65% компаний называют сотрудников «слабым звеном» кибербезопасности

14.04.2026 00:00 10

Русская Школа Управления и Битрикс24 изучили, как малый и средний бизнес соблюдает правила цифровой гигиены. Результаты показали: привычки сотрудников по-прежнему остаются одной из ключевых угроз для безопасности.

Главная зона риска — открытые мессенджеры. Для 44% они являются основными каналами рабочей коммуникации, а еще 38% допускают их использование «в исключительных случаях». Лишь 19% работодателей строго следуют регламентам информационной безопасности и ограничиваются корпоративными мессенджерами.

Ситуация усугубляется тем, что 15% сотрудников регулярно пересылают пароли и важные файлы в чатах. Только треть (31%) респондентов уверена, что такого в их компании не происходит.

Дополнительный вызов — использование нейросетей. По словам респондентов, 19% сотрудников делились с открытыми ИИ-моделями конфиденциальной информацией. При этом более четверти (27%) респондентов не смогли ответить, сталкивалась ли их компания с подобными случаями, что говорит об отсутствии единых правил работы с ИИ.

Неоднозначна ситуация и с базовыми мерами защиты. Так 34% сотрудников используют двухфакторную аутентификацию (2FA) для всех аккаунтов, 29% — только для рабочих сервисов, а еще 19% — только для личных. Столько же (19%) не используют 2FA вовсе.

Невнимательное отношение сотрудников к базовым правилам безопасности является одной из основных проблем в МСБ. Чтобы изменить устоявшееся поведение, необходимо обучать коллег внимательно обращаться с корпоративными данными, не использовать публичные сервисы для конфиденциальной информации, знать принципы распознания фишинга.

Другим инструментом изменения плохой привычки является встроенное качество. Например, корпоративный мессенджер с техническими настройками запрета копирования переписки и скриншотов не позволит перейти работнику в общедоступный сервис. Обязательные сложные пароли и включенная двухфакторная аутентификация при использовании почты, корпоративного портала помогают избежать успешных атак на подбор и подстановку паролей.

Похожая несогласованность наблюдается и в поведенческих практиках. Например, при получении подозрительных сообщений только 39% сотрудников сообщают об инциденте в ИБ- или IT-отдел, (38%) предпочитают просто игнорировать такие письма, а 10% — открывают и проверяют самостоятельно на свой страх и риск.

Как итог утечки данных остаются распространенной проблемой для МСБ. За последние два года 16% компаний столкнулись с ними один раз, а 7% — дважды и более. При этом 17% респондентов затруднились ответить, происходили ли такие случаи в их компании, что не исключает возможности незамеченной утечки данных.

Что касается оценки ключевого источника рисков, мнения разделились. 65% ответивших считают слабым звеном сотрудников, указывая на их ошибки и неосторожность. Топ-менеджеры, которые игнорируют правила, становятся причиной проблем в 16% случаев, а технические сбои или ошибки IT/ИБ-отдела — лишь в 8%. У 12% компаний система безопасности, по их словам, работает без сбоев.

При этом подавляющее большинство респондентов признает неоспоримую важность кибербезопасности для репутации бизнеса: 68% уверены, что высокий уровень защиты повышает доверие со стороны клиентов и сотрудников.

Результаты исследования показывают, что большинство компаний уже осознают значимость кибербезопасности, но не всегда выстраивают системную работу с человеческим фактором. На практике именно сотрудники становятся первой линией защиты — и первой точкой уязвимости. Ошибки чаще происходят не из-за халатности, а из-за отсутствия культуры цифровой ответственности.

Сегодня критически важно не просто внедрять регламенты, а развивать у сотрудников привычку безопасного поведения: объяснять риски, обучать работе с корпоративными системами и инструментами ИИ, формировать ответственное отношение к данным. Это позволит компаниям малого и среднего бизнеса реально повысить уровень защиты.

В исследовании приняли участие 1508 представителей компаний малого и среднего бизнеса. Опрос проводился во всех регионах РФ.

65% компаний называют сотрудников «слабым звеном» кибербезопасности

Заявка принята

Заявка принята