75% CISO опасаются, что топ-менеджеры не понимают киберугроз, с которыми сталкиваются сотрудники

75% CISO опасаются, что топ-менеджеры не понимают киберугроз, с которыми сталкиваются сотрудники

изображение: grok

Почти 80% руководителей служб информационной безопасности европейских компаний уверены, что топ-менеджмент недооценивает риски, исходящие от действий рядовых работников. Опрос провела компания MetaCompliance, собрав мнения свыше 200 CISO. Для российских пользователей и организаций выводы исследования тоже актуальны — те же схемы фишинга, дипфейков и утечек через ИИ-сервисы давно работают против отечественных компаний и частных лиц.

78% опрошенных специалистов по защите данных заявили о слабом понимании советами директоров рисков, связанных с человеческим фактором. Работники становятся мишенью массовых фишинговых рассылок, а распространение генеративных нейросетей открывает новые пути для утечки корпоративных сведений и успешных атак методом социальной инженерии. Ситуация усугубляется тем, что руководство часто рассматривает такие угрозы как второстепенные по сравнению с внешними атаками на инфраструктуру.

Опрос показал прямую связь между позицией руководства и качеством работы подразделений ИБ. 79% CISO рассказали, что первоначальный энтузиазм топ-менеджеров к программам обучения сотрудников быстро угасает. Результат предсказуем — уровень киберустойчивости снижается, адаптация к новым видам атак замедляется, а бюджеты на профилактику сокращаются одними из первых.

Отмечается, что половина руководителей ИБ оценивает защищённость своих компаний сегодня хуже, чем 12 месяцев назад. Причина — стремительная эволюция атак с применением ИИ.

Злоумышленники используют нейросети для генерации правдоподобных писем на десятках языков, подделки голосов топ-менеджеров и автоматизации социальной инженерии в промышленных масштабах. Джеймс Маккей, генеральный директор MetaCompliance, констатирует радикальную трансформацию ландшафта угроз — примитивные мошеннические рассылки уходят в прошлое, им на смену пришли массовые кампании с индивидуальной подстройкой под жертву.

Основные проблемные зоны, названные CISO в ходе опроса:

  • фишинговые кампании с ИИ-генерацией текстов на родном языке жертвы;
  • дипфейк-атаки с имитацией голоса руководителей;
  • утечки конфиденциальных данных через публичные нейросервисы;
  • разрозненные политики безопасности в разных отделах;
  • отсутствие единой координации между подразделениями;
  • слабая обратная связь от рядовых сотрудников по инцидентам.

Разрозненность внутрикорпоративных правил названа отдельной болью. Разные департаменты нередко живут по собственным стандартам доступа и защиты, из-за чего злоумышленникам достаточно найти самое слабое звено. Кибератаки на российские компании последних двух лет — банковский сектор, ритейл, промышленность — подтверждают этот тезис на практике.

Быстрое проникновение больших языковых моделей в рабочие процессы вызывает у CISO отдельную тревогу. Около 40% участников опроса опасаются, что работники бесконтрольно передают внутренние документы, коды и клиентские базы во внешние ИИ-сервисы, не понимая последствий. Российские сотрудники массово пользуются как отечественными, так и зарубежными нейросетями — риск утечки корпоративной информации в 2025 году вырос кратно.

Стоит обратить внимание, что уточняется — эффективная защита без стабильного участия высшего руководства невозможна. Разовые тренинги и формальные инструкции не работают.

Что рекомендуют эксперты MetaCompliance для снижения человеческих рисков:

  • долгосрочная поддержка программ обучения на уровне совета директоров;
  • регулярные симуляции фишинговых атак с последующим разбором;
  • единые корпоративные правила работы с ИИ-сервисами;
  • сегментация доступа к чувствительным данным;
  • постоянный мониторинг активности сотрудников в облачных сервисах.

Проблема низкой осведомлённости руководства о человеческом факторе актуальна не только для Европы. Российские CISO сталкиваются с той же картиной — топ-менеджеры готовы вкладываться в файрволы и антивирусы, но обучение персонала финансируется по остаточному принципу. При этом 8 из 10 успешных атак на российские компании в 2024–2025 годах начинались с обычного письма, открытого сотрудником.

Отдельная угроза для российских пользователей — фишинг с применением генеративного ИИ на русском языке. Раньше подозрительные рассылки легко распознавались по корявому переводу и грамматическим ошибкам. Сейчас нейросети создают безупречные тексты от имени банков, госорганов, служб доставки и мобильных операторов. Отличить подделку становится всё сложнее даже опытным пользователям.

Ранее сообщалось, что анализ обращений клиентов компании «Информзащита», материалов по расследованию инцидентов и отраслевых исследований за 2025 год выявил устойчивый рост киберугроз, связанный не только с внешней активностью злоумышленников, но и с внутренними изменениями в самих организациях. Одним из основных факторов специалисты назвали массовое и во многом неконтролируемое внедрение искусственного интеллекта в бизнес-процессы. По данным исследования, каждый второй руководитель службы информационной безопасности рассматривает использование ИИ как источник новых киберрисков.

По мнению редакции CISOCLUB, результаты опроса MetaCompliance фиксируют разрыв, о котором отраслевое сообщество говорит уже несколько лет — между реальным уровнем киберугроз и восприятием этих угроз бизнесом. Ситуация в России ничем не отличается от европейской, а по ряду параметров даже острее — уход зарубежных вендоров, дефицит специалистов и рост числа целевых атак делают человеческий фактор главной уязвимостью большинства организаций.

Пока совет директоров воспринимает информационную безопасность как расходную статью, а не как элемент бизнес-стратегии, любые технические средства защиты будут пробиваться через самое слабое звено — рядового сотрудника. Обучение персонала должно стать таким же обязательным процессом, как финансовый аудит или охрана труда. Без этого сдвига любые бюджеты на ИБ уходят в песок.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: