Любую систему национальной кибербезопасности принято описывать метафорой щита. Сенсоры, центры мониторинга, каналы обмена данными, регламенты реагирования образуют стену между страной и атакующими. ГосСОПКА в этом контексте выглядит как крепость: внутри безопасно, снаружи опасно, задача — укреплять стены.
Метафора красивая, но неточная. ГосСОПКА не стена. Это нервная система. Она не блокирует атаки сама по себе. Она собирает сигналы от тысяч организаций, синтезирует картину угроз и рассылает обратную связь. Ее ценность не в толщине брони, а в скорости и точности передачи боли.
Но нервная система работает, только когда нервные волокна действительно передают сигнал. Не глушат его, не приукрашивают, не задерживают на неопределенный срок «до окончания согласований». Именно здесь начинаются проблемы, и они не в технологиях.
Что требует ГосСОПКА от людей
Формально ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Она агрегирует информацию от субъектов критической информационной инфраструктуры, формирует общую картину угроз, координирует реагирование черезНациональный координационный центр по компьютерным инцидентам (НКЦКИ).
Давайте переведем это с бюрократического на человеческий. ГосСОПКА требует, чтобы тысячи организаций по всей стране делали нечто глубоко противоестественное: добровольно, быстро и подробно рассказывали о собственных провалах. О том, что их взломали, что сотрудник попался на фишинг, патч не поставили вовремя или подрядчик имел доступ, которого не должен был иметь.
Если снять парадную обертку, система национальной кибербезопасности — это инфраструктура коллективной честности. Она работает настолько, насколько участники готовы признавать собственные ошибки. Не «люди вообще» — а конкретные сотрудники на конкретных должностях, каждый из которых имеет свои причины скрывать правду.
Люди и роли
Когда говорят «человеческий фактор», обычно представляют бухгалтера, который кликнул по фишинговой ссылке. В реальности же риски человеческого фактора в контуре ГосСОПКА присутствуют в нескольких номенклатурных ролях.
Рядовые сотрудники. Они ведут себя небезопасно не потому, что глупы или необучены. Просто безопасность конкурирует с их основной работой. У бухгалтера KPI по количеству обработанных платежей. У менеджера — по скорости согласований и количеству привлеченных клиентов. У инженера — по аптайму системы. Безопасное поведение почти всегда медленнее небезопасного. Перезвонить контрагенту, чтобы подтвердить реквизиты, — лишние пять минут. Не открывать вложение и написать в ИБ — задержка задачи. Каждый раз человеку приходится делать микровыбор между «сделать работу быстро» и «сделать работу безопасно». Организации же в 99% случаев вознаграждают скорость и наказывают за медлительность.
Фишинговые письма, слабые пароли, пересылка документов через личную почту, установка «нужных программ» — не проявления безграмотности, а рациональное поведение людей в системе, наказывающей за осторожность.
ИТ- и ИБ-специалисты, которые должныобнаруживать инциденты, классифицировать их и передавать в ГосСОПКА. Казалось бы, их интересы совпадают с интересами системы. Но это не так.
ИБ-специалист, обнаруживший серьезный инцидент, оказывается перед неприятным выбором. Честный и подробный отчет в НКЦКИ означает, что кто-то наверху спросит: «А почему вы это допустили?» Неправильно настроенное журналирование, из-за которого часть событий пропала? Патч, который не поставили три недели? Все это — вопросы к нему лично. Поэтому в ГосСОПКА нередко уходят «стерилизованные» карточки инцидентов: минимум деталей, обтекаемые формулировки, никаких индикаторов компрометации, которые позволили бы другим организациям защититься.
Хуже того, нагрузка на SOC-команды растет быстрее, чем штат. Российский рынок ИБ переживает острый кадровый дефицит — десятки тысяч незакрытых вакансий. Люди перерабатывают, выгорают, и формальный подход к отчетности становится не ленью, а стратегией выживания: на «нормальные» отчеты просто нет ресурсов.
Менеджмент. На этом уровне рождается самая опасная разновидность человеческого фактора. Не ошибка и не выгорание, а осознанное решение не воспринимать кибербезопасность всерьез.
