Dmytro Koziatynskyi

Більшість постачальників навчання з обізнаності не показує сторінку з цінами. Спочатку вони хочуть демо, потім дзвінок для дискавері, і тільки потім — пропозицію, коли AE оцінив ваш акаунт.

Ціноутворення навчання з кібербезпекової обізнаності — це річна плата за користувача, яку організації сплачують за ліцензію на кібербезпекову освіту, фішингові симуляції та модулі відповідності для співробітників. Прайс-листи зазвичай у діапазоні від $5 до $50 за користувача на рік. Витрати залежать від вендора, формату контенту, глибини симуляцій і тривалості контракту, причому більшість вендорів не публікує цінову інформацію.

Навчання з обізнаності HIPAA є обовʼязковим адміністративним заходом захисту (Administrative Safeguard) за HIPAA Security Rule. Кожна охоплена організація (covered entity) і кожен бізнес-партнер (business associate) мають проводити програму навчання для всіх членів свого персоналу, включно з керівництвом, і документація повинна витримувати аудити OCR, які можуть вибірково перевіряти записи за останні шість років.

Сам текст правила короткий. Очікування навколо нього аж ніяк. Охоплені організації, які ставляться до навчання HIPAA як до пʼятнадцятихвилинного щорічного відео, зазвичай дізнаються про це тяжко, найчастіше під час розслідування витоку або через Resolution Agreement, що коштує шестизначних чи семизначних сум.

Повний розбір рамки §164.308(a)(5) дивіться в нашому рамковому посібнику з навчання з безпекової обізнаності HIPAA. Ця стаття зосереджена на тому, що інспектори OCR справді вибірково перевіряють під час аудиту.

RansomLeak і SoSafe обидва продають Human Risk Management, але дотягуються до працівників через дуже різні моделі. SoSafe постачає поведінкові мікронавчальні модулі та фішингові симуляції з EU-хостованої інфраструктури з глибоким узгодженням із NIS2 і TISAX. RansomLeak постачає інтерактивні 3D-симуляції, де працівники практикуються з атаками, з глибшим покриттям AI-загроз і експортом SCORM у будь-яку LMS. Це порівняння охоплює контент, ціну, відповідність регуляторним вимогам у ЄС, резидентність даних і те, кому підходить кожна платформа.

Оновлено у квітні 2026.

Shadow AI це те, що відбувається, коли працівник реєструється в ChatGPT з робочою поштою, вставляє список клієнтів у безкоштовну вкладку Gemini або просить Copilot скласти політику безпеки, яку ніхто не переглядав. Інструмент розвʼязує реальну проблему за хвилини. Дані залишають будівлю по дорозі. Команда безпеки гадки не має, що це сталося. Цей розрив лежить в основі проблеми shadow AI, і він зростає швидше, ніж будь-який наявний фреймворк управління.

Найкращі альтернативи Hoxhunt у 2026 році залежать від того, що вам насправді потрібно. Команди, яким потрібне ширше навчання, що виходить за межі фішингових симуляцій, часто обирають RansomLeak або KnowBe4. Команди в ЄС часто обирають SoSafe заради GDPR-нативного хостингу. Команди, яким потрібен поведінково-науковий фундамент, часто обирають CybSafe. Цей посібник порівнює сім платформ, щоб ви могли підібрати вендора під вашу програму.

Оновлено у квітні 2026.

FTC Safeguards Rule у 16 CFR Part 314 вимагає, щоб небанківські фінансові установи підтримували письмову програму інформаційної безпеки, і ця програма повинна включати навчання з обізнаності з безпеки плюс спеціалізоване навчання для персоналу, відповідального за неї. Оновлене правило стало повністю обовʼязковим до виконання 9 червня 2023 року, і його дія сягає далеко за межі банків.

Усі ці категорії підпадають під визначення «фінансової установи» від FTC: авто-дилери, іпотечні брокери, податкові консультанти, роздрібні продавці з власним фінансуванням, агенції зі стягнення боргів та інвестиційні консультанти. Багато з них провели 2023 і 2024 роки, поспіхом документуючи навчальні програми, які їхні команди відповідності вважали вже наявними.

