Культура ИБ кейс: как фишинг-симуляции снизили drop-rate ↓60%

Введение

Однажды я поймала себя на мысли: «А кто реально отвечает за защищённость банка от фишинга?». Не айтишник. Не СБ. А Катя из бухгалтерии, которая утром открывает первую попавшуюся ссылку на «срочную ведомость». Или Андрей из маркетинга — кнопка «Перейти и согласовать» кажется ему вполне безобидной.

Вот так и начинается корпоративная культура информационной безопасности (ИБ) – не с протоколов и регламентов, а с конкретных людей. И с того, как они думают о безопасности.

Надёжная культура ИБ — это когда каждый в команде ощущает свою ответственность, каждое утро. В банках это особенно остро. Одна ошибка – и можно потерять миллионы или, что хуже, клиентское доверие. Уже не раз видела, как компании, пренебрегающие этими вопросами, позже держались на плаву только «на имени».

Поэтому мы буквально строим культуру ИБ. Через обучение. Через симуляции. Через вовлечённость. И сегодня расскажу один кейс — как один банк, внедрив фишинг-симуляции, снизил drop-rate на 60% и преобразил отношение людей к безопасности.

Подробнее о подходе — здесь, а обзор технических и культурных решений в банковской ИБ читайте еще здесь.

Раздел 1: Понятие корпоративной культуры ИБ

Впервые я столкнулась с этим понятием лет десять назад, когда в одной компании парень из логистики случайно отправил поставщику пароли в таблице Excel. Тогда мы только начинали говорить о «людях в рамках ИБ».

Сегодня это уже стандарт. Корпоративная культура ИБ — это поведение, реакции, привычки. Не просто «читали регламент» — а живут по нему.

Особенно в банках. Где не цифры важны, а доверие. Поэтому регламенты, ролевая модель доступа, кодексы ИБ — теперь на потоке. Я сама их внедряла. Но главное — их надо прожить. Не просто расписаться.

А ещё важнее — объяснить сотрудникам, зачем им это. Без этого все процедуры — мёртвый файл в корпоративной папке.

Подробно этот подход хорошо разбирается в этом исследовании. А как мотивация и участие сотрудников меняют культуру — читайте тут.

Раздел 2: Что такое фишинг-симуляции?

Я помню первый тест — всем сотрудникам пришло письмо: «Ваша премия за апрель. Скачать расчётный лист». Оно выглядело так реалистично, что даже наш CISO два секунды колебался. Да, реально. Это и есть фишинг-симуляция.

Такие тесты — как учебная тревога. Имитация фишинговой атаки: письмо, мессенджер, ссылка. Кто поверил — попался. Кто проигнорировал или сообщил — молодец. Потом идёт разбор: кто отреагировал, как, что не сработало.

И вот тут начинается обучение. Уже на эмоциях. «Я всегда думала, что не попалась бы, но это реально выглядело как от HR», — сказала мне однажды Анна, юрист.

Такие штуки работают. Особенно если делать их регулярно. В отчётах Falcongaze говорится, что почти треть сотрудников поначалу переходят по фишинговым ссылкам. Это ужасно. Но это можно исправить.

Раздел 3: Применение фишинг-симуляций в кейсе банка

Теперь ближе к делу. Один крупный банк в России начал с простого: раз в две недели — симуляция. Письмо. Новая формулировка. Новый поворот.

Параллельно — обучение. Пояснения. Иногда — «разбор полётов» на общем собрании. В духе: «Вот почему это была ловушка». Люди втянулись. Стали соревноваться — кто первым «поймает» фишинг.

Была внедрена система KPI — кто меньше «попался», кого ни разу не удалось поймать. Это не карательная практика — мотивационная. От премий до внутрирейтинга.

Здесь можно прочитать регламент, на который они опирались. А тут — как внедряют ответственность в ИБ-культуру.

Они не просто «внедрили процесс». Они начали менять отношение. Фишинг вышел из зоны «технических страшилок» в повседневную внимательность.

Раздел 4: Результаты: снижение drop-rate до 60%

И вот главный эффект — спустя полгода уровень попаданий на фишинг снизился на 60%. Это не магия, это метрика. Drop-rate, как говорят.

Скажу честно, когда мне прислали эти цифры, я думала — приукрашено. Проверила. Нет. Системный подход, обучение, KPI — и вот оно.

Они анализировали каждый промах: почему человек кликнул, что спровоцировало. Важно, что не обвиняли — учили. И это стало частью ДНК.

Мониторинг системы в реальном времени, адаптация сценариев, обновление паттернов — всё это закрепило эффект. Причём люди сами стали просить: «А когда следующий тест?». Это уже не страх — это азарт.

Подробности и похожие кейсы обсуждаются здесь.

Раздел 5: KPI сотрудников как индикатор эффективности

Если нет метрики — нет управления. Мы использовали простую формулу: «пойман на фишинг? — учись». Не наказание, а повод для роста.

KPI включали: проход фишинг-тестов, скорость обращения в службу безопасности в случае сомнений, участие в тренингах.

Лучшие результаты приводили к премиям, но — главное — к уважению внутри команды. Люди сами стали просвещать новых коллег: «Не открывай это письмо, это может быть ловушка».

Рекомендации выстроили на базе вот этой схемы и документов здесь.

На выходе — не KPI ради галочки, а инструмент роста. Это чувствуется.

Заключение

Этот кейс показал мне главное: информационная безопасность — не вопрос технологий. Это вопрос культуры.

Фишинг-симуляции, четкие KPI, вовлечённость каждого — не просто «хорошая практика». Это прочный щит.

Когда Катя из бухгалтерии уже не кликает на письма «ваша премия», а первым делом звонит в ИБ… вот это и есть успех.

И помните: защищённость — это не режим. Это привычка.

Хотите быть в курсе последних новостей о бизнесе? Подпишитесь на наш Telegram-канал сюда
Календарь мероприятий — здесь
Записаться на наше мероприятие F&I 18 сентября в Москве — тут