И это тоже рационально. Безопасность — отрицательная метрика. Ее не видно, когда она работает, но невозможно игнорировать, когда она провалилась. Для руководителя, мыслящего квартальными показателями, вложения в ИБ — расходы без материальной отдачи. В итоге требования ГосСОПКА воспринимаются как еще одна регуляторная обязаловка, в одном ряду с пожарной инспекцией и экологической отчетностью. Обучение проводится для галочки. Рекомендации НКЦКИ ложатся в стол. Бюджет на ИБ выделяется по остаточному принципу.
Такое отношение руководства к безопасности мгновенно транслируется вниз по всей организации. Сотрудники понимают, что реально их поощряют за увеличение прибыли и оптимизацию бизнес-процессов, а не за движение к абстрактным целям, записанным в политике безопасности. И действуют соответственно.
Все три проблемы — конкуренция безопасности с продуктивностью, самосохранение ИБ-специалистов, безразличие менеджмента и его фиксация на бизнес-показателях — существовали и пять, и десять лет назад. Но сегодня на них давит новый фактор, который быстро ухудшает ситуацию, не давая организациям времени на адаптацию. И этот фактор не очередная хакерская группировка. Это генеративный искусственный интеллект (ИИ).
ИИ-фишинг обесценил старые подходы
Об ИИ-фишинге обычно говорят так: «Атаки стали более качественными». Но это лишь часть правды. Произошло кое-что более серьезное.
Десятилетиями организации учили сотрудников распознавать фишинг по внешним признакам: кривой логотип, ошибки в русском языке, подозрительный домен отправителя, нелепые формулировки. Весь тренинг строился на идее, что подделку можно отличить от оригинала, если внимательно присмотреться.
Генеративный ИИ уничтожил эту парадигму. Сегодня фишинговое письмо может быть написано безупречным деловым языком, с правильным логотипом, корректным доменом и даже стилистически подстроено под манеру конкретного отправителя. Поддельные сайты неотличимы от настоящих. Визуальный чек-лист с перечнем типовых ошибок перестал работать — ошибок больше нет.
Это не количественное изменение, а качественное. Людей нужно переучивать на принципиально другую модель — контекстную, а не контентную. Не «выглядит ли это письмо подозрительно?», а «ожидал ли я это письмо? Нормально ли для нашего процесса получать такие запросы по этому каналу? Требует ли процедура подтверждения по другому каналу?»
К сожалению, большинство организаций по-прежнему обучают сотрудников по старым материалам, рассказывая о «подозрительных ссылках» и «ошибках в тексте». Они тренируют людей обнаруживать канувшие в Лету признаки. Это не просто бесполезно, а даже опасно, потому что создает ложную уверенность: «Я прошел тренинг, я умею распознавать фишинг». Нет. Правила игры изменились, а вам об этом не сказали.
Казалось бы, раз проблема с человеческим фактором и устаревшим подходом к обучению очевидна, регуляторы должны были на нее среагировать. Они среагировали. Но получилось не совсем то, что нужно.
Ловушка комплаенса
В нормативной базе ГосСОПКА прямо прописаны обязательства по работе с человеческим фактором:
Требования разумные. Проблема в том, что их формальное выполнение не увеличивает безопасность и не выполняет задачи, поставленные перед ГосСОПКА.
Организация провела обучение —показала слайды, собрала подписи, отчиталась. Теперь она «в комплаенсе». Руководство с чистой совестью считает проблему человеческого фактора решенной, ведь журнал инструктажа подписан. Спросите после этого рядового сотрудника:
Ответы вас сильно удивят.
Формальный комплаенс создает нечто более опасное, чем незнание, — иллюзию знания. В инженерии безопасности это называется нормализацией отклонений. Система выглядит работающей, все отчеты зеленые, реальная практика тихо дрейфует в произвольную сторону от регламентов, и никто не бьет тревогу, потому что формально все в порядке.
Для ГосСОПКА это означает подмену реальности на отчетность. Система вместо актуальной картины угроз получает красиво нарисованную картину комплаенса: Xорганизаций «обучили персонал», Y «внедрили процедуры», Z «провели аудит». Ландшафт отчетности и ландшафт реальных рисков — два разных ландшафта, и с каждой итерацией их отличия все сильнее. Коллективный иммунитет начинает ставить диагнозы и назначать лечение по данным, которые описывают не болезнь, а бумажное здоровье.