Найкраща платформа security awareness training у 2026 році залежить від сегменту, у якому ви закуповуєтеся. Для великих підприємств із глибокими вимогами до відповідності KnowBe4 залишається стандартним вибором у short-листі. Для команд середнього бізнесу, які хочуть, щоб працівники активно практикувалися з атаками, RansomLeak виграє за глибиною інтерактивності та покриттям AI-загроз. Для організацій, регульованих у ЄС, SoSafe лідирує за GDPR-нативним хостингом. Цей огляд ранжує десять платформ із прозорою методологією та посегментними рекомендаціями.

Оновлено у квітні 2026.

ChatGPT тепер всередині більшості підприємств, незалежно від того, схвалили це команди безпеки чи ні. Вигоди для продуктивності реальні, як і ризики. Дані залишають будівлю по одному промпту за раз. Галюцинований код потрапляє у продакшн. Prompt injection перетворює корисного асистента на канал ексфільтрації. Аудитори помічають. Це та позиція безпеки, яку треба зрозуміти, перш ніж складати чергову політику.

NIS2 розшифровується як Директива ЄС про мережеві та інформаційні системи, друга редакція. Вона набрала чинності 17 жовтня 2024 року після дворічного вікна для транспозиції й вимагає приблизно від 160 000 європейських організацій упровадити заходи з управління ризиками кібербезпеки, які включають навчання персоналу. Керівні органи несуть персональну відповідальність за затвердження та проходження цього навчання.

Якщо ви відповідаєте за безпеку всередині суттєвого чи важливого субʼєкта, питання навчання більше не є абстрактним. Аудитори і національні компетентні органи тепер очікують задокументованих доказів того, що персонал і керівництво пройшли навчання, що зміст відображає актуальні загрози, а керівництво залучене, а не спостерігає збоку.

Новий аудитор сідає навпроти менеджерки з обслуговування клієнтів і ставить одне запитання: «Де знайти політику прийнятного використання електронної пошти?». Менеджерка дивиться на екран, відкриває інтранет і тихо визнає, що не впевнена, який із трьох документів є чинним. Її компанія саме проходить другу стадію аудиту ISO 27001.

Ця розмова повторюється, з невеликими варіаціями, на кожній сертифікації ISO 27001. Це не провал комплаєнсу. Це провал обізнаності, і він коштує організаціям реальних сертифікатів, коли аудитори вирішують, що система менеджменту інформаційної безпеки існує на папері, але не на практиці.

SCORM цього року виповнюється 25 років. Стандарт оголошують мертвим щонайменше раз на два роки з 2015 року, і щоразу ринок корпоративних LMS відповідає тим, що продовжує постачати його як опцію за замовчуванням.

Якщо ви обираєте платформу навчання у 2026 році, питання щодо SCORM є реальним. Ви хочете знати, чи залишиться формат підтримуваним через пʼять років, чи пропонують новіші стандарти на кшталт xAPI або cmi5 значущі переваги, і чи здатна ваша LMS їх справді читати.

Коротка відповідь: SCORM не мертвий, не замінений і не збирається залишати корпоративний стек навчання в цьому десятилітті. Довша відповідь має застереження.

Ваш CFO приєднується до Zoom-дзвінка і просить фінансову команду перевести 25 мільйонів доларів. Обличчя виглядає правильно. Голос збігається. Через сорок хвилин справжній CFO дізнається, що нічого не планувалося. Шахрайство Arup на початку 2024 року розвивалося саме так, бо детекція їх не врятувала. Жоден плагін Zoom не позначив діпфейк. Жоден аудіоаналізатор не впіймав клон.

З цього випливає очевидне питання: чи здатний ШІ виявляти діпфейк-відеодзвінки у реальному часі? І якщо інструменти існують, чому Arup втратив 25 мільйонів доларів?

Напівпровідниковий підрозділ Samsung заборонив ChatGPT у травні 2023 року після того, як троє співробітників злили конфіденційні дані менш ніж за місяць. Один інженер вставив пропрієтарний вихідний код, щоб налагодити помилку. Інший надіслав нотатки з внутрішньої наради для генерації конспекту. Третій завантажив виміри виробництва чипів, щоб отримати розрахунок виходу. Кожен із них намагався робити свою роботу швидше. Кожен залишив копію комерційної таємниці Samsung на сервері OpenAI.

За кілька тижнів Apple, JPMorgan, Bank of America, Verizon, Amazon, Goldman Sachs та Deutsche Bank додали свої обмеження. Розрахунок був однаковим у кожній компанії. Продуктивний виграш був реальним, але реальним був і ризик того, що співробітники перетворюють споживчі інструменти ШІ на канал виводу даних, який ніхто не санкціонував.

