В 2024 году группа исследователей из Лейденского университета провела масштабный метаанализ по эффективности обучения в сфере информационной безопасности. Из двух тысяч научных работ в финальный анализ попали 69 исследований.
Разбираемся, что выяснили учёные, и какие из этого можно сделать практические выводы, если вы работаете в ИБ или отвечаете за awareness-программы.
Общий эффект от обучения
Метаанализ показал, что программы обучения по кибербезопасности оказывают значительное положительное влияние на пользователей. Средний размер эффекта d ≈ 0,75 ( доверительный интервал [0,58; 0,92]).
Это означает, что в сравнении с отсутствием обучения или контрольной группой, обученные пользователи в среднем демонстрируют существенно лучшие результаты по совокупности критериев (знания, осведомлённость, поведенческие тесты).
Что означает d ≈ 0,75
Cohen’s d измеряет, насколько сильно одно воздействие отличается от другого — например, насколько группа, прошедшая обучение, отличается по результатам от той, которая не проходила.
Формула
d = (среднее значение группы 1 – среднее значение группы 2) / общее стандартное отклонение
d ≈ 0,75 означает, что эффект выраженный: обучение действительно дало разницу в результатах. Интервал [0,58; 0,92] означает, что эффект стабильно положительный, а не случайный.
Самый большой эффект от обучения
Самый сильный эффект обучение оказывает на знания и установки — средний размер эффекта d ≈ 1,02, это очень высокое значение.
После обучения люди начинают лучше понимать, какие есть угрозы, зачем нужны правила, как работает фишинг и почему важно быть бдительным.
Влияние на реальное поведение
В отличие от знаний, изменение фактического поведения пользователей оказалось гораздо менее выраженным. Размер эффекта для поведенческих изменений d ≈ 0,36.
Это означает, что в среднем обучение приводило лишь к небольшому снижению рискованных действий (например, кликов по фишинговым ссылкам, нарушений политик безопасности), и данное улучшение статистически неустойчиво.
При этом ученые отмечают, что в исследованиях в целом редко корректно измеряли поведение людей «до-после», и это часть нужно дополнительно исследовать.
Интерпретация результатов
Главный вывод состоит в подтверждении уже давно обсуждаемой проблемы: осознание проблемы не автоматически ведет к действию.
Метаанализ наглядно показал, что хотя тренинги значительно улучшают знания и даже изменяют отношение пользователей к вопросам безопасности, этого мало для устойчивого изменения поведенческих паттернов.
Пользователи могут знать о рисках и правильных практиках, но в реальных условиях (особенно под давлением времени, привычки или социальной инженерии) они по-прежнему делают ошибки.
Причины разрыва между знаниями и поведением людей
Авторы отмечают, что неспособность многих программ добиться изменения поведения связана не столько с содержанием обучения, сколько с особенностями человеческой психологии и условиями применения знаний.
Однократная передача информации («вакцинация знанием») не сработает, потому что человеческое поведение инертно и контекстуально. Без регулярных напоминаний и практики усвоенные сведения быстро забываются или отходят на второй план перед лицом реальных стрессовых факторов.
Например, сотрудник может прекрасно помнить правила из тренинга, но через несколько месяцев в рабочей спешке и под влиянием правдоподобной уловки все равно кликнет по опасной ссылке.
Таким образом, авторы подчеркивают важность «моста» между знанием и действием: обучение должно не только информировать, но и формировать новые поведенческие привычки, учитывать мотивационные и организационные аспекты.
Форматы, содержание и длительность учебных программ
Качественный анализ результатов показал, что не все обучение одинаково полезно. Программы, выполненные формально для галочки (например, скучные обязательные презентации раз в год), практически не меняют поведения.
А увлекательное и релевантное обучение — там, где пользователи видят непосредственную связь с своей работой и сталкиваются с реалистичными задачами — вызывает больший отклик.
Пользователи лучше запоминали информацию, когда они применяли знания на практике (пусть даже в игровой форме или симуляции).
Это согласуется с принципами обучения взрослых: опытное обучение и активное участие закрепляют материал сильнее, чем пассивное слушание.
Вовлеченность сотрудников — ключевой фактор: если люди относятся к тренингу как к живому, интересному процессу (а не как к бюрократической обязаловке), они скорее применят полученные навыки.
