Слабое звено: как привычки сотрудников разрушают корпоративную безопасность

Пока компании инвестируют во внешний периметр информационной безопасности – антивирусы и файерволы, – злоумышленники заходят в корпоративные сети с учетной записью сотрудника, сохранившего пароль в памяти браузера. Почти в половине успешных кибератак ключом к инфраструктуре становится человеческий фактор: социальная инженерия, забытые пароли, старые учетные записи и другие намеренные или ненамеренные ошибки, показывают отраслевые исследования. «Ведомости. Инновации и технологии» выясняли, как бытовые привычки сотрудников рушат ИБ-системы гигантов рынка и почему централизованное управление паролями превратилось в стандарт корпоративного комплаенса.

Данные стали главным активом

Клиентские базы, алгоритмы для управления процессами, операционные данные и другие цифровые активы стали для современного бизнеса не менее важным фундаментом, чем станки и персонал. По оценкам инвесткомпании Ocean Tomo, 90,1% рыночной стоимости 500 крупнейших компаний индекса S&P в 2020 г. приходилось на нематериальные активы, тогда как в 1985 г. – 32%. 

Превращение данных в важный бизнес-актив делает их мишенью злоумышленников, и концентрация цифровых активов увеличивает масштаб финансовых и операционных потерь от их компрометации. По прогнозам экспертов сервиса Proxurack, глобальный ущерб от действий киберпреступников в 2026 г. достигнет $11,9 трлн – это около 11% от мирового ВВП за 2024 г. Например, средняя стоимость утечки данных для бизнеса в мире в 2025 г. составила $4,4 млн, по данным отчета IBM. 

Только за 2025 г. в России произошло 739 инцидентов утечки информации, в результате которых оказались скомпрометированы 1,34 млрд записей персональных данных, подсчитали в InfoWatch. Лидерами по количеству утечек данных стали сфера торговли (25,4% инцидентов), госсектор (14,6%) и промышленные предприятия (7,6%). Причем хуже всего защищены малый и средний бизнес – почти половина (46%) киберинцидентов относятся к компаниям с численностью сотрудников до 49 человек.

Бизнес пугают не только утечки, но и риски остановки производственных процессов. Так, по данным Positive Technologies, в 2025 г. почти половина (44%) киберинцидентов привела к нарушению основной деятельности компаний. Ущерб от одного часа простоя бизнеса из-за действий хакеров может варьироваться от 9,6 млн руб. в сфере ретейла до 21,7 млн руб. в IT и телекоммуникациях, подсчитали в компании BI.ZONE. После инцидента компаниям требуется от трех-четырех дней для возобновления важных бизнес-процессов, около двух недель – для восстановления IT-систем.

Многие риски для информбезопасности отечественного бизнеса связаны с использованием ПО западных разработчиков, покинувших российский рынок, отмечал Центр компетенций по импортозамещению в сфере ИКТ (ЦКИТ) в докладе «Ландшафт российского рынка прикладного программного обеспечения». По оценкам ЦКИТ, использующие иностранный софт компании сталкиваются с феноменом «замороженной безопасности»: оставшись без официальной вендорской поддержки и регулярных патчей, операционные системы и системы управления базами данных (СУБД) продолжают накапливать незакрытые уязвимости. По данным Федеральной службы по техническому и экспортному контролю (ФСТЭК), у 54% проверенных ведомством организаций критической информационной инфраструктуры (КИИ) сохраняются уязвимости, часто связанные с использованием иностранного ПО. Также, по словам заместителя директора ФСТЭК Виталия Лютикова, 69% российских компаний не используют двухфакторную аутентификацию, а у 42% обнаружено использование паролей, назначаемых по умолчанию. 

Часть решений уже замещаются российскими решениями, и главный вызов сегодня – это не отсутствие технологий, а системная перестройка архитектуры управления идентификациями и доступом под отечественные продукты, говорит архитектор департамента «Информационная безопасность» компании «Рексофт» Даниил Левченко. 

Многие компании пытаются закрывать проблемы сторонними плагинами и доработками силами своего IT-отдела или подрядчика, отмечает ведущий ИБ-специалист ООО «Пассворк» Антон Незнаев. «Но это палка о двух концах. Без вендорской поддержки компании получают неконтролируемый технический долг: у таких решений нет единого центра ответственности, а их исходный код не проходит независимый аудит и анализ на уязвимости», – подчеркивает он.

Человек против систем

Инвестиции в классические средства защиты внешнего контура – файерволы, антивирусы и системы мониторинга событий в инфраструктуре компании – не гарантируют стопроцентной защиты, поскольку самым уязвимым элементом системы остается человек, сходятся во мнении опрошенные «Ведомости. Инновации и технологии» эксперты. Основную угрозу представляют не внешние хакеры, а свои сотрудники, указывает Левченко. Инженеры информационной безопасности называют сотрудников организации главным источником утечек информации, подтвердил опрос InfoWatch. Так, 42% ИБ-специалистов назвали неумышленные (случайные) действия сотрудников важнейшей причиной утечек, а 37% – умышленные действия сотрудников. 

Человеческий фактор – основа большинства успешных атак, соглашается Незнаев. По его словам, «ломать защищенную инфраструктуру в лоб» дорого и долго, поэтому злоумышленники ищут одно слабое звено: пароль, сохраненный в браузере, слабый или повторно используемый пароль, переход по фишинговой ссылке. «Один слабый пароль у администратора или сотрудника с доступом к критичным системам способен привести к остановке всего бизнеса», – указывает Незнаев. Ущерб крупной компании от одной успешной атаки, по его оценкам, исчисляется десятками, а в тяжелых случаях – сотнями миллионов рублей. В Сбербанке совокупный ущерб России от кибератак за 2023–2024 гг. оценили примерно в 1 трлн руб., а по итогам восьми месяцев 2025-го – свыше 1,5 трлн руб. 