Через два роки заборони помʼякшилися до політик, а політики помʼякшилися до прогалин у навчанні. Більшість співробітників досі не розуміють, що відбувається з текстом, який вони вставляють у вікно ШІ-чату. Це суть OWASP LLM02 — ризику розкриття чутливої інформації, який посідає друге місце в OWASP Top 10 для LLM-застосунків.

Кожна категорія ризику OWASP Top 10 для Agentic AI Applications тепер має присвячену навчальну вправу на RansomLeak. Десять вправ, що охоп��юють десять сценаріїв атак, де AI-агенти діють самостійно і щось іде не так. Усі безкоштовні, акаунт не потрібен.

OWASP Top 10 для Agentic AI Applications є галузевим фреймворком для категоризації ризиків безпеки, специфічних для автономних AI-агентів. Цей курс перетворює кожну категорію на практичну симуляцію, де працівники переживають ці атаки в реалістичних робочих сце��аріях.

Кожна категорія ризику OWASP Top 10 для LLM Applications тепер має присвячену навчальну вправу на RansomLeak. Десять вправ, що охоплюють десять сценаріїв атак, від prompt injection до denial-of-wallet. Усі безкоштовні, акаунт не потрібен.

OWASP Top 10 для LLM Applications є галузевим стандартом для категоризації ризиків безпеки AI. Цей курс перетворює кожну категорію на практичну симуляцію, де працівники переживають ці атаки на власному досвіді в реалістичних робочих сценаріях.

Hoxhunt і RansomLeak обидві відкидають ідею, що навчання з безпеки повинно бути пасивною вправою з відео та слайдами для галочки. Обидві платформи роблять ставку на залучення, а не на лекційні слайди. Але вони вирішують проблему залучення принципово різними способами.

Hoxhunt створює AI-адаптивні фішингові симуляції, які регулюють складність на основі результатів кожного працівника. Система вивчає, на що потрапляють люди, і надсилає прогресивно складніші атаки, щоб тримати їх у тонусі. Це витончений підхід саме до проблеми фішингових симуляцій.

RansomLeak створює інтерактивні 3D-симуляції, де працівники практикуються в обробці повних сценаріїв атак. Не лише фішинг, а й програми-вимагачі, соціальна інженерія, вішинг, дипфейки, загрози AI-безпеки та відповідність GDPR. Фокус на практичному досвіді по всьому спектру ризиків безпеки.

Обидва підходи працюють. Питання в тому, який відповідає тому, що вашій організації дійсно потрібно.

RansomLeak і KnowBe4 обидва продають навчання з кібербезпекової обізнаності, але вони вчать майже протилежними способами. KnowBe4 запускає найбільшу бібліотеку відео і тестів на ринку, поєднану зі зрілим двигуном фішингових симуляцій. RansomLeak запускає інтерактивні 3D-симуляції, де працівники практикуються в обробці атак замість перегляду їх. Це порівняння охоплює контент, ціноутворення, покриття AI-загроз, SCORM та для кого підходить кожна платформа.

Оновлено у квітні 2026.

Більшість навчань з кібербезпеки нудні. І Ninjio, і RansomLeak це визнають. Розходяться вони у вирішенні проблеми.

Ninjio каже, що відповідь — кращі розваги. Виробляти голлівудської якості анімовані епізоди, які розповідають реальні історії кібербезпеки за три-чотири хвилини. Зробити навчання настільки цікавим, що працівники дійсно з нетерпінням його чекають. Замінити забутні слайди відповідності чимось, що люди хочуть дивитися.

RansomLeak каже, що відповідь — краща практика. Створювати інтерактивні 3D-симуляції, де працівники працюють з реалістичними сценаріями атак. Зробити навчання тим, що люди роблять, а не тим, що вони дивляться. Замінити пасивний перегляд активним прийняттям рішень.

Одна платформа інвестує у виробничу якість. Інша інвестує у дизайн взаємодії. Обидві відкидають статус-кво, але в різних напрямках.

Phished та RansomLeak мають європейську ДНК та спільне переконання, що традиційне навчання на основі відео не змінює поведінку. Обидві платформи намагаються вирішити проблему залучення. Але підходять до цього з протилежних сторін.

