, а отсутствием реальных инцидентов и снижением операционных рисков для бизнеса.