Если в компании не было ни одной проверки сотрудников на фишинг, ответа на вопрос «кто в команде уязвим к киберрискам» не существует. Есть только ощущение «все вроде всё понимают, все более-менее в курсе». Но подтверждается ли она фактами? Как провести первую проверку антифишинга вручную и как увязать разрозненные шаги в один управляемый цикл — рассказываем в нашей статье.
Почему без проверки сотрудников на фишинг нельзя оценить реальный риск
Без хотя бы одной контролируемой проверки сотрудников на фишинг у ИБ-ответственного нет данных о реальном поведении команды. Нет статистики переходов, нет истории, нет базовой статистики, от которой можно будет вести отсчет. Есть только общее (и опасное!) ощущение: «все вроде адекватные, массовых инцидентов не было, значит, более или менее нормально».
Это ощущение — не метрика. Это отсутствие информации, которое выглядит как спокойствие.
При первой проверке обычно выясняется, что заметная часть сотрудников переходит по ссылке из тестового письма. Так, по анализу тренировочных рассылок МегаФона и Kaspersky, 40% сотрудников переходили по подозрительным ссылкам, 10% вводили конфиденциальные данные, 9% открывали вложения.
Чем менее привычна тема фишинга в компании, тем выше доля переходов — особенно в организациях, где до этого не было ни одного цикла проверки или обучения.
Проблема не в людях. Проблема в том, что без проверки невозможно определить, где именно находится риск, — а значит, невозможно ни объяснить его руководству, ни спланировать следующий шаг.
Узнать за минуту сколько сотрудников в вашей компании кликнет на фишинговые ссылки и компрометирует свои данные можно при помощи онлайн-калькулятора фишинговой уязвимости Avareange.
Что такое проверка сотрудников на фишинг и что она показывает
Первая проверка (её еще называют фишинг-симуляцией) — это контролируемая отправка тестового фишингового письма сотрудникам с фиксацией их реакции. Цель — не наказать, а увидеть реальную картину: кто переходит по ссылке, кто вводит данные, а кто сообщает о подозрительном письме.
Для человека, который только настраивает ИБ-процессы в компании, важно понимать: первая проверка — это не поиск виноватых. Это диагностика. Как измерение температуры: вы не лечите болезнь, вы сначала узнаёте, есть ли она.
Что вы получаете после первой проверки:
- Факт вместо ощущения. Конкретный процент сотрудников, которые кликнули, перешли по ссылке или выполнили рискованное действие.
- Группу риска. Понимание, в каких ролях или подразделениях реакция слабее.
- Документ или числа для разговора. Результат, который можно показать коллегам или руководителю и обсуждать предметно, а не на уровне «надо бы что-то сделать».
- Точку отсчёта, от которой можно измерять эффект любых следующих действий — обучения, повторных проверок, изменений в процессе.
Без этой точки отсчёта любые вложения в обучение или инструменты остаются без доказательства эффекта.
Подробнее о том, во что обходится отсутствие регулярной проверки, — в статье Цена бездействия: чем заканчивается отсутствие регулярной кибергигиены.
Как провести фишинг-симуляцию вручную: пошаговый сценарий для небольшой компании
Провести проверку вручную можно — для этого нужно собрать список сотрудников, подготовить тестовое письмо с отслеживаемой ссылкой, разослать его и собрать реакции. Но на каждом шаге есть скрытые затраты времени, которые обычно понимаются только с опытом.
Шаг 1. Определить, кого проверяете
Самый простой вариант — взять всю компанию. Но даже для команды в 50–100 человек нужно решить: включать ли подрядчиков, стажёров, руководство. Нужно собрать актуальные email-адреса, убрать сервисные ящики, проверить, что список не устарел.
Типичная задержка: если единого реестра нет, на сборку и чистку списка уходит от нескольких часов до полного рабочего дня.
Шаг 2. Подготовить тестовое письмо
Нужна правдоподобная легенда: письмо от «ИТ-поддержки», «HR», «партнёра» или «сервиса доставки». Письмо должно содержать ссылку, переход по которой вы можете отследить. Если хотите зафиксировать ввод данных — нужна целевая страница с формой и логикой сбора событий.