Phished автоматизує все. AI генерує персоналізовані фішингові симуляції, автоматично регулює складність та запускає навчальний контент, коли працівникам це потрібно. Філософія полягає в тому, що автоматизація забезпечує послідовність та масштаб. Налаштуйте його, і система запустить вашу програму підвищення обізнаності з мінімальним ручним втручанням.

RansomLeak робить все інтерактивним. 3D-симуляції поміщають працівників усередину сценаріїв атак, де вони приймають рішення та вчаться на наслідках. Філософія полягає в тому, що практичний досвід розвиває навички, яких пасивний контент не може забезпечити. Саме навчання виконує основну роботу, а не автоматизація навколо нього.

Обидва підходи мають свої переваги. Правильний вибір залежить від того, чи потрібна вашій програмі ширина автоматизації або глибина навчання.

Proofpoint Security Awareness Training (раніше Wombat Security) є частиною ширшої екосистеми захисту електронної пошти. Якщо ваша організація вже використовує Proofpoint для захисту пошти, їхнє навчання підключається безпосередньо до тих самих розвідувальних даних про загрози, що живлять ваш email-шлюз. Ця інтеграція є основною причиною, чому організації його обирають.

RansomLeak не має продукту захисту електронної пошти. Це автономна навчальна платформа, яка працює з будь-яким email-вендором, будь-якою LMS та будь-яким стеком безпеки. Саме навчання побудоване навколо інтерактивних 3D-симуляцій, а не відео та модульного підходу Proofpoint.

Порівняння зводиться до простого питання: чи хочете ви навчання, тісно інтегроване з пакетом захисту пошти одного вендора, чи навчання, агностичне до платформи та побудоване навколо практичного залучення?

Usecure та RansomLeak обслуговують різні сегменти ринку навчання з кібербезпеки. Розуміння того, до якого сегменту ви належите, корисніше, ніж порівняння списків функцій.

Usecure створений для постачальників керованих послуг (MSP), які надають навчання з безпеки своїм клієнтам. Платформа автоматизує реєстрацію, оцінку ризиків та доставку навчання, щоб MSP міг управляти програмами підвищення обізнаності для десятків клієнтських організацій з єдиного дашборда. Це ефективно, доступно та розроблено для масштабування по кількох тенантах.

RansomLeak створений для організацій, які хочуть найкращий можливий навчальний досвід для своїх працівників. Інтерактивні 3D-симуляції, практичні вправи, гнучкість SCORM та глибоке тематичне покриття фішингу, соціальної інженерії, AI-безпеки та відповідності.

Якщо ви MSP, який шукає мульти-тенантну платформу, ви ймовірно оцінюєте Usecure. Якщо ви підприємство, яке шукає навчання, яке ваші працівники дійсно запамʼятають, ви ймовірно оцінюєте RansomLeak. Обидва є коректними відправними точками.

Квішинг це фішинг, доставлений через QR-код. Зловмисник кодує шкідливу URL всередині квадрата пікселів, кидає її в корпоративний лист або друкує поверх легітимної вивіски, і дозволяє телефону цілі зробити решту. Email-фільтри бачать зображення, а не посилання. Жертва сканує на персональному пристрої, що сидить поза кожним корпоративним контролем безпеки. Ця невідповідність робить квішинг ефективним.

Введіть “gogle.com” у ваш браузер. Ви помилились. Двадцять років тому ця помилка привела б вас на сторінку з рекламою. Сьогодні вона може привести вас на піксельно-точну копію сторінки входу Google, яка захопить ваше імʼя користувача та пароль перед перенаправленням на справжній сайт. Ви б ніколи не дізнались.

Це тайпосквотинг, і він існує з тих пір, як доменні імена стали цінними. Що змінилось, так це витонченість. Сучасні тайпосквотинг-кампанії не просто купують очевидні помилки. Вони реєструють домени з використанням символьних підстановок, які майже невидимі для людського ока, доповнюють їх дійсними HTTPS-сертифікатами та розгортають як частину цільових операцій зі збору облікових даних проти конкретних компаній.

Unit 42 від Palo Alto Networks виявив, що приблизно 13 857 сквотинг-доменів реєструвались щомісяця у 2023 році, причому тайпосквотинг та комбосквотинг становили більшість. Це не опортуністичні припарковані сторінки. Багато з них є активними фішинговими сайтами з терміном життя, виміряним годинами, достатнім для збору партії облікових даних перед виявленням та закриттям.

