«Трёхлетняя программа, это не просто план обучения. Это управленческий эксперимент, где в качестве контрольной группы выступает вся ваша компания. Вы берёте три простых метрики и превращаете их в рычаги, которые сначала меняют цифры в отчётах, а затем — отношение к безопасности как к чему-то внешнему и формальному. Цель — не нулевой клик по фишингу, а формирование инстинкта, когда сотрудник не кликает не потому что боится, а потому что это противоречит его внутренней логике работы с информацией.»
Что такое программа по работе с человеческим фактором и зачем ей три года
В требованиях регуляторов, особенно ФСТЭК, смещается акцент: технические меры без управляемого человеческого фактора перестают считаться полноценной системой безопасности информации. Разовые инструктажи не создают управляемых процессов. Программа, это именно процесс, цикл планирования, измерения, корректировки и закрепления результатов.
Три года — минимальный срок для формирования устойчивого паттерна. За первый год вы преодолеваете инерцию и собираете исходные данные, которые часто шокируют. Второй год — фаза оперативного управления: вы уже видите, какие вмешательства работают, а какие нет, и можете точечно влиять на проблемные зоны. Третий год предназначен для интеграции: безопасные практики должны начать восприниматься как часть стандартных операционных процедуров, а не как внешнее требование. Попытки уложиться в год обычно приводят к формальному выполнению плана без реальных изменений в культуре.
Показатель #1: Phishing Click Rate (PCR) — скорость кликов по фишингу
Это первичный количественный индикатор. Его ценность не в абсолютном значении, а в динамике и в структуре. Высокий исходный показатель, это не провал, а точка отсчёта, которая даёт вам объективную картину вместо субъективных оценок.
Как считать и интерпретировать PCR
- Расчёт: (Количество уникальных пользователей, кликнувших на ссылку / Количество пользователей, получивших письмо) * 100%.
- Детализация: Анализируйте показатель не только в целом по компании, но и по подразделениям, должностным ролям, географическому расположению. Часто выявляются группы повышенного риска — не потому что там работают невнимательные люди, а потому что их рабочие процессы больше соприкасаются с внешним миром (отдел закупок, кадровая служба).
- Цель на три года: Резкое падение в первые месяцы после старта программы часто является артефактом. Сотрудники запоминают конкретный шаблон симуляции. Реальная цель — плавное снижение на 60-80% от исходного уровня с выходом на устойчивое плато к концу второго — началу третьего года. Если показатель продолжает резко падать после этого срока, возможно, ваши симуляции стали предсказуемыми и не отражают реальные угрозы.
Отслеживайте не только факт клика, но и последующие действия: перешёл ли пользователь к вводу данных на поддельной странице? Это даёт более точную оценку глубины воздействия.
Показатель #2: Phishing Report Rate (PRR) — скорость отчетов о фишинге
Это индикатор перехода от пассивного избегания угроз к активному участию в безопасности. Рост этого показателя — прямой признак изменения отношения. Сотрудник, который сообщает об угрозе, начинает идентифицировать себя как часть оборонительного периметра.
Как считать и интерпретировать PRR
- Расчёт: (Количество уникальных пользователей, отправивших отчёт / Количество пользователей, получивших письмо) * 100%.
- Техническое обеспечение: Самая частая причина низкого PRR — сложный механизм отчёта. Идеальный вариант — одна кнопка в интерфейсе почтового клиента (например, надстройка «Сообщить о фишинге»). Каждый лишний шаг (открыть другую систему, создать тикет) кратно снижает вероятность действия.
- Цель на три года: PRR должен расти, постепенно сближаясь с PCR, а в перспективе — превышая его. Это будет означать, что сотрудники сообщают об угрозе даже если не поддались на неё. К концу третьего года реалистичной целью для многих организаций является стабильный показатель в 15-25% на регулярных симуляциях.
PRR открывает канал для получения оперативной разведывательной информации. Сотрудники начинают присылать отчёты о реальных атаках, которые не были замешены системами. Важно этот канал поддерживать: давать быструю обратную связь («Спасибо, это была реальная атака, мы приняли меры»).
Показатель #3: Культурный опрос (Security Culture Survey)
PCR и PRR измеряют поведение, но не его причины. Культурный опрос — инструмент для диагностики установок, восприятий и глубины усвоения принципов. Его проводят анонимно и регулярно, раз в полгода или год.
О чём спрашивать в опросе
Вопросы структурируются по нескольким осям, каждая из которых измеряет свой слой «культуры»:
- Знание и понимание: «Можете ли вы назвать категории инцидентов, которые нужно немедленно сообщать службе ИБ?»