Интерактивные и игровые методы vs. пассивные методы. Тренинги, предусматривающие активное вовлечение пользователя, например, интерактивные сессии, симуляционные упражнения, игровые приёмы (геймификация), — продемонстрировали более высокий эффект по сравнению с традиционными лекциями или видеопрезентациями.
Вовлечённость и практическая отработка навыков помогают лучше усвоить материал и, потенциально, измененить привычки.
В метаанализе отмечается, что метод подачи материала — один из ключевых факторов успеха обучения. Например, игровые элементы или соревновательные упражнения повышают мотивацию пользователей и закрепляют правильные модели действий.
Реалистичные сценарии и симуляции. Программы, включающие практические симуляции реальных угроз (например, имитации фишинговых атак, киберучения в условиях, приближенных к рабочим) показали лучшую эффективность в формировании навыков распознавания и отражения угроз.
Также когда обучение соответствовало реальным ситуациям, с которыми сталкиваются пользователи, эффект на их поведение был выше.
Это проявляется, например, в том, что после участия в фишинг-симуляциях сотрудники лучше идентифицируют фишинговые письма и реже на них попадаются (по отдельным исследованиям, процент пользователей, способных распознать фишинг, возрастает многократно).
Таким образом, сценарии, имитирующие актуальные угрозы для конкретной аудитории, значительно повышает практическую ценность обучения.
Частота и длительность обучения. Ещё одним модератором эффективности стала периодичность проведения тренировок. Разовые сессии, как правило, давали менее устойчивый результат, тогда как регулярное обучение приводило к большим улучшениям. (например, серия модулей или периодические курсы).
Аналогично, программы, включающие поддерживающие мероприятия после основного обучения (например, тесты, рассылка напоминаний, повторные симуляции) показывали, что знания и навыки пользователей закрепляются надежнее.
Авторы подчёркивают, что частота тренингов и наличие механизмов подкрепления знаний — значимые факторы: обучение с повторением помогает переводить краткосрочные улучшения в долгосрочные привычки.
Обучение и общая культура безопасности в компании
Авторы интерпретируют умеренность поведенческих эффектов как указание на то, что обучение не должно рассматриваться изолированно. Без формирования общей культуры безопасности в организации и без постоянного подкрепления знаний даже хороший тренинг со временем забывается.
Это проявляется, например, в том, что многие пользователи спустя некоторое время после курса вновь начинают пренебрегать мерами безопасности.
Таким образом, долгосрочный эффект требует поддержки: повторных упражнений, регулярных напоминаний, поощрения безопасного поведения руководством и коллегами. В противном случае знания остаются теорией, а привычки не меняются.
В целом, интерпретация результатов исследования сводится к тому, что обучение должно быть частью более широкой стратегии. Сами по себе тренинги повышают осведомленность (что уже хорошо), но для реального снижения человеческого фактора риска необходим комплексный подход, учитывающий человеческие ограничения, мотивацию и организационный контекст.
Авторы делают вывод, что текущие программы следует переосмыслить с упором на активное вовлечение, реалистичность и постоянство, чтобы преодолеть выявленный разрыв между знанием и поведением пользователей.
Рекомендации для программ обучения по кибербезопасности
На основании полученных результатов и их интерпретации, исследователи сформулировали ряд рекомендаций по обучению — они адресованы методологам и специалистам по кибербезопасности, ответственным за повышение осведомлённости пользователей.
1. Сделать обучение интерактивным и вовлекающим. Обычные лекции или просмотр слайдов малоэффективны для изменения поведения. Рекомендуется внедрять активные методы: обучающие игры, симуляции, кейсы, требующие от участников принятия решений. Игровые и практические элементы повышают мотивацию и улучшают усвоение материала за счет эмоционального вовлечения.
Пользователь, который сам попробовал распознать атаку в учебной среде или поучаствовал в киберучениях, лучше подготовлен к реальной ситуации.
2. Использовать реалистичные сценарии и приближённый к работе контекст. Эффективная программа должна отражать те типы угроз, с которыми аудитория столкнется в жизни. Например, для сотрудников финансового отдела полезны имитации фишинга, замаскированные под бухгалтерские запросы, а для HR-отдела — под письма от соискателей.