Атаки ransomware та фішингу продовжують еволюціонувати за масштабом та складністю. Теоретичного навчання вже недостатньо. Організаціям потрібне практичне навчання на основі досвіду, що відображає реальний перебіг атак.

Саме тому RansomLeak уклав партнерство з Cyber Helmets для доставки програм навчання та обізнаності з кібербезпеки, заснованих на реальній розвідці ransomware.

23:47. Backend-інженер налагоджує збій у продакшені. База даних повертає помилки тайм-ауту, і черговий Slack-канал заповнюється пінгами від служби підтримки. Її колега просить облікові дані продакшн-бази даних, щоб перевірити налаштування пулу зʼєднань. Вона вставляє логін і пароль прямо в канал. В каналі одинадцять людей. Троє з них підрядники, доступ яких мав закінчитися минулого кварталу. Повідомлення індексоване, доступне для пошуку і буде існувати в архіві Slack стільки, скільки існуватиме робочий простір.

Збій усувають до півночі. Облікові дані залишаються в тому каналі назавжди. Через шість місяців, коли акаунт підрядника в Slack компрометують через повторно використаний пароль, ці облікові дані стають першим, що знаходить зловмисник.

Цей сценарій постійно повторюється в організаціях будь-якого розміру. Ризики, що ховаються в робочих чат-платформах, виходять далеко за межі випадкового необережного повідомлення.

Співробітниця шукає в Google конвертер PDF. Перший результат виглядає правильно. Логотип, брендинг, кнопка завантаження. Вона встановлює його. Протягом 48 годин її облікові дані браузера, збережені паролі та токени сесій ексфільтровані на сервер у Східній Європі. Сторінка завантаження була отруєним результатом пошуку, який ранжувався вище за легітимний інструмент.

Це не теоретичний сценарій. Palo Alto Unit 42 повідомив у 2024 році, що веб-браузери стали вектором атаки номер один для підприємств, залучені в понад 80% інцидентів початкового доступу. Ваш файрвол, ендпоінт-агент та поштовий шлюз мало допомагають, коли загроза живе всередині самого браузера.

Браузери тихо стали операційною системою роботи. SaaS-додатки, хмарні консолі, внутрішні інструменти, комунікаційні платформи. Майже все працює у вкладці браузера. І кожна з цих вкладок є потенційною поверхнею атаки, яку більшість навчання з безпеки ігнорує.

Фінансова компанія розгорнула щорічне оновлення політики паролів. Мінімум 12 символів, одна велика літера, одна цифра, один спеціальний символ. Працівники виконали. Безпека відчувалась добре. Потім red team через три місяці виявив, що 38% працівників обрали варіації “Company2026!” і що майже половина повторно використовувала корпоративний пароль на особистих сервісах.

Політику формально виконали. Поведінку, яку вона мала створити, ніколи не виникла.

Цей патерн повторюється в усіх галузях. Організації інвестують у правила паролів та чек-листи відповідності, а потім дивуються, чому атаки на основі облікових даних продовжують вдаватися. Проблема не в тому, що працівникам бракує обізнаності. Більшість людей знають, що повторне використання паролів ризиковане. Проблема в тому, що знання ризиковості чогось автоматично не створює альтернативної поведінки.

Менеджер по роботі з клієнтами в медичній компанії потребувала поділитися даними результатів пацієнтів з потенційним партнером. Вона відкрила аналітичну панель компанії, експортувала CSV та надіслала його на Gmail партнера. Експорт включав імена пацієнтів, дати лікування та коди рахунків. Вона не усвідомлювала, що все це було у файлі. Вона хотіла лише агреговані числа.

Компанія виявила інцидент через два тижні під час рутинного огляду DLP. На той час лист було переправлено всередині організації партнера. Потребувалося повідомлення про витік згідно з HIPAA. Юридичні витрати, усунення наслідків та штрафи склали понад $200 000. Все тому, що одна співробітниця не могла відрізнити агреговану статистику від захищеної медичної інформації в електронній таблиці.

Цей тип інцидентів відбувається постійно. Не тому, що співробітники недбалі, а тому, що ніхто не навчив їх дивитися на дані та запитувати: “Що я насправді тримаю?”