Где ломается цикл
Идеальная модель работы ГосСОПКА — замкнутый цикл. Сотрудник замечает подозрительное письмо и сообщает в ИБ. Команда классифицирует инцидент, описывает подробно и честно, данные уходят в ГосСОПКА. Оттуда возвращаются индикаторы компрометации, рекомендации, информация о новых векторах. Организация обновляет правила, корректирует обучение. Цикл повторяется, каждый виток усиливает всю экосистему.
Реальность ломает этот цикл в каждой точке. И практически всегда причина в людях, которые играют роли.
Сотрудники молчат о странных письмах. Не потому что не заметили, а потому что боятся «выглядеть глупо» или «создать проблемы». В культуре, где за ошибки наказывают, рациональная стратегия — молчать и надеяться, что пронесет.
ИБ-специалисты занижают критичность инцидентов, чтобы не запускать процедуру эскалации. Они переклассифицируют атаку в «аномалию», задерживают отчет до момента, когда информация теряет оперативную ценность. Не потому что хотят навредить, а потому что подробный отчет о серьезном инциденте вызовет неприятные вопросы от руководства и регулятора.
Руководство отмахивается от рекомендаций. Не по злому умыслу, а потому что «и так работает». Инвестиции в предотвращение неслучившегося проигрывают инвестициям в видимый рост.
В результате одна и та же схема атаки проходит по отрасли, как огонь по сухостою: каждая следующая жертва не знает об опыте предыдущей, потому что предыдущая промолчала. Цикл не замыкается — он разрывается в точке, где человеку нужно выбрать между самосохранением и честностью. Самосохранение предсказуемо побеждает.
Что реально помогает
Сказать «нужна культура безопасности» легко. Построить ее означает преодолеть мощнейшее организационное сопротивление. Но это возможно, если понять, с чем именно приходится бороться. Вот что может помочь.
Разделить формальные и реальные цели. Первый и самый тяжелый шаг. Руководство должно вслух произнести: «Наша задача — не отчитаться перед НКЦКИ, а действительно снизить вероятность инцидентов. Это разные задачи, и мы осознанно выбираем вторую». Пока эти приоритеты смешаны, реальная безопасность всегда проиграет комплаенсу, потому что комплаенс проверяем, а безопасность невидима.
Описать нормальные процессы простым языком. Для ключевых сценариев, таких как платежи, изменение реквизитов, выдача доступов, согласование обновлений, должна существовать понятная инструкция, описывающая, как выглядит нормальный процесс. Не стостраничный регламент, а короткое описание, которое помнит каждый участник. Когда сотрудник знает, как должно быть, он способен заметить отклонение. Когда не знает, любая «срочная просьба от директора» выглядит правдоподобно.
Переучить людей на контекстную модель. Старые тренинги, рассказывающие, как искать ошибки в письме, пора списывать. Новая модель выглядит так: «проверяйте контекст, а не контент». Ожидал ли я это сообщение? Нормально ли для нашего процесса получать такие запросы по этому каналу? Есть ли процедура, требующая подтверждения по другому каналу? Это сложнее, чем «ищите кривой логотип», зато работает в эпоху генеративного ИИ.
Встроить ГосСОПКА в обучение как смысл, а не обязанность. Людям стоит объяснять, что происходит, когда они сообщают о подозрительной активности: как их сигнал попадает в национальную систему, как это помогает защитить не только их компанию, но и десятки других организаций по всей стране. Люди охотнее действуют правильно, когда понимают смысл своих действий, а не просто выполняют инструкцию «потому что так надо».
Убрать наказание за честность. Ключевой и самый контринтуитивный шаг. Сотрудник, который сообщил о фишинге, на который чуть не попался, — герой, а не провинившийся. ИБ-команда, честно описавшая серьезный инцидент, — ответственные профессионалы, а не виноватые в том, что инцидент произошел. Пока честность наказывается, люди будут выбирать молчание, и нервная система страны останется слепой именно там, где зрение нужнее всего.
