75% CISO опасаются, что топ-менеджеры не понимают киберугроз, с которыми сталкиваются сотрудники

изображение: grok
Почти 80% руководителей служб информационной безопасности европейских компаний уверены, что топ-менеджмент недооценивает риски, исходящие от действий рядовых работников. Опрос провела компания MetaCompliance, собрав мнения свыше 200 CISO. Для российских пользователей и организаций выводы исследования тоже актуальны — те же схемы фишинга, дипфейков и утечек через ИИ-сервисы давно работают против отечественных компаний и частных лиц.
78% опрошенных специалистов по защите данных заявили о слабом понимании советами директоров рисков, связанных с человеческим фактором. Работники становятся мишенью массовых фишинговых рассылок, а распространение генеративных нейросетей открывает новые пути для утечки корпоративных сведений и успешных атак методом социальной инженерии. Ситуация усугубляется тем, что руководство часто рассматривает такие угрозы как второстепенные по сравнению с внешними атаками на инфраструктуру.
Опрос показал прямую связь между позицией руководства и качеством работы подразделений ИБ. 79% CISO рассказали, что первоначальный энтузиазм топ-менеджеров к программам обучения сотрудников быстро угасает. Результат предсказуем — уровень киберустойчивости снижается, адаптация к новым видам атак замедляется, а бюджеты на профилактику сокращаются одними из первых.
Отмечается, что половина руководителей ИБ оценивает защищённость своих компаний сегодня хуже, чем 12 месяцев назад. Причина — стремительная эволюция атак с применением ИИ.
Злоумышленники используют нейросети для генерации правдоподобных писем на десятках языков, подделки голосов топ-менеджеров и автоматизации социальной инженерии в промышленных масштабах. Джеймс Маккей, генеральный директор MetaCompliance, констатирует радикальную трансформацию ландшафта угроз — примитивные мошеннические рассылки уходят в прошлое, им на смену пришли массовые кампании с индивидуальной подстройкой под жертву.
Основные проблемные зоны, названные CISO в ходе опроса:
- фишинговые кампании с ИИ-генерацией текстов на родном языке жертвы;
- дипфейк-атаки с имитацией голоса руководителей;
- утечки конфиденциальных данных через публичные нейросервисы;
- разрозненные политики безопасности в разных отделах;
- отсутствие единой координации между подразделениями;
- слабая обратная связь от рядовых сотрудников по инцидентам.
Разрозненность внутрикорпоративных правил названа отдельной болью. Разные департаменты нередко живут по собственным стандартам доступа и защиты, из-за чего злоумышленникам достаточно найти самое слабое звено. Кибератаки на российские компании последних двух лет — банковский сектор, ритейл, промышленность — подтверждают этот тезис на практике.
Быстрое проникновение больших языковых моделей в рабочие процессы вызывает у CISO отдельную тревогу. Около 40% участников опроса опасаются, что работники бесконтрольно передают внутренние документы, коды и клиентские базы во внешние ИИ-сервисы, не понимая последствий. Российские сотрудники массово пользуются как отечественными, так и зарубежными нейросетями — риск утечки корпоративной информации в 2025 году вырос кратно.
Стоит обратить внимание, что уточняется — эффективная защита без стабильного участия высшего руководства невозможна. Разовые тренинги и формальные инструкции не работают.
Что рекомендуют эксперты MetaCompliance для снижения человеческих рисков:
- долгосрочная поддержка программ обучения на уровне совета директоров;
- регулярные симуляции фишинговых атак с последующим разбором;
- единые корпоративные правила работы с ИИ-сервисами;
- сегментация доступа к чувствительным данным;
- постоянный мониторинг активности сотрудников в облачных сервисах.
Проблема низкой осведомлённости руководства о человеческом факторе актуальна не только для Европы. Российские CISO сталкиваются с той же картиной — топ-менеджеры готовы вкладываться в файрволы и антивирусы, но обучение персонала финансируется по остаточному принципу. При этом 8 из 10 успешных атак на российские компании в 2024–2025 годах начинались с обычного письма, открытого сотрудником.
Отдельная угроза для российских пользователей — фишинг с применением генеративного ИИ на русском языке. Раньше подозрительные рассылки легко распознавались по корявому переводу и грамматическим ошибкам. Сейчас нейросети создают безупречные тексты от имени банков, госорганов, служб доставки и мобильных операторов. Отличить подделку становится всё сложнее даже опытным пользователям.
Ранее сообщалось, что анализ обращений клиентов компании «Информзащита», материалов по расследованию инцидентов и отраслевых исследований за 2025 год выявил устойчивый рост киберугроз, связанный не только с внешней активностью злоумышленников, но и с внутренними изменениями в самих организациях. Одним из основных факторов специалисты назвали массовое и во многом неконтролируемое внедрение искусственного интеллекта в бизнес-процессы. По данным исследования, каждый второй руководитель службы информационной безопасности рассматривает использование ИИ как источник новых киберрисков.
По мнению редакции CISOCLUB, результаты опроса MetaCompliance фиксируют разрыв, о котором отраслевое сообщество говорит уже несколько лет — между реальным уровнем киберугроз и восприятием этих угроз бизнесом. Ситуация в России ничем не отличается от европейской, а по ряду параметров даже острее — уход зарубежных вендоров, дефицит специалистов и рост числа целевых атак делают человеческий фактор главной уязвимостью большинства организаций.
Пока совет директоров воспринимает информационную безопасность как расходную статью, а не как элемент бизнес-стратегии, любые технические средства защиты будут пробиваться через самое слабое звено — рядового сотрудника. Обучение персонала должно стать таким же обязательным процессом, как финансовый аудит или охрана труда. Без этого сдвига любые бюджеты на ИБ уходят в песок.