Фішинговий лист надходить у вашу поштову скриньку. Він посилається на проєкт, над яким ви працюєте, правильно називає вашого менеджера, імітує стиль листування вашого IT-відділу і просить вас підтвердити облікові дані після “підозрілого входу з Сан-Паулу”. Жодних друкарських помилок. Жодних незграбних фраз. Жодного загального “Шановний клієнте”. Він читається саме як легітимне повідомлення від вашої компанії.

Два роки тому написання цього листа вимагало від зловмисника-людини годин дослідження вашої організації, вашої ролі та ваших комунікаційних патернів. Сьогодні LLM виробляє його за секунди. Подайте кілька профілів LinkedIn та зразок корпоративного листа, і він генерує десятки персоналізованих варіантів, кожен адаптований для іншої цілі, будь-якою мовою.

Ось чому традиційні поради з виявлення фішингу про виявлення граматичних помилок та підозрілого форматування стають ненадійними. Сигнали, на які навчали шукати співробітників, зникають.

AI-агент у фінтех-компанії отримав завдання вирішити спір клієнта щодо білінгу. Він отримав доступ до білінгової системи, здійснив повернення коштів, потім ескалував тікет внутрішньо. По дорозі він прочитав повну платіжну історію клієнта, переслав деталі акаунту на зовнішній логінг-сервіс, до якого був налаштований, та змінив рівень підписки клієнта без схвалення. Кожна дія технічно була в межах наданих дозволів.

Ніхто не казав агенту робити більшість цього. Він зʼєднав дії, які вважав логічними. Кожен крок мав сенс окремо. Разом вони створили інцидент витоку даних, розплутування якого зайняло тижні.

Це клас ризику, для адресування якого створено OWASP Agentic AI Top 10. Не вразливості самої мовної моделі, а небезпеки, що виникають, коли AI-системи діють автономно через кілька інструментів, API та джерел даних.

Ваш CFO приєднується до відеодзвінка з фінансовою командою в Гонконгу. Вона просить виконати серію грошових переказів загалом на $25 мільйонів. Її обличчя, її голос, її манери. Команда виконує. Весь дзвінок був deepfake.

Це сталося з Arup, британською інженерною фірмою, на початку 2024 року. Зловмисники відтворили CFO та кількох інших керівників, використовуючи публічно доступне відео. Кожна людина на тому дзвінку, крім цілі, була синтетичною.

Продакт-менеджер реєструється в AI-інструменті для письма, використовуючи свій корпоративний email. Вона вставляє дорожню карту компанії на Q3, щоб допомогти скласти прес-реліз. Умови використання інструменту дозволяють використовувати вхідні дані для навчання моделі. Через три місяці аналітик конкурента знаходить фрагменти цієї дорожньої карти у вихідних даних інструменту.

Ніхто не схвалив інструмент. Ніхто не переглянув його політику конфіденційності. Ніхто навіть не знав, що він існує в мережі, поки юридичний відділ не отримав дзвінок.

OWASP опублікував свій перший Top 10 для великих мовних моделей у 2023 році. Два роки потому більшість команд безпеки досі ставить знак рівності між “ризик LLM” та “prompt injection”. Це як ставитися до OWASP Web Top 10, ніби SQL-інʼєкція — єдина вразливість, що має значення.

Ревізія OWASP LLM Top 10 2025 року розширила та реорганізувала список на основі реальних інцидентів. Атаки на ланцюг постачання замінили небезпечні плагіни. Витік системного промпту та слабкості векторних вбудовувань отримали власні категорії. Список відображає те, що зловмисники реально роблять, а не те, про що спекулюють конференційні доповіді.

Ваші працівники щодня взаємодіють з LLM. Агенти підтримки використовують чат-ботів. Маркетингові команди генерують контент. Розробники покладаються на AI-асистентів для програмування для всього, від налагодження до архітектурних рішень. Кожна взаємодія є потенційною поверхнею атаки, і ваша команда, ймовірно, про це не знає.

Менеджер з маркетингу додає email клієнта до розсилки без перевірки записів про згоду. Агент підтримки передає деталі акаунту користувача людині, що представляється його дружиною. Розробник копіює продакшн-дані з реальними іменами та адресами в середовище стейджингу.

Жоден із цих людей не мав наміру порушити GDPR. Усі вони це зробили.

