Війна перетворила людський шар безпеки на найбільш стійкий, але водночас і найвразливіший.
Олександр Бутко — фахівець у сфері корпоративного управління та захисту бізнесу. Він є засновником та керівником агентства CHOICE UKRAINIAN.
Ті самі люди, що тримають бізнес у нелюдських умовах, є і його найбільшим ризиком безпеки
Це Частина 6, завершальна, серії "The Corporate Security Gap", про те, чому в компаніях є безпека на папері, але немає безпеки як функції. Частина 1: Служба безпеки є, а функції безпеки в компанії немає. Частина 2: Чому служба безпеки програє бюджет: вона рахує активність, а не цінність. Частина 3: Стіни тримають. Шви між ними -- ні. Чому розрізнена безпека програє. Частина 4: Справжня ціна довіри до підрядника: чого навчив Україну 2017 рік. Частина 5: Світ пише плани без стійкості. Україна має стійкість без планів.
Уявіть українську компанію навесні третього року війни. Половина ІТ-відділу за кордоном або мобілізована, решта тримає на собі обсяг роботи, розрахований колись на повний штат. Один інженер закриває ділянку, де раніше працювало троє, наприкінці дванадцятигодинного дня. Він відкриває листа, схожого на службовий, бо хоче розчистити пошту перед тим, як піти, і робить хибний клік. Усе, що нижче по ланцюгу, спрацювало бездоганно: фаєрвол, антивірус, сегментація мережі. Це не мало значення, бо удар пройшов не через них, а через єдину частину системи, яку ніхто не проектував з тією ж ретельністю, що й решту. Через людину.
І тут український вимір додає те, чого немає у світовій статистиці: доступи трьох звільнених і мобілізованих колег досі активні, бо закрити їх не було ні часу, ні людини.
Це шоста і завершальна стаття серії, і вона про те, до чого неминуче вели попередні пʼять. Вони показували структурні діри: місце функції, вимірюваність, силоси, чужі двері, стійкість. Якщо скласти їх поруч, під усіма проступає одне:
Кожна тріщина, яку дослідити глибше, веде до людини.
CSG-05 вже взаємодіяла з людьми, але з іншого боку: йшлося про те, що функціонування системи випадково залежить від певних осіб, через що воно стає вразливим. У цьому випадку все інакше. Людина виступає найбільшою ціллю для атаки і найзначнішим джерелом ризику, яким управляють найменш ефективно. Це не просто помилка в системі, а її основа. В Україні цей фундамент піддається тиску, який не описаний жодним західним посібником.
Людський аспект в українському контексті
У глобальному контексті термін "людський фактор" часто сприймається як абстракція, що фігурує у річних звітах. Проте в Україні він набуває чітких військових аспектів, які є унікальними для нашої країни.
Мобілізація забирає носіїв знань і доступів. Коли йде інженер, що єдиний знав, як влаштована певна система, з ним іде не лише пара робочих рук, а й частина неписаної архітектури безпеки. А його облікові записи, доступи, ключі часто лишаються активними, бо процедури їх закриття не було, або не було кому її виконати. Кожен такий незакритий доступ, це відчинені двері, про які більше ніхто не памʼятає.
Втома призводить до підвищення ймовірності помилок. Згідно з результатами досліджень на ринку праці, у 2025 році близько 74% українських компаній зіткнулися з дефіцитом кадрів, одночасно спостерігаючи значний рівень вигорання серед своїх співробітників. Виснажений, перевантажений та недоукомплектований колектив частіше допускає помилки, і це питання не лише моралі, а й зростання вразливості. Працівник, який виконує обов'язки за трьох, наприкінці зміни, на третьому році війни, стає більш схильним до фішингових атак та помилок за визначенням.
Релокація порушує систему контролю доступу. Команди, розташовані в різних містах і країнах, виконують свої завдання з особистих пристроїв, користуючись домашніми мережами та сервісами, які налаштовані на швидку руку. Периметр, і без того ненадійний (про що вже зазначалося в окремій частині серії), остаточно втрачає свою форму, перетворюючись на безліч точок, кожна з яких представлена людиною з ноутбуком.
І всі три вектори зходяться в одній точці, якої західна статистика не вимірює: інсайдерський ризик у країні з безпрецедентною плинністю кадрів. У світі insider risk, це переважно про лояльність: чи не винесе працівник дані. В Україні питання інше і прозаїчніше: за ким лишились доступи після того, як людина пішла на фронт, виїхала або просто вигоріла і звільнилась. Незакритий обліковий запис колишнього адміністратора не має злого наміру, він просто існує, місяцями, як відчинені двері в стіні, про які забули. А при високій плинності таких дверей стає десятки, і жодна політика безпеки, написана для стабільного штату мирного часу, їх не передбачає. Це не вада українських компаній, це наслідок того, що інструмент проектували не для цих умов.