- Отношение и убеждения: «Согласны ли вы, что соблюдение правил ИБ в ваших интересах, а не только в интересах компании?»
- Поведенческие намерения: «Если коллега просит вас поделиться паролем от служебной системы для срочной задачи, что вы сделаете?» (Варианты: поделюсь, откажусь, предложу альтернативный способ).
- Восприятие среды и руководства: «Как вы считаете, высшее руководство компании следует тем же правилам безопасности, что и остальные сотрудники?»
Как работать с результатами
Ключ — в динамике и дисбалансах. Рост знаний при стагнации в восприятии руководства говорит о формальном обучении, которое не подкрепляется личным примером. Прогресс в поведенческих намерениях — самый важный сигнал, он указывает на глубинные изменения. К третьему году фокус должен сместиться с проверки знаний (это должно стать базой) на оценку отношения и готовности действовать в нестандартных ситуациях, особенно связанных с обработкой персональных данных.
Интеграция показателей и построение дорожной карты
Три метрики образуют систему с обратной связью. Динамика PCR и PRR определяет тактические шаги на ближайший квартал. Результаты опроса корректируют стратегию коммуникаций и обучения на год вперёд. План на три года, это не жёсткий график, а управляемый маршрут с контрольными точками.
| Этап (Год) | Управленческая задача | Цели по PCR | Цели по PRR | Фокус культурного опроса | Ключевые мероприятия |
|---|---|---|---|---|---|
| 1. Старт и диагностика | Легитимизировать программу, получить объективную исходную картину. | Определить baseline. Снизить на 25-35% к концу года. | Внедрить удобный механизм отчёта. Добиться 3-7%. | Диагностика «слепых зон» в знаниях и негативных установок. | Массовое стартовое обучение, первые симуляции, запуск регулярных коммуникаций. |
| 2. Оптимизация и масштабирование | Перейти от общих мер к адресному управлению рисками. | Снизить ещё на 25-35%, вывести показатель на плато для базовых угроз. | Увеличить до 12-18%. Начать получать и обрабатывать отчёты о реальных атаках. | Сдвиг с «знаю» на «считаю нужным». Работа с восприятием роли руководства. | Сегментированное обучение для групп риска, усложнение сценариев фишинга (целевой, многоэтапный), публикация успешных кейсов по отчётам. |
| 3. Интеграция и проактивность | Встроить безопасные практики в бизнес-процессы, развить проактивность. | Поддерживать плато, реагируя ростом только на новые типы угроз. Фокус на защите ПДн (152-ФЗ). | Достичь 20-25%. Внедрить систему лёгкого поощрения за ценные отчёты. | Закрепление ответственности, в том числе за ПДн. Измерение поведенческих намерений в сложных сценариях. | Интеграция модулей по безопасности в процедуры онбординга и проектной работы. Тренинги по безопасной обработке ПДн. Программы признания «чемпионов безопасности». |
Типичные ошибки, которые сводят программу на нет
- Наказание за клик в тестовом фишинге. Это создаёт культуру сокрытия инцидентов. Вместо этого поощряйте отчёт — даже если сотрудник сначала кликнул, а потом сообщил. Это превращает ошибку в обучающий момент.
- Однообразные симуляции. Если годами используются шаблонные письма «от службы доставки», сотрудники тренируются распознавать конкретный шаблон, а не угрозу. Сценарии должны эволюционировать, отражая актуальные для вашей отрасли тактики (поддельные запросы от контрагентов, письма, стилизованные под внутренние служебные рассылки).
- Формальное участие руководства. Когда топ-менеджеры освобождены от тестов или обучения, это посылает сигнал о второстепенности темы. Для руководства нужны отдельные, более сложные сценарии, например, связанные с принятием решений на основе компрометирующей информации.
- Чёрный ящик. Отсутствие обратной связи по результатам программы для коллектива. Сотрудники должны видеть её итоги: «В этом квартале благодаря вашим отчётам мы предотвратили X инцидентов». Это формирует общую цель и демонстрирует ценность их действий.
- Изоляция от процессов по 152-ФЗ. Работа с человеческим фактором по защите персональных данных не должна быть отдельным направлением. Сценарии фишинга должны имитировать атаки на ПДн, вопросы в опросе — оценивать понимание процедур работы с ними.
В результате трёхлетнего цикла безопасность перестаёт быть абстрактным набором запретов. Она становится понятным элементом рабочего контекста, где понятны риски, просты действия для их снижения и видна общая польза. Именно такой системный подход к человеческому фактору, подкреплённый измеримыми результатами, рассматривается проверяющими как признак зрелой системы защиты информации, а не её имитации.