В современном бизнесе киберугрозы постоянно растут. Так, в 2025 году число кибератак в России увеличилось на 35% по сравнению с предыдущим годом. По данным «Лаборатории Касперского», 77% компаний за последние два года хотя бы раз столкнулись с киберинцидентом. При этом средняя стоимость одного инцидента оценивается в около 27 миллионов рублей. Учитывая эти цифры, инвестиции в информационную безопасность выглядят оправданными. Цена ошибки может быть чрезвычайно высокой.

Любая утечка или сбой обходится дорого. Российские компании оценивают средний ущерб от одной утечки примерно в 11,5 миллионов рублей. При этом суммарный ущерб от серьёзного инцидента может превышать 41 миллионов рублей. При крупных утечках ущерб может исчисляться сотнями миллионов – например, в первом полугодии 2024-го свыше 986 млн записей персональных данных попало в открытый доступ. Таким образом, каждая ошибка или пробел в защите несет многомиллионные потери.

Примечательно, что многие инциденты происходят не из‑за слабых средств защиты, а из‑за простых ошибок сотрудников. По статистике Kaspersky, 38% всех киберинцидентов в компаниях вызваны человеческими ошибками, еще 26% – нарушениями ИБ-политик. Проверочные фишинг-рассылки показывают, что половина сотрудников открывает подозрительные письма, 35% по ним кликают, а 10% могут ввести свои данные на поддельных сайтах. Именно социальная инженерия остаётся одним из главных путей проникновения.

Ситуация усугубляется тем, что индустрии (регуляторы) накладывают строгие требования на подготовку персонала и соблюдение требований законодательства по технической защите информации. Например, 152-ФЗ обязывает обучать сотрудников работе с персональными данными и выстраивать систему защиты согласно требованиям ФСТЭК и ФСБ России, а требования Роскомнадзора говорят о обязательном уведомлении регулятора в случае изменения данных об операторе обработки ПДн. Если пренебречь этим, компания рискует попасть под штраф до 15 миллионов рублей за каждую утечку персональных данных, без учёта репутационных потерь.

Регулярное обучение персонала – не расход, а инвестиция в снижение рисков. Грамотно подготовленные сотрудники лучше распознают фишинг и другие приемы хакеров, что существенно сокращает число инцидентов. Обучение ИБ повышает культуру безопасности и дисциплину работы с данными, делает сотрудников более внимательными. Это приводит к:

• снижению числа ошибок и непреднамеренных утечек;
• повышению готовности реагировать на инциденты (своевременное оповещение, запуск регламентов);
• обеспечению соответствия требованиям закона (152‑ФЗ, ФСТЭК и др.);
• более эффективному использованию технических средств защиты (антивирусы, DLP-системы и пр.).

Комплексный подход – сочетание технических мер и обучения – экономически оправдан. Обучение персонала является экономически эффективным решением для снижения киберрисков. Если после атаки компания тратит до 5 миллионов рублей на дообучение сотрудников, то запланированный курс по информационной безопасности обходится дешевле и предотвращает гораздо большие убытки.

Во избежание подобных расходов целесообразно заранее выстроить корпоративную программу обучения. Для практической реализации таких программ подойдут как общие курсы по осведомленности, так и специализированные программы, ориентированные на соответствие регуляторным требованиям и подготовку действий персонала. Например, наша академия (МАСО) предлагает ряд дистанционных курсов и программ профессиональной переподготовки, которые можно рекомендовать для корпоративного обучения.

Ошибка в информационной безопасности может стоить компаниям десятки миллионов рублей и даже больше. Вложение в обучение персонала – гораздо более выгодная альтернатива. Затраты на курсы обычно составляют лишь малую долю от суммы потенциальных убытков. Обучение – это инвестиция, которая окупается через уменьшение числа инцидентов и связанных с ними расходов. Информированность сотрудников и их готовность к ответу на киберугрозы становятся залогом защищенности бизнеса и значительной экономии средств.