Сделать учения и разборы рутиной. Симулированные фишинговые кампании, сценарии «ложных» запросов от «службы безопасности», тренировки реагирования. Не менее важны разборы реальных инцидентов — без поиска виноватых, с фокусом на процесс: что должно было насторожить, как нужно было действовать. Когда разбор становится обучением, а не трибуналом, люди перестают прятать инциденты.
Чтобы все сказанное не осталось абстракцией, разберем два вымышленных, но типичных сценария. Детали придуманы, а вот паттерны — нет: подобные ситуации регулярно возникают в российских компаниях, от энергетики до финансов.
Сообщать или молчать
Инженер, который знал процесс. Крупная энергетическая компания, региональный филиал. Инженер техподдержки получает письмо якобы от вендора автоматизированной системы управления технологическими процессами (АСУ ТП): «срочное обновление прошивки» во вложении. Письмо безупречно: правильный домен, корректный деловой стиль, логотип на месте. Ноль визуальных ошибок. Старый навык поиска кривого логотипа тут бы не помог. Но инженер знал, что обновления приходят только через внутренний портал, а не по почте. В итоге он не открывает вложение, а пересылает письмо в службу ИБ. Те обнаруживают вредоносный код и передают индикаторы в ГосСОПКА. В течение суток предупреждение получают десятки организаций отрасли. Нервная система сработала: сигнал прошел от окончания до мозга и обратно ко всему телу.
Обратите внимание: инженера спасла не «осведомленность о фишинге». Его спасло знание собственного рабочего процесса и культура, в которой сообщать о подозрительном — норма, а не «создание проблем».
Сотрудник, который не перезвонил. Финансовая организация, центральный офис. Бухгалтер получает в мессенджере сообщение от «руководителя» с просьбой срочно перевести средства на новый счет контрагента. Аккаунт выглядит настоящим, тон привычный. Сотрудник выполняет перевод, не перезвонив руководителю и не сверившись с процедурой. Мошенничество обнаруживают через несколько часов. Дальше — второй провал: служба ИБ, стремясь минимизировать репутационные последствия, передает в ГосСОПКА сверхлаконичный отчет с минимумом деталей. Деньги потеряны. Другие организации не узнают о схеме атаки. Мошенники продолжают использовать тот же сценарий, потому что нервная система заглушила сигнал на полпути.
Здесь система сломалась дважды: сначала у сотрудника, который не знал процесс или не привык перепроверять, затем у ИБ-команды, выбравшей самосохранение вместо честности.
Разница между двумя историями не в бюджетах на ИБ и не в технологиях. Разница в том, знает ли человек свой рабочий процесс, считает ли нормальным сообщать о подозрениях и не опасается ли наказания за честность.
Чувствительность важнее толщины брони
ГосСОПКА не бронежилет, который можно надеть и забыть. Это национальная нервная система, и ее эффективность определяется не толщиной стен, а точностью и скоростью сигналов, которые по ней проходят. Сенсоры, регламенты, классификаторы — инфраструктура передачи информации. Но если люди на местах от бухгалтера в региональном филиале до CISO в головном офисе предпочитают молчать, потому что честность обходится дороже молчания, система остается слепой.
Человеческий фактор в контуре ГосСОПКА не досадная помеха, которую можно устранить автоматизацией. Это центральный элемент архитектуры. По замыслу система опирается на людей, принимающих правильные решения в правильный момент. Задача — не «убрать» человека из контура, а создать условия, в которых правильное решение становится легким, а честность безопасной.
В конечном счете от того, нажмет ли конкретный сотрудник кнопку «Сообщить о подозрительном письме», и от того, опишет ли ИБ-команда инцидент без прикрас и купюр, зависит не только безопасность одной организации. От этого зависит, будет ли национальная нервная система чувствовать боль вовремя или останется нечувствительной, пока не станет поздно.
Cпециализированный Форум по тематике ГосСОПКА состоится 14–15 апреля 2026 года, в кластере «Ломоносов» (Москва). Организатор — НКЦКИ, оператор — Медиа Группа «Авангард». Участников ожидает всецело практико-ориентированная программа.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