Типичная задержка: подготовка убедительного сценария, согласование с ИТ (чтобы письмо не заблокировал спам-фильтр), создание отслеживаемой ссылки или страницы — ещё от полудня до двух дней, если вы делаете это впервые.
Шаг 3. Отправить и не сломать рабочие процессы
Рассылка должна пройти тихо: не вызвать панику, не перегрузить почтовый сервер, не заблокироваться корпоративным фильтром. Часто нужно согласование с ИТ или руководителем, чтобы тестовое письмо дошло до получателей.
Типичная задержка: сама отправка занимает минуты, но согласование с ИТ и проверка доставляемости могут добавить от нескольких часов до дня.
Шаг 4. Собрать и свести реакции
После рассылки нужно понять: кто открыл письмо, кто перешёл по ссылке, кто ввёл данные (если есть форма), кто сообщил о подозрительном письме.
Если у вас нет платформы, эти данные окажутся в разных местах: логи почтового сервера, данные веб-аналитики на целевой странице, ручной учёт обращений в ИТ. Свести всё в единую картину — отдельная задача.
Шаг 5. Сделать вывод и оформить результат
Допустим, вы собрали данные. Что с ними делать? Нужно как минимум:
- посчитать долю тех, кто кликнул, от общего числа получателей;
- выделить группы с повышенным риском;
- оформить результат так, чтобы его можно было показать коллегам, а не держать в голове.
Итог по ручному сценарию
Если сложить реалистичные оценки, первая ручная проверка для компании в 50–100 человек занимает от 3 до 7 рабочих дней с учётом подготовки, согласований, рассылки и сведения результатов. Для человека, который делает это впервые и параллельно занимается другими задачами, сроки могут быть больше.
Это не значит, что вручную провести проверку сотрудников на фишинг нельзя. Можно. Но полезно заранее знать, во что это обойдется ИБ-руководителю.
Почему ручной тест антифишинга упирается в три проблемы
Ручной тест ломается не на идее, а на исполнении. Три типичные проблемы: скрытые затраты времени, невозможность нормально интерпретировать результат и отсутствие документа, с которым можно работать дальше.
Проблема 1. Временные расходы больше, чем кажутся
Самая частая ошибка — недооценка подготовки. Кажется: «напишу письмо, разошлю, посмотрю, кто кликнул». На практике: сборка списка, согласование с ИТ, подготовка сценария, настройка отслеживания, сведение результатов. Каждый шаг отнимает часы или дни, а не минуты. Для человека, который параллельно решает десяток других задач, ручная проверка затягивается на недели.
Проблема 2. Результат сложно интерпретировать
Допустим, 30% кликнули. Это много или мало? Без разбивки по ролям, без сравнения с отраслевыми бенчмарками цифра не превращается в вывод. А если часть сотрудников вводила данные «для интереса» или открывала письмо повторно, сырые данные без правильной фиксации событий могут вводить в заблуждение.
Проблема 3. Нечего показать коллегам
Для человека в роли нового ИБ-руководителя критически важно не просто «знать», а показать. Показать руководителю, коллегам, ИТ-директору — чтобы обсудить, нужен ли следующий шаг. Для влияния нужен понятный отчёт: что проверяли, что увидели, какой вывод, что предлагается дальше.
Все три проблемы сводятся к одному: ручной сценарий требует слишком много ресурса на то, что не является основной задачей. Автоматизированные платформы снимают именно эту нагрузку.
Как платформа фишинг-симуляций ускоряет первую проверку сотрудников
Платформа фишинг-симуляций не меняет саму логику проверки, но убирает ручную работу на каждом шаге. Вместо нескольких дней или недель на подготовку, рассылку и сведение данных — один автоматизированный цикл с готовым отчётом.
Если сравнить с ручным сценарием, основные отличия:
- Список сотрудников — загружается или синхронизируется, а не собирается из разрозненных источников.
