ИБ-усталость: когда правила безопасности начинают вредить

мар
27
2026
redaktor
Почему сотрудники перестают верить в защиту и как это исправить, пока не стало поздно
Введение: почему мы сами себе вредим?
Каждый год компании тратят миллионы на кибербезопасность. Дорогие системы защиты, бесконечные тренинги, километровые инструкции. Кажется, еще немного — и мы построим неприступную крепость.
Но статистика бьет по рукам: главная причина утечек данных — не хакеры из далеких стран, а мы с вами. Сотрудники. И те, кто случайно кликнул на фишинговую ссылку, и те, кто осознанно унес базу данных на флешке [1][2].
Звучит парадоксально, но чем больше компания ужесточает правила, тем чаще люди их нарушают. Психологи называют это ИБ-усталостью (security fatigue) — состоянием, когда человек настолько вымотан требованиями, запретами и предупреждениями, что у него опускаются руки.
Сегодня мы живем в эпоху, когда кибератаки стали частью большой геополитической игры. Угрозы множатся, нервы на пределе. В этой ситуации многие компании делают единственное, что приходит в голову: закручивают гайки. Но это ведет к обратному эффекту. Уставший, загнанный в угол сотрудник может начать действовать против компании — и формально станет «умышленным нарушителем», хотя по сути он просто жертва системы.
В этой статье разберемся, какой бывает ИБ-усталость, почему она стирает грань между случайностью и умыслом, и главное — что делать, чтобы защитить бизнес, не ломая людей.
Часть 1. Откуда берется ИБ-усталость
1.1 Это не лень, это защитная реакция
Представьте: вы приходите на работу, а вам нужно запомнить 15 сложных паролей (и менять их каждые две недели), проверять каждое письмо, не пересылать файлы в мессенджеры, заполнять кучу отчетов… Рано или поздно мозг говорит: «Стоп. Я так не могу».
ИБ-усталость — это нормальная реакция психики на перегрузку. Она работает через несколько механизмов:
  • Когнитивная перегрузка — мозг физически не способен удержать все эти правила. Что-то неизбежно вылетает.
  • Привыкание — когда вокруг постоянно мигают предупреждения, мы перестаем их замечать. Как с рекламой: первое время бесит, потом просто не видишь [7].
  • Реактанс — психологический феномен: чем сильнее нас ограничивают, тем больше хочется сделать наоборот.
  • Эмоциональное истощение — постоянный страх ошибиться выматывает быстрее, чем физическая работа.
1.2 Цифры, которые заставляют задуматься
Исследования показывают: ситуация в российских компаниях близка к критической.
По данным RTM Group (август 2025), только 19% задач по информационной безопасности выполняются в срок. А 15% критически важных задач (например, обновление программ) опаздывают на две недели и больше. Почему? 70% компаний жалуются на нехватку специалистов, а 40% рабочего времени уходит на совещания [4].
Но самое тревожное — это обычные сотрудники. Опрос Контур.Эгида и Работа.ру (декабрь 2025) показал:
  • 29% признаются: в период аврала становятся невнимательными и могут кликнуть на опасную ссылку.
  • 21% хотя бы раз отправляли файлы не тому адресату.
  • 16% использовали личные мессенджеры или устройства для работы [5].
Исследование РШУ и Битрикс24 (2025) добивает окончательно:
  • 42% сотрудников считают правила безопасности «излишней бюрократией».
  • 30% готовы их игнорировать, если правила мешают работать.
  • При этом половина компаний вообще не проводит обучение по кибербезопасности [8].
Часть 2. Пять лиц усталости
Ученые выделяют несколько типов ИБ-усталости. Чтобы понять, как лечить проблему, нужно сначала поставить диагноз.
2.1 Когнитивная: «Я ничего не помню»
Классика. Сотрудник тонет в информации. У него на мониторе — стикеры с паролями, а обучающие курсы он пролистывает не глядя.
Как распознать:
  • Путается в том, к какому клиенту какие правила доступа применяются.
  • Пишет пароли на бумажках.
  • Ошибается в оценке, что важно, а что нет.
