19 марта 2026
Цифровая безопасность бизнеса: как HR-специалисты снижают риски кибератак и утечек
Согласно Positive Technologies, в половине успешных кибератак в 2025 году применялись методы социальной инженерии. При этом 38% сотрудников никогда не проходили обучение по правилам информационной безопасности. А за утечку персональных данных юридическим лицам грозят обновлённые штрафы до 20 млн рублей, при повторных нарушениях — до 3% годовой выручки.
Разберёмся, как выстроить системную работу с цифровой безопасностью внутри компании, чтобы снизить риски, и как в этом могут помочь специалисты по кадрам.
Разберёмся, как выстроить системную работу с цифровой безопасностью внутри компании, чтобы снизить риски, и как в этом могут помочь специалисты по кадрам.
Редакция
Медиа Нетологии
Согласно Positive Technologies, в половине успешных кибератак в 2025 году применялись методы социальной инженерии. При этом 38% сотрудников никогда не проходили обучение по правилам информационной безопасности. А за утечку персональных данных юридическим лицам грозят обновлённые штрафы до 20 млн рублей, при повторных нарушениях — до 3% годовой выручки.
Разберёмся, как выстроить системную работу с цифровой безопасностью внутри компании, чтобы снизить риски, и как в этом могут помочь специалисты по кадрам.
Разберёмся, как выстроить системную работу с цифровой безопасностью внутри компании, чтобы снизить риски, и как в этом могут помочь специалисты по кадрам.
Почему кибербезопасность — задача HR: большинство утечек данных происходит из-за ошибок или умышленных действий сотрудников, а не из-за технических уязвимостей. HR управляет этим риском через онбординг, регулярное обучение и офбординг.
Что изменилось в 2025 году: с 30 мая 2025 года действуют новые, существенно увеличенные штрафы за нарушение 152-ФЗ — до 3% годовой выручки. Введена уголовная ответственность за незаконную передачу персональных данных.
Минимальный набор мер: подписание соглашений при найме, вводный инструктаж по кибербезопасности, регулярное обучение по защите персональных данных, своевременное закрытие доступов при увольнении, документальная фиксация всех обучений.
Как организовать обучение: начать с оценки текущего уровня, адаптировать программу под роли, выбрать удобный формат, фиксировать прохождение, повторять ежегодно. Для надёжности и эффективности — рассмотреть внешние программы корпоративного обучения.
Главное: обучение сотрудников правилам информационной безопасности — не разовая акция, а системный процесс. Компании, которые строят культуру цифровой безопасности изнутри, снижают риски утечек, штрафов и репутационного ущерба значительно эффективнее, чем те, кто полагается только на технические решения.
Что изменилось в 2025 году: с 30 мая 2025 года действуют новые, существенно увеличенные штрафы за нарушение 152-ФЗ — до 3% годовой выручки. Введена уголовная ответственность за незаконную передачу персональных данных.
Минимальный набор мер: подписание соглашений при найме, вводный инструктаж по кибербезопасности, регулярное обучение по защите персональных данных, своевременное закрытие доступов при увольнении, документальная фиксация всех обучений.
Как организовать обучение: начать с оценки текущего уровня, адаптировать программу под роли, выбрать удобный формат, фиксировать прохождение, повторять ежегодно. Для надёжности и эффективности — рассмотреть внешние программы корпоративного обучения.
Главное: обучение сотрудников правилам информационной безопасности — не разовая акция, а системный процесс. Компании, которые строят культуру цифровой безопасности изнутри, снижают риски утечек, штрафов и репутационного ущерба значительно эффективнее, чем те, кто полагается только на технические решения.
Подробно
- Почему сотрудники — главное звено в системе информационной безопасности
- Какие риски несёт компания без системной работы с персоналом
- Что нужно знать сотрудникам: ключевые темы цифровой безопасности
- Что может сделать HR для цифровой безопасности
- Как проводить обучение сотрудников информационной безопасности
- Как организовать корпоративное обучение цифровой безопасности
Почему сотрудники — главное звено в системе информационной безопасности
Многие компании воспринимают информационную безопасность и защиту персональных данных как зону ответственности IT-департамента: установить антивирус, настроить фаервол, обновить ПО. Это необходимо, но недостаточно.
Большинство инцидентов информационной безопасности происходит не из-за взлома инфраструктуры, а из-за ошибок сотрудников. Это могут быть случайные действия: отправка документа на неверный адрес, переход по фишинговой ссылке, использование слабого пароля. Реже — умышленные: намеренная передача данных третьим лицам.
Здесь важна роль HR. IT-служба строит технические барьеры, а специалисты по кадрам — поведенческие: создают правильную культуру обращения с информацией, организуют обучение персональным данным (ПДн), контролируют своевременное закрытие доступов при увольнении.