- Сценарий письма — выбирается из готовых шаблонов. Не нужно с нуля собирать отслеживаемую ссылку и целевую страницу.
- Рассылка — запускается по расписанию или вручную через интерфейс. Согласование с ИТ сводится к одному разу при настройке, а не при каждом запуске.
- Сбор реакций — фиксируется автоматически: кто открыл, кто перешёл, кто выполнил рискованное действие, кто сообщил о подозрительном письме.
- Отчёт — формируется сразу после кампании. Не нужно сводить данные из почты, аналитики и таблиц.
В случае Avareange за этим стоят конкретные возможности:
- Симуляции атак с автоматической фиксацией поведения сотрудников — не нужно вручную настраивать трекинг.
- Встроенная LMS — можно сразу назначить обучение тем, кто не прошёл проверку (курсы, тесты, материалы, включая SCORM 1.2 и 2004).
- Обучение по событиям и напоминания — система сама подтягивает нужных людей, а не вы по таблице.
- Отчёты и выгрузки в форматах XLSX, CSV и PDF — готовый артефакт для руководителя.
- Автоматическая отправка регулярных отчётов на почту — не нужно каждый раз формировать вручную.
- Поддержка SaaS и on-prem вариантов развёртывания.
- Для ИТ-команды: интеграции с LDAP/AD, SSO, SMTP, Syslog, REST API/Webhooks.
Для команды в 50–100 человек это означает: первая проверка сотрудников на фишинг занимает не дни, а часы. И на выходе — не таблица, а готовый отчёт с разбивкой по реакциям.
Статистика фишинговых атак по сотрудникам: как читать результаты и что показать руководству
Статистика фишинговых атак по сотрудникам компании после первой проверки ценна не цифрой самой по себе, а как основание для предметного разговора внутри компании: есть ли проблема, насколько она серьёзна и что делать дальше.
Если вы новый руководитель ИБ-отдела, у вас, скорее всего, нет полномочий на покупку решения прямо сейчас. Зато у вас есть возможность показать факт. Именно поэтому первая проверка — это не про «поймать и наказать», а про создание артефакта для обсуждения. О том, какие метрики отслеживать системно, — в статье Метрики обучения по ИБ для нового ИБ-руководителя.
Пять метрик первой проверки, которые стоит зафиксировать
| Метрика | Что показывает | Зачем руководителю |
|---|---|---|
| Доля кликов (фишинг-индекс) | Процент сотрудников, перешедших по ссылке из тестового письма | Базовый индикатор уязвимости компании |
| Доля рискованных действий | Процент сотрудников, которые ввели данные или выполнили целевое действие | Оценка глубины риска — не просто «кликнули», а «отдали данные» |
| Разбивка по группам | Различия между подразделениями, ролями или локациями | Понимание, где именно нужно обучение, а не «всем подряд» |
| Доля правильных реакций | Процент сотрудников, сообщивших о подозрительном письме | Показатель зрелости: есть ли в компании навык реагирования |
| Время до первой реакции | Сколько времени прошло от получения письма до первого правильного действия | Скорость обнаружения — критична при реальной атаке |
С таким набором метрик можно прийти к руководителю не с абстрактным «нам нужно обучение по ИБ», а с конкретным: «мы провели проверку, вот картина по пяти показателям, вот предложение — запустить пилот на 30 дней и посмотреть, как меняется результат после обучения».
Это другой уровень разговора. И именно ради него первая проверка нужна в первую очередь.