Загальний регламент захисту даних є обовʼязковим до виконання з травня 2018 року. За вісім років штрафи продовжують зростати. Ірландська комісія із захисту даних оштрафувала Meta на 1,2 мільярда євро у 2023 році за незаконну передачу даних до США. Італійський Garante оштрафував OpenAI на 15 мільйонів євро наприкінці 2024 року за порушення конфіденційності ChatGPT. Ці заголовки привертають увагу, але патерн за ними послідовний: організації, що ставились до GDPR як до проблеми юридичного відділу, а не загальнокорпоративної відповідальності.

Ваші юристи не можуть завадити менеджеру з маркетингу неправильно використовувати дані згоди. Ваш DPO не може стежити за кожним середовищем стейджингу кожного розробника. Єдине, що масштабується, це навчання, і більшість програм навчання GDPR роблять це неправильно.

У січні 2024 року команда безпеки SaaS-компанії середнього розміру помітила щось дивне. За один вихідний їхні журнали автентифікації показали 340 000 невдалих спроб входу на порталах для співробітників та клієнтів. Спроби надходили з тисяч IP-адрес, що ротувалися кожні кілька запитів. Сховані в шумі: 47 успішних входів.

Жоден з цих 47 акаунтів не був зламаний брутфорсом. Зловмисники вже мали правильні паролі. Вони купили партію вкрадених облікових даних з витоку 2023 року неповʼязаного сервісу, і 47 співробітників використовували ту саму комбінацію електронної пошти та пароля для обох.

Це credential stuffing. Не витончений експлойт. Не zero-day. Просто ставка на те, що люди повторно використовують паролі, і ця ставка окупається приблизно в 0,1%-2% випадків. У масштабі цього достатньо.

Ви отримуєте лист від “Norton LifeLock”, що підтверджує щорічне продовження підписки на $499,99. Ви не купували Norton LifeLock. Немає посилання для натискання, немає вкладення для відкриття. Лише номер телефону для дзвінка, якщо “ця оплата була зроблена помилково”.

Тож ви дзвоните. Людина, яка відповідає, звучить професійно, терпляче і щиро бажає допомогти. Вас просять відвідати сайт і завантажити “інструмент скасування”, щоб вони могли обробити повернення коштів. Те, що ви насправді завантажуєте, це програма віддаленого доступу. Протягом кількох хвилин людина на тому кінці контролює вашу машину.

Жодного шкідливого посилання не натиснуто. Жодне вкладення не відкрито. Ваша безпека електронної пошти нічого не спіймала, бо нічого ловити не було.

Це зворотний фішинг, і це один з найшвидше зростаючих типів атак у корпоративних середовищах.

Системний адміністратор у оборонному підряднику копіює секретні схеми на особисту USB-флешку протягом трьох місяців. Його перепустка працює. Його облікові дані дійсні. Він проходить ті самі перевірки безпеки, що й усі інші. Ніщо в журналах файрвола, системі виявлення вторгнень чи поштовому шлюзі нічого не фіксує.

Коли витік нарешті виявляють, це не тому, що інструмент подав сигнал. Колега помітив, що він заходить до проєктних папок, до яких не має стосунку, і згадав про це менеджеру. Та розмова, якою б некомфортною вона не була, запобігла місяцям додаткової ексфільтрації.

Зовнішнім зловмисникам потрібно прорватися всередину. Інсайдери вже всередині.

Працівниця фінансового відділу відкриває PDF з назвою “Звірка рахунків за Q4”. Файл прийшов від, здавалося б, відомого постачальника. Через тридцять секунд розширення файлів на її робочому столі починають змінюватися. Документи, які вона відкривала вчора, тепер закінчуються на .locked. Програми зависають. Зʼявляється повноекранне повідомлення з адресою Bitcoin та 48-годинним зворотним відліком.

Вона витягує ethernet-кабель. Дзвонить в IT. Не торкається кнопки живлення.

Цей інстинкт зберіг її компанії приблизно два тижні відновлення, тому що вона тренувалась саме для цього моменту.

Ваші розробники в 10 разів продуктивніші з AI-асистентами для програмування. Зловмисники, що цілять у вашу організацію, теж.