Парадокс витривалості і вразливості
Ось у чому гострота української ситуації. Ті самі люди, що зробили українську стійкість легендарною, тримали бізнес у нелюдських умовах, виносили процеси на собі, ухвалювали рішення під обстрілами, є водночас і найбільшим вектором ризику безпеки. Не тому, що вони слабкі, а тому, що вони перевантажені. Витривалість і вразливість тут, не протилежності, а дві сторони того самого виснаження: людина, яка героїчно тягне подвійне навантаження, саме через це робить більше помилок і легше стає мішенню соціальної інженерії.
Глобальна статистика чітко вказує на джерела ризику: згідно з доповіддю Verizon 2025 року про інциденти з витоками даних, приблизно 60% зламів так чи інакше пов'язані з людським фактором — через помилки, соціальну інженерію або неналежне використання. Дослідження Ponemon за той же рік вказує, що серед інцидентів, спричинених інсайдерами, 55% відбуваються через недбалість, ще 20% — внаслідок викрадення облікових даних, а тільки 25% — через умисні дії. Це свідчить про те, що...
три чверті проблеми, не ворог усередині, а перевантажений шар,
що поводиться так, як поводиться шар, яким не керують. В українських умовах перевантаження не виняток, а норма, тож і ризик структурно вищий.
Чому підхід "натренували і забули" не є ефективним в Україні?
Західні компанії можуть дозволити собі більш формальний підхід: щорічний тренінг з кібербезпеки, просте ставлення галочки, отримання сертифікату. В Україні ж людський ресурс знаходиться під величезним тиском, і формальність не вирішує проблеми. Важливо чесно визнати: ситуацію не можна вирішити лише тренінгами. Велике дослідження 2025 року (автори Розем і Девіс, Університет Пердью, 12 511 працівників фінансових технологій) показало, що навчання щодо протидії фішингу не призвело до значних змін у частоті хибних кліків або повідомлень про підозрілі електронні листи. Ті, хто пройшов курс, клікали приблизно так само, як і ті, хто його не відвідував. Сертифікат, отриманий за проходження тренінгу, лише підтверджує перегляд відео, але не гарантує, що співробітника буде важче обманути. Служба існує, але системи недостатньо, і тут це звучить так:
тренінг є, зміни поведінки немає.
Що працює натомість, це дизайн, а не повчання. Закривати доступи в день звільнення чи мобілізації автоматично, процедурою, а не доброю волею. Будувати культуру, яка прощає чесну помилку виснаженого працівника і тому дізнається про інцидент, а не карає і тому про нього не дізнається ніколи. Керувати insider-ризиком при високій плинності як інженерним завданням: хто має які доступи, хто їх відкликає, коли востаннє переглядали. І ставитись до вигорання як до безпекового контролю, не до пільги: втомлений працівник, це не лише питання HR, це поверхня атаки.
Світ вже давно розробив ефективну модель, до якої варто прагнути. Авіаційна галузь, а потім і медицина, багато років тому перейшли від звинувачень на адресу людей до концепції проектування людського елементу, відомої як just culture. Вона визначає чіткі межі між чесною помилкою, ризикованою поведінкою та свідомою недбалістю. У цій моделі чесну помилку виправляють шляхом вдосконалення системи, а не покарання, в той час як конфіденційні звіти про помилки роблять їх прозорими, замість того щоб приховувати. Українському бізнесу ця концепція близька, як ніколи: ми вже навчилися довіряти людям, які приймають рішення на місцях. Тепер залишилося перенести цю довіру у сферу управління безпекою.
Індивід як елемент, якому приписують провину, у порівнянні з індивідом як об'єктом, на який накладають певні уявлення.
Права колонка не мʼякша за ліву. Вона жорсткіша, бо відмовляється від зручної ілюзії, що винна людина, і приймає дорогу правду, що справа в дизайні. Для України, де людський шар під найбільшим тиском, це не розкіш, а умова виживання бізнесу.
Лінія відрізу
Кожен епізод цієї серії розглядає одну й ту ж проблему з різних ракурсів: формальна структура замість реальної функції. Місце, яке стало просто клітинкою в таблиці. Бюджет, що вимірює активність. Чотири стіни з тріщинами. Угода, яка не є контролем. Сертифікат, що не відображає спроможності. Людський вимір — це поверхня, на якій все це розташовано, адже у кожному з цих прогалин присутня людина. І в Україні це виявляється більш очевидно, ніж у будь-якому іншому місці: наш людський вимір є найбільш перевантаженим і водночас найменш продуманим.
Отже, заключне питання цієї серії не стосується того, як усунути останні недоліки, оскільки це ніколи не був список проблем для вирішення. Воно зосереджене на тому, чи сприймає компанія безпеку як цілісну систему: характеристику того, як організація функціонує в цілому, хто нею управляє, як оцінюється і реалізується безпека, чи ж це просто набір функцій і документів, кожен з яких може виглядати завершеним, поки шви між ними і люди, які їх обслуговують, залишаються непоміченими. Служба існує, але системи немає. Ця серія почалася з цього питання і завершується на ще більш глибокому рівні: охоронці – це люди, функція – це система, і жодна компанія, яка плутає ці поняття, не може бути настільки захищеною, як свідчать її сертифікати.