Большинство инцидентов информационной безопасности происходит не из-за взлома инфраструктуры, а из-за ошибок сотрудников. Это могут быть случайные действия: отправка документа на неверный адрес, переход по фишинговой ссылке, использование слабого пароля. Реже — умышленные: намеренная передача данных третьим лицам.
Здесь важна роль HR. IT-служба строит технические барьеры, а специалисты по кадрам — поведенческие: создают правильную культуру обращения с информацией, организуют обучение персональным данным (ПДн), контролируют своевременное закрытие доступов при увольнении.
Какие риски несёт компания без системной работы с персоналом
Штрафы за нарушение защиты персональных данных
С 30 мая 2025 года существенно увеличились штрафы за нарушение 152-ФЗ. Они теперь зависят от масштаба инцидента:
- за утечку данных от 1 000 до 10 000 физлиц — штраф от 3 до 5 млн рублей;
- за утечку данных более 100 000 физлиц — штраф от 10 до 15 млн рублей;
- при повторном нарушении — штрафы до 3% от годовой выручки компании.
Репутационные потери
Утечка данных клиентов или сотрудников становится публичной быстро — большинство подобных баз публикуется в телеграм-каналах.
Репутационный ущерб сложно измерить, но его последствия ощущаются месяцами: рост оттока клиентов, сложности с наймом, снижение доверия партнёров.
Репутационный ущерб сложно измерить, но его последствия ощущаются месяцами: рост оттока клиентов, сложности с наймом, снижение доверия партнёров.
Операционные сбои
Успешная фишинговая атака или заражение корпоративной сети вредоносным ПО может полностью остановить работу компании на несколько дней. Затраты на восстановление инфраструктуры нередко превышают стоимость профилактических мер в десятки раз.
Что нужно знать сотрудникам: ключевые темы цифровой безопасности
Базовая грамотность в сфере информационной безопасности — это не курс для IT-специалистов. Это набор практических знаний, необходимых любому, который работает с данными, почтой, корпоративными системами или мессенджерами.
Работа с персональными данными по 152-ФЗ
Любая компания, собирающая данные клиентов или сотрудников, — оператор персональных данных. Это накладывает конкретные обязательства:
- собирать данные только, если есть правовое основание (согласие, договор, закон);
- ограничивать доступ: данные видит только тот, кому это необходимо для работы;
- не передавать базы подрядчикам без заключённого договора об обработке;
- хранить данные на российских серверах;
- знать алгоритм действий при инциденте — об утечке нужно сообщить в Роскомнадзор в течение 24 часов.
Защита от фишинга и киберугроз
Фишинг — самый распространённый вид угроз, с которого начинается большинство успешных атак. При этом распознать фишинговое письмо или ссылку несложно, если знать, на что обращать внимание.
Базовые правила цифровой гигиены, которые снижают риски:
Базовые правила цифровой гигиены, которые снижают риски:
- не открывать вложения и не переходить по ссылкам в письмах от незнакомых отправителей;
- проверять адрес отправителя, а не только отображаемое имя;
- не использовать одинаковые пароли для рабочих и личных аккаунтов;
- подключать двухфакторную аутентификацию на корпоративных сервисах;
- не хранить рабочие файлы в личных облачных хранилищах;
- сообщать о подозрительной активности в IT-отдел, не пытаясь разобраться самостоятельно.
Действия при инциденте
Очень часто персонал не понимает, что делать, если что-то пошло не так. Инциденты скрывают или фиксируют с опозданием, что многократно усугубляет последствия. Алгоритм действий при подозрении на утечку или атаку — обязательная часть любого обучения по информационной безопасности.
Что может сделать HR для цифровой безопасности
Онбординг: первая точка контроля
На этапе найма HR формирует первую линию защиты. Задачи на входе:
- Подписание соглашения о неразглашении и политики обработки персональных данных сотрудника.
- Получение корректного согласия на обработку персональных данных (с 1 сентября 2025 года согласие должно оформляться отдельным документом — требование обновлённой ст. 9 закона 152-ФЗ).
- Проведение вводного инструктажа по информационной безопасности.
- Настройка уровня доступа к системам, который полагается сотруднику по должностной инструкции.
Регулярное обучение по персональным данным
Единовременный инструктаж при найме не решает задачу. Угрозы меняются: появляются новые схемы фишинга, новые форматы социальной инженерии, обновляется законодательство. Программа обучения сотрудников информационной безопасности должна быть регулярной.
Минимальный набор тем:
Минимальный набор тем:
- Что относится к ПДн и почему их защита важна.
- Правила работы с данными клиентов и сотрудников: что можно, что нельзя.
- Как распознать фишинговое письмо и что делать при подозрении на атаку.
- Требования к паролям и работе с корпоративными устройствами.
- Порядок действий при инциденте: к кому обращаться, что фиксировать.