По данным ГК «Солар», 40% успешных кибератак в первом полугодии 2025 г. начинались именно с компрометации учетных записей, 7% – с фишинга, еще 7% – с атак через поставщиков, подрядчиков или клиентов. Характерным примером таких инцидентов становятся атаки на цепочку поставок. Злоумышленники проникают во внутренний периметр крупной организации, используя скомпрометированную учетную запись сотрудника сторонней подрядной компании, у которого был легитимный доступ к системам заказчика. 

Фундамент для безопасности

В условиях, когда человеческий фактор и бытовые привычки персонала остаются важным вектором кибератак, внедрение корпоративного менеджера паролей становится основой информационной безопасности. «Грамотное управление паролями – это не просто техническая мера, а связующее звено между человеческим фактором, архитектурой безопасности и цифровым суверенитетом компании», – говорит Левченко. По его словам, в ходе IT-аудита «Рексофт» чаще всего выявляет слабую парольную политику и проблемы с привилегированным доступом – до 35% критичных инцидентов связаны с компрометацией паролей администраторов. Еще одна частая брешь – «забытые» учетные записи. В 95% компаний активны аккаунты уволенных сотрудников, указывает Левченко.

Использование сертифицированных отечественных продуктов управления паролями и политикой доступа позволяет бизнесу укрепить безопасность и снизить риски штрафов за утечку данных. Сертификат ФСТЭК – это доказуемое, проверенное регулятором подтверждение того, что продукт безопасен, указывает генеральный директор ООО «Пассворк» Андрей Пьянков. Он означает, что независимая лаборатория изучила исходный код, архитектуру и процессы разработки и подтвердила, что в продукте нет недекларированных возможностей и скрытых уязвимостей. Для крупного бизнеса, который регулярно проходит аудиты ИБ, сертифицированное решение снимает массу вопросов: его можно включать в состав аттестованных систем защиты без дополнительного обоснования перед регулятором.

Например, в апреле этого года менеджер паролей «Пассворк» получил сертификат соответствия ФСТЭК России по четвертому уровню доверия – наивысшему из применяемых для коммерческих средств защиты информации. «Пассворк» стал первым менеджером паролей в России, прошедшим такую сертификацию. По мнению Пьянкова, наличие государственной сертификации у менеджера паролей перестает быть формальностью и становится конкурентным преимуществом – как для вендора, так и для компании, которая его выбирает. Сертифицированное решение снимает вопросы аудиторов, упрощает прохождение проверок и дает совету директоров то, что ценится в кризисной ситуации больше всего: доказуемую, задокументированную защиту, объясняет представитель «Пассворка».

Менеджер паролей устраняет главный фактор риска – человеческий, отмечает Пьянков. По его словам, он полностью исключает небезопасное хранение учетных данных в локальных файлах или текстовых документах. «Сотруднику достаточно помнить один мастер-пароль, тогда как сложные уникальные комбинации генерируются автоматически, хранятся в зашифрованном виде и подставляются в один клик. Это позволяет централизованно решить две критические проблемы: использование слабых паролей и их повторное применение на разных ресурсах», – говорит Пьянков.

Выбор инструмента для управления паролями требует осторожности, указывают опрошенные «Ведомости. Инновации и технологии» эксперты. Иностранные облачные менеджеры паролей не позволяют российским пользователям проконтролировать защищенность систем и хранения данных. Например, в 2022–2023 гг. у популярного американского сервиса хранения паролей LastPass произошла серия утечек, в ходе которых злоумышленники похитили резервные копии клиентских хранилищ паролей. Кроме того, применение иностранных программ всегда сопряжено с рисками внезапных блокировок из-за санкций. 

Другая крайность – использование локальных однопользовательских программ. По словам Незнаева, они изначально не рассчитаны на бизнес-задачи и совместную работу команды. В таких решениях нет разделения прав пользователей: существует только локальный файл базы данных и один мастер-ключ к нему. «Кто знает мастер-ключ, тот получает полный доступ ко всей базе данных. В таких программах невозможно гибко разграничить права – например, выдать сотруднику доступ к одной конкретной системе и скрыть от него остальные учетные записи», – объясняет он. 

Отдельная проблема безопасности – увольнения, указывает ИБ-специалист «Пассворка». При уходе сотрудника компании часто не могут оперативно перекрыть ему доступ к инфраструктуре. Риск удваивается: на руках у сотрудника может остаться скопированный файл базы данных, а общие пароли от корпоративных сервисов, которые он знал, вовремя не ротируются. Эксперты отмечают, что после каждого ухода нужно менять все пароли, к которым у человека был доступ, но на практике этого почти никто не делает, и доступы «утекших» сотрудников остаются живыми. 

В середине прошлого года вступил в силу Федеральный закон № 420-ФЗ, ужесточивший административную ответственность за утечки персональных данных. Штраф за первичную утечку информации до 10 000 записей персональных данных составляет до 5 млн руб., более 100 000 руб. – до 15 млн руб., а за повторные инциденты – от 1 до 3% годовой выручки компании, но не менее 20–25 млн. 

По мнению Пьянкова, управление паролями долгое время оставалось на периферии корпоративных ИБ-стратегий – задачей, которую откладывали до следующего бюджетного цикла или делегировали сотрудникам на усмотрение, однако рост числа инцидентов, ужесточение регуляторных требований и многомиллионные штрафы по 420-ФЗ превратили ее в приоритет совета директоров. Сегодня вопрос стоит не в том, нужен ли бизнесу централизованный инструмент управления доступом, а в том, насколько этот инструмент надежен и соответствует ли он требованиям регулятора, считает эксперт.