Сбой безопасности — это системная, а не человеческая ошибка

Искать виноватого — стратегия проигравших. Настоящий вопрос не в том, кто виноват, а в том, как система корпоративной безопасности так устроена, что её целостность зависит от одного человека. Ответ на этот вопрос определяет, станет ли инцидент дорогостоящим уроком или лишь поводом для поиска ‘крайнего’. https://seberd.ru/4800

Попытка возложить вину на сотрудника за утечку данных стала настолько привычной реакцией, что превратилась в рефлекс. Компании инкриминируют сотрудникам халатность, а сотрудники обвиняют корпоративные системы в неадекватности. Эта битва не решает главного — не предотвращает повторения инцидента. Более того, она создаёт ложное представление о безопасности как о проблеме человеческого фактора, а не системной ошибки управления.

Фокус на персонализированной вине отвлекает от анализа реальных причин, лежащих в плоскости технологий, процессов и культуры. Результатом становятся циркуляры о запрете USB-флешек вместо пересмотра модели доступа или наказание разработчика вместо аудита кодовой базы. Поиск ‘крайнего’, это индикатор того, что у организации нет действенной системы управления информационной безопасностью (ИБ).

Почему инстинкт обвинения работает против безопасности

Первая реакция руководства на инцидент — найти ответственного. Это естественно с точки зрения управления, но катастрофично для безопасности. Создаётся токсичная среда, где сотрудники скрывают ошибки и инциденты, опасаясь санкций. Это противоречит основному принципу ФСТЭК, изложен ному в руководящих документах по построению СЗИ (систем защиты информации): система должна быть построена так, чтобы человеческая ошибка не приводила к критическому нарушению.

В российском правовом поле есть два основных вектора ответственности:

• Дисциплинарная и материальная ответственность сотрудника. Регулируется Трудовым кодексом. Увольнение или выговор возможны, если нарушены должностные инструкции, с которыми сотрудник был ознакомлен. Однако доказать прямой умысел или грубую неосторожность, приведшую к значительному ущербу, сложно.
• Административная и уголовная ответственность компании и её должностных лиц. По 152-ФЗ и КоАП РФ штрафы накладываются на юридическое лицо. Причём по статье 13.11 КоАП вина определяется как непринятие мер, достаточных для обеспечения безопасности. То есть регулятор ищет не виноватого сотрудника, а пробелы в системе мер компании.

Суды всё чаще встают на сторону сотрудников, если компания не может доказать, что были созданы все условия для соблюдения правил. Например, если доступ к конфиденциальным данным был не разграничен или правила работы с ними формальны и нереализуемы на практике.

Архитектура уязвимости: где на самом деле кроется сбой

Утечка редко является результатом одного действия. Это обычно цепочка событий, где каждое звено, это сбой в системе контроля. Рассмотрим типичные сценарии.

Сценарий 1: «Унесённые файлы»

Сотрудник скопировал коммерческую тайну на личный ноутбук, чтобы поработать дома. Формально — нарушение политики. Фактически — системный сбой, если:

• Нет технической возможности безопасно работать удалённо (VPN, защищённые рабочие столы).
• Система DLP (защиты от утечек) настроена только на почту, но не контролирует запись на внешние носители.
• Файлы не помечены грифом конфиденциальности, и система не различает их.

Винить сотрудника в таком случае, это как винить пассажира, если поезд сошёл с рельсов из-за изношенного полотна.

Сценарий 2: «Ошибочная публикация»

Разработчик выложил на GitHub репозиторий с ключами доступа к базе данных. Это классика. Но вопрос в том, почему это стало возможным:

• В CI/CD нет этапа автоматического сканирования кода на секреты (Secrets Detection).
• Корпоративные учётные записи GitHub/GitLab не изолированы от личных, и политики не блокируют публичные репозитории.
• Нет сегментации сети, и тестовая БД с реальными данными доступна извне.

Это провал процессов разработки (DevSecOps), а не личная халатность одного программиста.

Сценарий 3: «Социальная инженерия»

Сотрудник перевёл деньги или передал логин-пароль мошеннику. Тренинги по кибергигиене важны, но они — последний рубеж. Первыми должны быть:

• Система привилегированного доступа (PAM), не позволяющая совершать критичные операции без дополнительного подтверждения.
• Правила бухгалтерии, требующие двукратного подтверждения крупных платежей разными лицами.
• Политика работы с почтой, отсекающая фишинговые письма с внешних доменов, маскирующихся под руководство.

Если этих барьеров нет, компания фактически полагается только на бдительность сотрудника, что ненадёжно по определению.

Принцип многослойной защиты: как не зависеть от человека

Концепция Defense in Depth, принятая и в требованиях ФСТЭК, предполагает, что у злоумышленника (или ошибки) должны быть преодолены несколько независимых уровней защиты. Человек — лишь один из таких уровней, и самый ненадёжный. Ответственность организации — выстроить остальные.

Рассмотрим ключевые слои, наличие которых смещает фокус с вины на профилактику.

Уровень защиты	Что должно быть реализовано	Что проверяет регулятор (ФСТЭК, Роскомнадзор)
Физический и технический	Сегментация сети, DLP, антивирусы, системы контроля доступа (PAM), шифрование дисков и каналов связи, обновление ПО.	Соответствие техническим требованиям из приказов ФСТЭК (например, порядку применения СКЗИ). Наличие средств защиты, их настройка и актуальность.
Административный (процедурный)	Чёткие регламенты и политики безопасности, должностные инструкции, процедуры реагирования на инциденты (IRP), разграничение прав по принципу need-to-know.	Наличие организационно-распорядительной документации, её актуальность, факт ознакомления сотрудников. Логи аудита, подтверждающие соблюдение процедур.
Кадровый	Проверка при приёме (для работы с гостайной — обязательно), регулярное обучение и аттестация по ИБ, культура некарательного сообщения об ошибках.	Наличие программ обучения, журналы инструктажей, результаты проверок знаний. Культура не регулируется прямо, но её отсутствие видно по ходу аудита.

Если утечка произошла, значит, на одном из этих уровней была брешь. Расследование инцидента должно искать эту брешь, а не человека, который через неё прошёл.

Что делать после инцидента: алгоритм вместо поиска виновных

Эффективная реакция на утечку строится не на кадровых решениях, а на процессуальных. Вот шаги, которые превращают кризис в точку роста для системы безопасности.

1. Немедленная изоляция и сбор артефактов. Заблокировать компрометированные учётные записи, изъять технику для анализа. Важно сохранить все логи — они понадобятся как для внутреннего расследования, так и в случае проверки регулятора.
2. Создание группы реагирования (CERT). В неё должны входить представители ИБ, IT, юристы, PR и руководитель направления, к которому относятся данные. Цель — координация, а не поиск виноватых.
3. Технический анализ причин. Восстановить цепочку событий: как данные покинули периметр? Какие средства защиты сработали, а какие нет? Этот анализ — основа для дальнейших действий.
4. Оценка ущерба и уведомление. Определить, какие именно данные утекли, кому они принадлежат (клиенты, сотрудники, партнёры). Если затронуты персональные данные, необходимо выполнить требования 152-ФЗ об уведомлении Роскомнадзора и субъектов ПДн в установленные сроки.
5. Системные корректирующие действия. Это главный шаг. На основе анализа необходимо:
   • Изменить конфигурацию средств защиты (например, ужесточить правила DLP).
   • Дополнить или переписать регламенты.
   • Внедрить новые технические контрмеры, которых не хватало.
   • Провести целевое обучение для сотрудников, чьи риски выявил инцидент.
6. Дисциплинарные меры — в последнюю очередь. Они применяются только если расследование однозначно показало умышленные действия или грубое нарушение известных и обеспеченных правил. И даже тогда это должно быть частью системного изменения, а не его заменой.

Культура безопасности как иммунитет

В долгосрочной перспективе разница между компанией, где утечки случаются редко и купируются быстро, и компанией, где они становятся катастрофой, — в культуре. Это не про плакаты в коридоре, а про ежедневные практики.

Признаки здоровой культуры ИБ:

• Сотрудники не боятся сообщать о своих ошибках или подозрительных событиях. Для этого есть удобные, анонимные каналы.
• Руководство открыто говорит о важности безопасности и выделяет на неё ресурсы, воспринимая это как инвестицию, а не как затраты.
• Требования ИБ встроены в бизнес-процессы с самого начала, а не добавляются потом как препятствие. Например, безопасность — часть дизайна нового продукта или сервиса.
• Расследование инцидентов носит конструктивный характер. Фраза «как мы можем это исправить?» звучит чаще, чем «кто это сделал?».

Построение такой культуры — прямая ответственность топ-менеджмента. Её нельзя делегировать отделу ИБ. Именно руководители задают тон, своим отношением показывая, что важнее — показное наказание или реальная устойчивость бизнеса.

виноват ли сотрудник? В узком, формальном смысле — иногда да. Но в стратегическом, системном смысле ответственность за создание среды, в которой утечка либо предотвращена, либо быстро обнаружена и купирована, всегда лежит на компании. Вина сотрудника, это симптом. Лечить нужно болезнь, а не её проявления. Понимание этого — первый шаг от реактивной безопасности, основанной на страхе, к проактивной, построенной на доверии и надёжных системах.