Есть странная вещь, которую почти никто не обсуждает вслух.
Компании годами усиливают информационную безопасность: закупают решения, обновляют защиту, проводят обучение сотрудников, внедряют регламенты. В отчётах всё выглядит убедительно — уровень ИБ растёт, процессы формализованы, риски «учтены».
А фишинг при этом никуда не девается.
Не потому что «атак стало больше».
И не потому что «сотрудники не обучены».
Проблема в другом:
в большинстве компаний никто на самом деле не проверяет, как сотрудники ведут себя в момент атаки, а не в момент обучения.
Это две разные реальности.
Можно сколько угодно говорить про кибербезопасность, информационную безопасность, защиту бизнеса от фишинга — но всё это заканчивается в той точке, где сотрудник видит письмо, которое похоже на рабочее.
Не подозрительное.
Не «очевидный спам».
А нормальное письмо, которое просто нужно обработать.
В этот момент он не вспоминает признаки фишинга.
Он закрывает задачу.
И если сценарий собран правильно, решение будет тоже «правильным» — с точки зрения работы, но не безопасности.
И вот здесь появляется вещь, которую почти никто не хочет видеть:
вся система защиты в этот момент не ломается — она просто обходится.
Легально.
Интересно, что компании при этом уверены, что ситуацию контролируют.
Обычно это выглядит так:
сотрудники прошли обучение по информационной безопасности, есть инструкции, есть политика, есть подписи под документами. Иногда даже есть тесты, которые все успешно сдают.
Формально — всё правильно.
Но если задать один вопрос — становится неудобно:
сколько сотрудников прямо сейчас готовы отдать доступ, если письмо будет достаточно убедительным?
Не «в теории».
Не «по результатам обучения».
А в реальной ситуации.
Ответа нет почти никогда.
И это не потому что его «сложно посчитать».
Его просто не существует — потому что никто не создаёт условий, в которых это можно увидеть.
Фишинг как атака давно перестал быть технической проблемой.
Это уже не про уязвимости, не про вредоносный код, не про обход фильтров.
Это про поведение.
А поведение — единственная часть системы, которая в большинстве компаний остаётся вне измерения.
С этим связана ещё одна неудобная вещь:
отсутствие инцидентов не означает, что их не было.
Это означает, что они не были зафиксированы.
Когда компании впервые начинают смотреть на это не через отчёты, а через реальные действия сотрудников, картина почти всегда оказывается хуже ожидаемой.
Не катастрофа.
Но заметно хуже.
И это логично — потому что до этого момента никто не смотрел.
Есть простой сдвиг, после которого разговор об ИБ становится другим.
Не «мы обучили сотрудников».
Не «у нас внедрены процессы».
А:
— вот процент людей, которые переходят по ссылкам
— вот те, кто вводит данные
— вот как это меняется со временем
С этого момента появляется не ощущение безопасности, а её управляемость.
Ровно для этого и используются решения класса security awareness — не как «обучение сотрудников», а как способ увидеть поведение, которое обычно скрыто.
Например, Phishman в этом смысле интересен не курсами и не контентом.
Он даёт более неприятную, но полезную вещь:
он показывает, что происходит на самом деле.
Без теории.
Без «правильных ответов».
Без иллюзии, что если человек знает — он так и поступит.
И здесь появляется точка, где всё становится на свои места.
Пока в компании обсуждают защиту от фишинга как тему обучения — ничего не меняется.
Как только начинают смотреть на неё как на измеряемое поведение — появляется контроль.
Не абсолютный.
Но реальный.
Если убрать весь маркетинг, остаётся довольно жёсткая формулировка:
информационная безопасность без понимания того, как ведут себя сотрудники в момент атаки — это система без ключевого показателя.
Она может быть дорогой.
Может быть формально правильной.
Может проходить аудит.
Но она не отвечает на главный вопрос:
что произойдёт, когда придёт письмо, которое нельзя отличить от рабочего.
И вот здесь появляется практический шаг, который обычно откладывают.
Не обсуждение.
Не очередное обучение.
Не пересмотр регламентов.
А проверка.
Потому что до тех пор, пока у вас нет фактических данных — всё остальное остаётся предположением, каким бы обоснованным оно ни казалось.
Самый быстрый способ это изменить — провести контролируемое тестирование: посмотреть, как сотрудники реагируют на реальные сценарии и где именно возникает риск.
И уже на основе этого принимать решения.
Если вы хотите получить такую картину по своей компании, это можно сделать через пилотное тестирование на базе Phishman.
В Soft Inc. такие тестирования проводят как отдельный этап — без долгого внедрения и без необходимости «сначала всё купить».
По сути, это возможность ответить на один ключевой вопрос:
что происходит у вас на практике, а не в отчётах.
С этого обычно и начинается нормальная работа с этим риском.