“Правила безопасности часто пишут те, кто никогда не сталкивался с реальной работой. В итоге получается красивый, но нефункциональный документ, который все ненавидят и игнорируют. Проблема не в лени сотрудников, а в системном разрыве между теорией регуляторики и ежедневной практикой.”
Разрыв между документом и реальностью
Типичная ситуация: в организации появляется новый регламент по информационной безопасности. Его разрабатывают на основе требований 152-ФЗ, приказов ФСТЭК или отраслевых стандартов. Документ получается объёмным, формально корректным, его согласовывают все заинтересованные лица и утверждает руководство. После этого его рассылают по отделам и… на этом всё заканчивается. Правила не работают, потому что создавались в вакууме.
Разработчики регламентов часто мыслят категориями идеального состояния системы: «все пароли должны быть не короче 12 символов, содержать буквы разного регистра, цифры и спецсимволы, меняться каждые 90 дней». На бумаге это выглядит безупречно. На практике это приводит к тому, что сотрудники записывают сложные пароли на стикерах и клеят их на монитор, потому что иначе их не запомнить. Правило формально выполняется, но его цель — защита информации — полностью нивелируется.
Этот разрыв — фундаментальная причина, по которой половина предписаний остаётся на бумаге. Документ описывает не реальные процессы, а их абстрактную, «очищенную» модель. Когда сотрудник сталкивается с противоречием («чтобы выполнить правило А, мне нужно нарушить правило Б или не успеть сделать свою основную работу»), он всегда выберет путь наименьшего сопротивления. Безопасность проигрывает удобству и операционной необходимости.
Культура страха вместо культуры понимания
Второй системный сбой — подход к внедрению правил через наказание. Сотрудникам доносят мысль: «Нарушишь — получишь выговор или уволят». Это создаёт культуру страха, которая порождает два деструктивных явления.
Во-первых, сокрытие инцидентов. Если сотрудник случайно отправил файл не тому адресату или подключил непроверённую флешку, он постарается скрыть этот факт, чтобы избежать санкций. В результате служба безопасности лишается информации о реальных угрозах и уязвимостях, которые уже проникли в периметр. Проблема не фиксируется и не устраняется, а замалчивается.
Во-вторых, ритуальное выполнение требований. Сотрудники учатся имитировать соблюдение правил, не вникая в их суть. Например, проходят обязательные ежегодные тесты по безопасности, заучивая ответы, но не понимая принципов. Или устанавливают предписанное ПО, но сразу отключают его «мешающие» функции. Формально отчётность безупречна, фактически защита не работает.
Культура страха делает сотрудников не союзниками, а противниками системы безопасности. Они воспринимают её не как инструмент защиты общего дела, а как карательный механизм, от которого нужно защищаться.
Нереалистичные требования к человеку
Многие правила построены на ошибочном предположении, что человек может действовать как безошибочный автомат. Рассмотрим классические требования:
- Не открывать подозрительные письма.
- Всегда проверять сертификаты сайтов при вводе учётных данных.
- Никогда не использовать рабочие учётные записи для личных нужд.
В теории они логичны. На практике человек принимает сотни решений в день в условиях цейтнота, усталости и многозадачности. Фишинговая атака может быть настолько качественно подготовлена, что отличить её от легитимного письма от руководства почти невозможно. Постоянная проверка сертификатов замедляет работу, а угроза кажется абстрактной. Запрет на личные действия на рабочем компьютере игнорируется, потому что у сотрудника просто нет второго устройства под рукой.
Правила, которые не учитывают человеческий фактор и контекст реальной деятельности, обречены на несоблюдение. Они требуют от сотрудника постоянной сверхбдительности, что психологически невозможно.
Технические барьеры и отсутствие инструментов
Часто правила предписывают действие, для выполнения которого у сотрудника просто нет технической возможности. Требование: «Шифровать все файлы, передаваемые по внешним каналам». Реальность: в компании нет утверждённого, простого в использовании инструмента для шифрования. Сотрудник, чтобы отправить срочный документ контрагенту, вынужден либо искать кустарное решение (ненадёжное), либо нарушить правило и отправить файл открытым текстом. Вина здесь лежит не на сотруднике, а на организации, не предоставившей адекватные инструменты для выполнения требований.
Другой пример — сложные, многоэтапные процессы согласования. Чтобы получить доступ к новой системе, нужно заполнить три формы, получить четыре визы и ждать ответа неделю. В условиях срочного проекта сотрудники находят обходные пути: используют учётные данные коллеги или создают неучтённую учётную запись. Правило, призванное усилить контроль, порождает теневое администрирование и реальные бреши в безопасности.
Как исправить ситуацию: от контроля к facilitation
Решение лежит не в ужесточении контроля, а в изменении подхода. Нужно перейти от модели «сверху-вниз» к модели facilitation — созданию условий, в которых соблюдать правила проще, чем нарушать их.
1. Интеграция в рабочие процессы
Правила безопасности должны быть вшиты в ежедневные инструменты. Если требуется шифрование — кнопка «Отправить защищённо» должна быть в интерфейсе корпоративной почты. Если нужен сложный пароль — внедрить менеджер паролей с единым входом. Безопасное действие должно быть самым простым и быстрым вариантом по умолчанию.
2. Объяснение «почему»
Вместо цитирования пункта приказа ФСТЭК, объясните сотруднику на конкретных примерах, к каким последствиям может привести нарушение. «Это правило существует не потому, что так хочет регулятор, а потому что в прошлом году три компании нашей отрасли потеряли данные и заплатили миллионы рублей штрафов из-за утечки через незашифрованную почту». Понимание цели превращает правило из абстрактного запрета в осмысленное действие.
3. Регулярная обратная связь и упрощение
Создайте канал, по которому сотрудники могут сообщать о неработающих или слишком сложных правилах. Проанализируйте эти жалобы. Если правило постоянно нарушается — проблема, скорее всего, в самом правиле, а не в людях. Упростите его, автоматизируйте или предоставьте инструменты для выполнения.
Ключевой показатель — не процент формального соблюдения, а снижение количества реальных инцидентов. Когда правила перестают быть бюрократическим ритуалом и становятся частью рабочего ландшафта, их начинают соблюдать не из страха, а потому что это логично и удобно. Только так можно заставить работать не половину, а все правила безопасности.