Контекстуальная релевантность повышает значимость обучения: люди легче применяют знания, если узнают в учебных примерах свою реальность.
Результаты метаанализа показывают, что реалистичные фишинг-симуляции и другие приближенные к реальности упражнения значительно снижают впоследствии число ошибок пользователей.
3. Обеспечить регулярность и непрерывность обучения. Рекомендуется строить обучение как процесс, а не разовое событие. Обучение может быть в виде серии модулей, ежеквартальных небольшие курсов или регулярные рассылок с обновлениями по безопасности.
Принцип spaced learning (интервальное обучение) гласит, что знания лучше сохраняются при распределенном повторении. Метаанализ подтвердил: чем чаще и длительнее обучение (с разумными интервалами), тем выше общий эффект.
Поэтому в организациях лучше планировать не ежегодный семинар, а постоянную программу повышения осведомленности — с периодическим повторением ключевых тем и усложнением сценариев по мере роста навыков сотрудников.
4. Внедрять механизмы подкрепления и обратной связи. Чтобы знания действительно перешли в поведение, важно укреплять новые привычки. Практический совет — сопровождать обучение элементами подкрепления: например, после фишинг-симуляции давать персональную обратную связь каждому участнику.
Если сотрудник ошибся и кликнул на учебную ловушку, ему стоит тет-а-тет объяснить, какая психологическая уловка была использована и как в следующий раз распознать подобное письмо. Оперативная детальная обратная связь (особенно если ее дают доброжелательно и без наказаний) помогает человеку осознать свою уязвимость и запомнить урок.
Подкрепление может быть и в позитивной форме — например, поощрение бдительных сотрудников (грамоты, упоминание успехов, геймифицированные баллы за обнаружение фишинга).
Цель – сформировать у пользователей привычку постоянно думать о безопасности, а не только сразу после прохождения курса.
5. Персонализировать и адаптировать программы под аудиторию. Единый курс для всех (one-size-fits-all) уступает по эффективности адаптированному обучению. Рекомендуется учитывать роль пользователя, уровень его подготовки и тип угроз, наиболее вероятных в его деятельности.
Например, для IT-специалистов нужны более продвинутые и технические сценарии, а для рядовых сотрудников – фокус на базовых угрозах и практических правилах.
Также следует по возможности персонализировать сложность: начинающим – простые случаи, продвинутым – более изощрённые атаки.
Такой дифференцированный подход поддерживает интерес: опытные не заскучают, новички не почувствуют себя потерянными. В итоге каждый участник прогрессирует в зависимости от своего уровня
Исследование рекомендует именно "tailored approach" – индивидуальный, ориентированный на конкретные группы пользователей подход к обучению, поскольку он максимизирует релевантность знаний, и их прикладное применение.
6. Интегрировать обучение в общую систему защиты. Наконец, авторы подчёркивают, что тренинги должны дополнять, а не заменять другие меры кибербезопасности. Технические решения и человеческое обучение следует использовать совместно.
Практический вывод для организаций: выстраивая программу awareness-тренинга, параллельно улучшайте и технические средства защиты (фильтры, политики, ограничения на уровне систем). Так пользователи будут действовать в среде, которая поддерживает безопасное поведение.
Например, обучение паролям должно сопровождаться внедрением удобного менеджера паролей; обучение противодействию фишингу – наличием почтовых шлюзов, помечающих внешние письма и так далее.
Сочетание технических барьеров с грамотными пользователями дает максимальный эффект в противостоянии угрозам.
Кроме того, важно заручиться поддержкой руководства и встроить элементы безопасности в корпоративную культуру: когда безопасность становится ценностью организации, эффективность отдельных тренингов возрастает многократно.
Следуя этим рекомендациям, методологи и специалисты по информационной безопасности смогут создавать обучающие программы, которые не только передают знания, но и действительно меняют поведение.
P.S. Мне давно интересно, как обучать людей безопасности так, чтобы это реально работало — не ради галочки, а чтобы поведение менялось. Обзор метаанализа — первый шаг: я постаралас собрать из него, что может помочь нам делать обучение умнее и полезнее. Буду продолжать эту тему в следующих материалах.