2.2 Эмоциональная: «Боюсь шевельнуться»
В компании принято рубить голову за любую ошибку. В результате сотрудник живет в постоянном страхе. Он не сообщает о мелких инцидентах, затягивает с решениями, которые могут быть рискованными.
Как распознать:
  • Откладывает действия, связанные с риском.
  • Тревожится при каждом письме от незнакомого отправителя.
  • Скрывает ошибки, чтобы не наказали.
2.3 Поведенческая: «Это отнимает слишком много времени»
Правила мешают работать. Сотрудник не саботирует их со зла — он просто ищет способ делать свою работу быстрее. Даже если этот способ нарушает политики безопасности.
Как распознать:
  • Переписывается в личном Telegram вместо рабочего чата.
  • Отправляет документы на личную почту, чтобы «доделать дома».
  • Публично раздражается и критикует правила.
2.4 Экзистенциальная: «Я не вижу смысла»
Самый опасный тип. Сотрудник перестает верить, что правила вообще работают. «Все равно взломают», «Это все для галочки» — его любимые фразы. Именно этот тип часто перерастает в сознательные нарушения.
Как распознать:
  • Цинизм и обесценивание любых мер безопасности.
  • Отказ от обучения («я и так все знаю»).
  • Демонстративное пренебрежение правилами.
2.5 Социальная: «Достали эти айтишники»
Усталость от самого отдела безопасности. Когда ИБ воспринимается не как помощник, а как надзиратель, возникает субкультура «свои против безопасников».
Как распознать:
  • Игнорирование писем от ИБ-службы.
  • Агрессия в ответ на просьбы.
  • Шутки про «охотников на ведьм» в коллективе.
Часть 3. Как усталость превращает сотрудников в угрозу
3.1 Российская статистика: мы особенные?
Согласно исследованию InfoWatch (2025), в России 95,6% утечек по вине сотрудников — это умышленные действия. В мире картина обратная: случайных ошибок больше (52,7%) [6][9].
На первый взгляд кажется, что российские сотрудники просто чаще воруют данные. Но эксперты видят другие причины. Во-первых, в крупном российском бизнесе хорошо работают DLP-системы — они «отсекают» случайности. Во-вторых, за многими «умышленными» утечками стоит не корысть, а многолетняя усталость, обида или ощущение несправедливости.
3.2 Сложная обстановка: когда внешние угрозы становятся внутренними
Сегодняшняя геополитическая ситуация добавила новые риски. Это не просто «фон» — это реальный фактор, который меняет поведение людей.
  • Новые мотивы. Раньше сотрудник мог украсть данные ради денег. Сегодня появляются мотивы, связанные с идейными соображениями, давлением или желанием навредить компании, которая ассоциируется с определенной отраслью или госзаказом.
  • Вербовка и давление. Уставший, эмоционально истощенный сотрудник — легкая мишень. Злоумышленники все чаще используют компромат, финансовые стимулы или прямые угрозы, чтобы склонить людей к передаче данных [10].
  • Разрыв психологического контракта. В условиях нестабильности люди острее воспринимают сокращения, заморозку бонусов или ужесточение контроля. Мысль «компания больше не заботится обо мне» может быстро превратиться в готовность действовать против ее интересов.
3.3 Что говорят ученые
Связь между усталостью и сознательными нарушениями подтверждают серьезные исследования.
Burns с коллегами (2022) выделяют две категории мотивов: корыстные (финансовая выгода) и экспрессивные — обида, чувство несправедливости, разрыв «психологического контракта» с работодателем. Именно вторые напрямую связаны с выгоранием и усталостью [10].
Исследование Microsoft и Carnegie Mellon University (2021) проследило путь инсайдера: большинство начинают как лояльные сотрудники. Но под воздействием стресса и жесткой реакции руководства они переходят к сознательным действиям [10].
Отчет Zurich Resilience Solutions (2024) прямо указывает: 60% увольняющихся забирают с собой данные. И причина — не корысть, а отсутствие лояльности и чувство несправедливости [10].
Вывод: сознательные утечки — это часто не спланированное преступление, а отсроченная реакция на хроническую усталость и разрыв отношений с компанией. Сотрудник, который годами страдал от бессмысленных правил и страха наказания, в какой-то момент просто срывается. Формально он нарушитель. Но корень проблемы — в организационной дисфункции и, шире, в давлении внешней среды.