• Поможем выстроить системное обучение кибербезопасности и работе с персональными данными, чтобы снизить риск штрафов и утечек
• Разберём типовые ошибки и сформируем понятные правила работы с данными для всех подразделений
• Подберём решение под ваши цели и задачи
• Разберём типовые ошибки и сформируем понятные правила работы с данными для всех подразделений
• Подберём решение под ваши цели и задачи
• Поможем выстроить системное обучение кибербезопасности и работе с персональными данными, чтобы снизить риск штрафов и утечек
• Разберём типовые ошибки и сформируем понятные правила работы с данными для всех подразделений
• Подберём решение под ваши цели и задачи
• Разберём типовые ошибки и сформируем понятные правила работы с данными для всех подразделений
• Подберём решение под ваши цели и задачи
Офбординг: закрытие доступов
При увольнении HR инициирует полное отключение сотрудника от корпоративных систем: почты, CRM, мессенджеров, облачных хранилищ. Это базовое требование цифровой гигиены, которое нарушается в каждой десятой компании.
Чек-лист офбординга с точки зрения информационной безопасности:
Чек-лист офбординга с точки зрения информационной безопасности:
- Отзыв всех корпоративных учётных данных в день увольнения.
- Передача дел с фиксацией, какие данные были в работе у сотрудника.
- Напоминание об обязательствах по неразглашению конфиденциальной информации.
Как проводить обучение сотрудников информационной безопасности
Шаг 1. Оценить текущий уровень грамотности
Перед запуском программы стоит провести базовое тестирование. Это поможет понять, с какого уровня начинать, и расставить приоритеты. Хороший инструмент — имитация фишинговой атаки: отправить сотрудникам учебное письмо с подозрительной ссылкой и посмотреть, кто кликнул. Результаты покажут реальную картину.
Пример учебного фишингового письма, которое получили сотрудники Нетологии. Домен в адресе отправителя отличается от корпоративного на пару букв, кнопка в теле письма ведёт на копию сайта. Об этом письме персонал должен был сообщить в отдел информационной безопасности
Шаг 2. Сформировать программу обучения по персональным данным
Программу стоит адаптировать к ролям. Менеджеру по продажам, который работает с клиентской базой, нужны одни знания; разработчику — другие; бухгалтеру — третьи. Универсальный базовый курс для всех дополняется ролевыми модулями.
Что должна включать программа обучения по защите персональных данных для базового уровня:
Что должна включать программа обучения по защите персональных данных для базового уровня:
- основы 152-ФЗ и ответственность за нарушение персональных данных;
- правила цифровой гигиены на рабочем месте;
- распознавание фишинга и социальной инженерии;
- порядок работы с конфиденциальными документами.
Шаг 3. Выбрать формат и платформу
Форматы для обучения по информационной безопасности:
- Онлайн-курсы — удобны для масштабирования, позволяют фиксировать прохождение и результаты тестирования.
- Вебинары и лекции — подходят для разбора конкретных кейсов.
- Симуляции фишинговых атак — практический инструмент проверки навыков.
- Рассылки и памятки — поддерживают осведомлённость между полноценными обучениями.
Шаг 4. Зафиксировать прохождение
Документальное подтверждение обучения — один из факторов, который Роскомнадзор учитывает при проверке. Если компания демонстрирует системную работу с ПДн — есть регламенты и документы об обучении сотрудников — проверка чаще завершается предписанием, а не штрафом.
Шаг 5. Повторять регулярно
Оптимальная частота обучения правилам информационной безопасности — раз в год для базового курса плюс короткие интенсивы по мере появления новых угроз или изменений в законодательстве. Новых сотрудников стоит обучать в первые две недели работы.
Как организовать корпоративное обучение цифровой безопасности
Для небольших компаний запустить программу обучения по персональным данным можно своими силами: разработать базовые инструкции, провести внутренние сессии, назначить ответственного за ИБ. Но у этого подхода есть ограничения: контент быстро устаревает, а оценить его качество изнутри сложно.
Внешнее обучение решает эти проблемы. Например, в Нетологии есть программы корпоративного обучения для сотрудников компаний, в том числе по направлению информационной безопасности. Под бизнес-задачу можно выбрать формат:
Внешнее обучение решает эти проблемы. Например, в Нетологии есть программы корпоративного обучения для сотрудников компаний, в том числе по направлению информационной безопасности. Под бизнес-задачу можно выбрать формат:
- Массовое обучение — асинхронные SCORM-курсы для корпоративной LMS: быстро охватить весь персонал, ввести единые правила, обеспечить контроль прохождения.
- Тренинги для команд — онлайн или очные форматы с разбором рабочих ситуаций конкретного подразделения.
- Подписка на Библиотеку роста — доступ к 300+ темам, включая безопасность; удобно для системного развития сотрудников.
- Кастомизированные программы — индивидуально спроектированный курс под специфику компании.
Читать также
Чтобы быть в курсе всех новостей и не пропускать новые статьи, присоединяйтесь к Telegram-каналу Нетологии.
Оцените статью