Сравнение: проверка сотрудников на фишинг вручную и через платформу
Ниже — сводка по всем этапам первой проверки. Таблица помогает быстро оценить, на каких шагах ручной сценарий отнимает больше всего ресурса.
| Этап | Вручную | Через платформу |
|---|---|---|
| Список сотрудников | Сборка из таблиц, чистка, проверка — от нескольких часов | Загрузка или синхронизация — минуты |
| Сценарий письма | Написать с нуля, подготовить ссылку и целевую страницу | Выбрать из готовых шаблонов |
| Согласование с ИТ | При каждом запуске — проверка фильтров, доставки | Один раз при настройке |
| Сбор реакций | Из логов, аналитики, ручного учёта — разрозненно | Автоматическая телеметрия в одном месте |
| Интерпретация | Сырые данные без baseline и группировки | Отчёт с разбивкой по группам и типам реакции |
| Артефакт для коллег | Таблица в Excel, нужно оформлять отдельно | Готовый отчёт в PDF, XLSX или CSV |
| Общее время (первая проверка, 50–100 чел.) | От 3 до 7 рабочих дней | От нескольких часов до одного дня |
С чего начать: первая проверка как точка входа в кибербезопасность для сотрудников
Первая проверка сотрудников на фишинг — это не проект и не внедрение. Это один управляемый шаг, который переводит вас из состояния «кажется, всё нормально» в состояние «у нас есть данные».
Проверьте себя по трём вопросам:
- Есть ли у вас сейчас хоть один факт, цифра о том, как сотрудники реагируют на фишинг, — или только ощущение?
- Можете ли вы за один день получить картину по компании, не собирая данные из пяти источников?
- Есть ли у вас документ, с которым можно прийти к руководителю и предметно обсудить следующий шаг?
Если хотя бы на два вопроса ответ «нет» — первая проверка даст больше, чем месяцы обсуждений.
Частые вопросы по фишинг-симуляциям
Можно ли проверить сотрудников на фишинг без платформы
Да. Для разовой проверки небольшой команды (до 50–100 человек) ручной сценарий возможен: собрать список, подготовить тестовое письмо с отслеживаемой ссылкой, разослать и свести результаты. Но подготовка занимает от 3 до 7 рабочих дней, а результат сложнее интерпретировать и оформить.
Как проверить уязвимость сотрудников к фишингу
Самый прямой способ — провести контролируемую фишинг-симуляцию: отправить тестовое письмо и зафиксировать, кто перешёл по ссылке, кто ввёл данные, кто сообщил о подозрительном письме. Результат показывает реальную группу риска — в отличие от теоретических опросов и тестов.
Что такое фишинг-индекс и как его считать
Фишинг-индекс — метрика, показывающая долю сотрудников, выполнивших рискованное действие при фишинг-симуляции (переход по ссылке, ввод данных). Считается как отношение числа сотрудников с рискованным действием к общему числу получателей тестового письма. Для отслеживания динамики индекс пересчитывается после каждой волны проверки.
Сколько сотрудников обычно кликают при первой проверке
Конкретный процент зависит от отрасли, размера компании и предыдущего опыта обучения. Как правило, при первой проверке в компаниях без предшествующей программы обучения доля переходов по тестовой ссылке заметно выше, чем ожидает руководство. Получить оценку по бенчмаркам России можно в онлайн-калькуляторе фишинговой уязвимости Avareange.
С чего начать обучение сотрудников кибербезопасности в небольшой компании
Начать стоит не с обучения, а с диагностики: провести первую проверку сотрудников на фишинг, получить точку отсчёта и определить группу риска. После этого обучение можно адресовать точечно — тем, кому оно действительно нужно, — а не «всем подряд». Подробнее о том, как выстроить обучение без перегрузки команды, — в статье Как обучить сотрудников кибербезопасности без лишней нагрузки на ИТ.
Что показать руководителю после первой фишинг-проверки
Минимальный документ: общий процент кликов, разбивку по группам (если есть), процент правильных реакций (сообщения о подозрительном письме) и вывод с предложением следующего шага (пилот, обучение, повторная проверка). В формате одной страницы или короткой презентации.
Запросите демо: первая проверка сотрудников на фишинг за один день
Запросите демо Avareange и попросите показать не интерфейс, а полный цикл: тестовое письмо → реакция сотрудников → отчёт с группой риска → назначения обучения → тестирование. Для компании от 50 человек это занимает один звонок.
Если пока не готовы к демо — заберите чек-лист метрик по обучению сотрудников ИБ, чтобы оценить объём задачи и спланировать запуск.