Часть 4. Что делать? Стратегии, которые работают
Если вокруг угрозы растут, а ресурсов не хватает, «закручивание гаек» — худшее решение. Нужно менять подход.
4.1 Не стреляйте из пушки по воробьям
Нельзя требовать одинакового от всех. Если у рядового менеджера и разработчика ядра системы одинаковые инструкции — это путь к краху. Уберите избыточные требования, сосредоточьтесь на том, что действительно важно. Когда правил меньше, но они жизненно необходимы, люди начинают их уважать [3].
4.2 Объясняйте «зачем», а не просто «что»
Люди ненавидят «галочки». Не проводите общую лекцию раз в год — это бесполезно. Рассказывайте на реальных примерах: «Если ты отправишь этот файл в мессенджер, мы потеряем контракт на 10 миллионов». Давайте короткие подсказки ровно в тот момент, когда они нужны [3].
4.3 Уберите человека от греха подальше
Технологии должны спасать людей от рутины. Менеджеры паролей, автоматическое шифрование, удобные детекторы фишинга. Если инструменты сложные и бесят — люди найдут обходные пути. Если они удобные и встроены в рабочий процесс — риск падает сам собой [3].
4.4 Разрешите ошибаться
В условиях высокой нагрузки ошибки неизбежны. Если за каждую ошибку увольнять, люди начнут их скрывать. А скрытые инциденты — это бомба замедленного действия.
Простое правило: поблагодарите сотрудника за то, что он сообщил о проблеме. Разберите ситуацию без поиска виноватых. Улучшите процесс. Если вы создадите культуру страха, рано или поздно этот страх превратит лояльного сотрудника в сознательного нарушителя [6].
4.5 Мотивируйте, а не запугивайте
Исследователи выделяют три фактора безопасного поведения: знание, мотивация, возможность. Знание дают тренинги. Мотивация — это когда я понимаю, что безопасность помогает мне, а не мешает. Возможность — это когда у меня есть удобные инструменты. Если нет мотивации, знания бесполезны [3].
Часть 5. Практические советы для российских компаний
5.1 Учитывайте, что мы живем в России
У нас доля умышленных утечек выше, чем в мире. А каналы утечек смещены в сторону интернета (39,7%) и мессенджеров (13,2% — втрое выше среднемировых) [6]. Плюс сложная геополитическая обстановка повышает риски внешнего давления на сотрудников.
Что делать:
  • Уделите особое внимание мессенджерам. Если люди все равно ими пользуются — дайте корпоративные, безопасные каналы.
  • Объясняйте юридические последствия. Приводите реальные примеры приговоров за разглашение коммерческой тайны [6].
  • Внедряйте программы поддержки сотрудников — снижайте стресс, повышайте устойчивость к внешнему давлению.
5.2 Работайте с разными типами усталости
Тип усталости
Что делать
Когнитивная (ничего не помню)
Памятки, чек-листы, цветовая кодировка. Вынесите информацию во внешнюю память.
Эмоциональная (боюсь)
Вводите культуру «безопасной ошибки». Обещайте поддержку, а не наказание.
Поведенческая (мешает работать)
Автоматизируйте рутину. Уберите лишние согласования. Сделайте так, чтобы безопасность не тормозила работу.
Экзистенциальная (нет смысла)
Показывайте реальные угрозы. Рассказывайте, как ваши правила спасли компанию. Связывайте безопасность с миссией.
Социальная (ненавижу ИБ)
Меняйте тон. Служба безопасности — партнер, который помогает бизнесу, а не мешает.
5.3 Что делать с перегоревшими сотрудниками
Если вы видите, что ключевой сотрудник выгорел, ужесточение контроля только ускорит беду. Попробуйте другой подход:
  1. Снимите давление. Дайте человеку передышку. Временно ослабьте санкции.
  2. Привлеките к экспертизе. Спросите: «Какие правила самые глупые? Что нам изменить?» Люди ценят, когда их мнение учитывают.
  3. Предложите легальный обходной путь. Если сотрудник использует Telegram, потому что так быстрее, — дайте ему корпоративный мессенджер.
  4. Сделайте паузу в обучении. Не нужно «добивать» тренингами того, кто и так на пределе.
Заключение
ИБ-усталость — это не приговор. Это сигнал. Сигнал о том, что ваша система безопасности перестала быть человеко-ориентированной и превратилась в бюрократический груз.
Российская статистика с ее 95% «умышленных» утечек не должна вводить в заблуждение. За многими формально умышленными действиями стоит многолетняя усталость, ощущение бессмысленности правил и разрыв отношений с работодателем.
Сложная геополитическая обстановка только усиливает эти риски. Внешнее давление, вербовки, идейные мотивы — все это делает уставшего сотрудника не просто балластом, а потенциальной точкой уязвимости, которую могут использовать против компании.
Но выход есть. Современный подход к безопасности строится на трех вещах:
  • Диагностика — поймите, какой тип усталости у вас в коллективе.
  • Автоматизация — снимите с людей когнитивную нагрузку.
  • Культура — превратите безопасность из надзирателя в партнера.
Как говорят эксперты InfoWatch, противодействие внутренним нарушителям требует не только систем защиты, но и активной работы с персоналом. Нужно формировать культуру, в которой безопасно работать проще, чем рисковать [6].
Сделайте так, чтобы соблюдать правила было легче, чем их нарушать. И тогда ваши сотрудники перестанут быть главной угрозой — и станут главной защитой.
Список литературы
  1. IT Channel News. (2024). Действия сотрудников — главная причина утечек информации. URL: https://www.novostiitkanala.ru/news/detail.php?ID=181630
  2. ITSec.Ru. (2024). Действия сотрудников назвали главной причиной утечек информации. URL: https://www.itsec.ru/news/deystviya-sotrudnikov-nazvali-glavnoy-prichinoy-utechek-informazii
  3. Zivver. (2024). Security Spotlight: How to Create a Positive Culture Around Security. URL: https://www.zivver.com/blog/security-spotlight-how-to-create-a-positive-security-culture
  4. Газета.Ru / RTM Group. (2025). Кибербезопасники погрязли в рутине и не успевают защищать российские компании. URL: https://www.gazeta.ru/tech/news/2025/08/07/26442812.shtml
  5. Контур.Эгида и Работа.ру. (2025). *В декабре 29% сотрудников допускают ошибки в информационной безопасности из-за перегрузки*. URL: https://kontur.ru/press/news/82897-oshibki_v_ib_iz_za_peregruzki
  6. InfoWatch. (2025). Большинство утечек по вине сотрудников в России умышленные. URL: https://www.infowatch.ru/company/presscenter/news/bolshinstvo-utechek-po-vine-sotrudnikov-v-rossii-umyshlennyye
  7. Cloud Security Alliance. (2022). Four Reasons for Alert Fatigue and How to Make It Stop. URL: https://cloudsecurityalliance.org/blog/2022/06/24/four-reasons-for-alert-fatigue-and-how-to-make-it-stop/
  8. The HRD / РШУ и Битрикс24. (2025). Каждый второй сотрудник в России не обучен работе с конфиденциальными данными. URL: https://thehrd.ru/news/kazhdyy-vtoroy-sotrudnik-v-rossii-ne-obuchen-rabote-s-konfidencialnymi-dannymi/
  9. РБК Компании / InfoWatch. (2025). Большинство утечек по вине сотрудников в России умышленные. URL: https://companies.rbc.ru/news/7Uzlf888fa/bolshinstvo-utechek-po-vine-sotrudnikov-v-rossii-umyishlennyie/
  10. Burns, A. J., Roberts, T., Posey, C., Lowry, P. B., & Fuller, B. (2023). Going Beyond Deterrence: A Middle-Range Theory of Motives and Controls for Insider Computer Abuse. Information Systems Research, 34(1), 342–362. DOI: 10.2139/ssrn.4079801. URL: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4079801
  11. Reeves, A., Delfabbro, P., & Calic, D. (2021). Encouraging Employee Engagement With Cybersecurity: How to Tackle Cyber Fatigue. Sage Open, 11(1). DOI: 10.1177/21582440211000049. URL: https://journals.sagepub.com/doi/10.1177/21582440211000049
Ключевые слова: 
исследование