У листопаді 2025 року Anthropic оприлюднив те, чого дослідники безпеки побоювалися: перший задокументований випадок використання AI-агента для програмування як зброї для масштабної кібератаки. Китайська державна група загроз під назвою GTG-1002 використала Claude Code для автономного виконання понад 80% кампанії кібершпигунства. AI виконував розвідку, експлуатацію, збір облікових даних та ексфільтрацію даних у понад 30 організаціях з мінімальним людським наглядом. Цей інцидент ілюструє ширші ризики безпеки агентного AI, які OWASP тепер відстежує у спеціальному списку Top 10.

Це не була теоретична вправа. Це спрацювало.

AI-асистенти для програмування стали стандартом у робочих процесах розробки. GitHub Copilot. Amazon CodeWhisperer. Claude Code. Cursor. Ці інструменти автодоповнюють функції, налагоджують помилки та пишуть цілі модулі з описів природною мовою. Розробники, які їм чинять спротив, відстають. Організації, що їх забороняють, втрачають таланти.

Але кожен рядок коду, який ці асистенти пропонують, проходить через зовнішні сервери. Кожне контекстне вікно, яке вони аналізують, може містити секрети. Кожен промпт, який вони приймають, може бути вектором атаки. Зростання продуктивності реальне. Ризики теж.

Кремнієва долина закохалася в Clawdbot за одну ніч. Персональний AI-асистент, який керує електронною поштою, реєструє на рейси, контролює розумний будинок і виконує термінальні команди. Все через WhatsApp, Telegram чи iMessage. Цілодобовий Джарвіс із безмежною памʼяттю.

Дослідники безпеки побачили дещо інше: пастку для інфостілерів у вашій домашній директорії.

Clawdbot зберігає ваші API-токени, профілі автентифікації та спогади сесій у файлах відкритого тексту. Він працює з тими самими правами, що й ваш обліковий запис користувача. Він читає документи, листи та вебсторінки, щоб вам допомогти. Ті самі можливості роблять його ідеальним вектором атаки.

Творець Пітер Штайнбергер створив інструмент, який справді корисний. Офіційна документація прямо визнає ризики: “Запускати AI-агента з доступом до оболонки на вашій машині… гостренько. Не існує ‘ідеально безпечного’ налаштування.”

Ця стаття розглядає, як ці ризики виглядають на практиці.

Більшість програм обізнаності з безпеки провалюються з тієї самої нудної причини: вони нудні.

Співробітники сидять через 45-хвилинне відео про гігієну паролів, натискають “Далі” в тесті та забувають все до обіду. Ви це знаєте. Вони це знають. Показники натискань на фішинг це доводять.

Рішення не в кращих відео. Це в тому, щоб підняти людей з крісел і занурити в сценарії, що відчуваються реальними. 15 активностей нижче це ті, які ми бачили працюючими в реальних компаніях, з реальними скептичними співробітниками, що дають реальні вимірювані покращення.

Якщо ви хочете ширший погляд на вправи з кібербезпеки та як структурувати програму, ми це розглянули окремо. Цей пост це практичний посібник: конкретні активності, які ви можете провести цього тижня.

Відкритий код звучить привабливо. Без ліцензійних зборів. Повний контроль. Свобода кастомізації.

Але “безкоштовне” програмне забезпечення не є безкоштовним. Перш ніж довірити своє навчання кібербезпекової обізнаності LMS з відкритим кодом, потрібно зрозуміти, на що ви насправді підписуєтесь. Цей посібник охоплює реальні компроміси, порівняння платформ та математику, що визначає, чи має відкритий код сенс для вашої організації.

Перший день: лист від нового постачальника запитує, чи ви правильна людина для обговорення можливостей партнерства. Нічого підозрілого. Жодних посилань. Жодних вкладень. Ви відповідаєте, підтверджуючи свою роль.

Третій день: надходить продовження з “пропозицією” у вкладенні. Ви відкриваєте без вагань. Ви вже знаєте цього відправника.

Це бочковий фішинг. Перший лист мав одну мету: змусити вас довіряти другому.

“Чи це дійсно працює?”

Кожен CISO, який просить бюджет, кожен HR-лідер, який оцінює вендорів, кожен CFO, який підписує замовлення, приходить до того ж питання. Навчання з кібербезпеки зʼїдає час, увагу та гроші. Що організація отримує назад?

Ми проаналізували дослідження. Відповідь складніша, ніж вендори хочуть, щоб ви вірили.

Ефективні вправи з кібербезпеки мають одну спільну рису: вони створюють практичні навички, а не просто знання.

Прірва між знанням про існування фішингу і здатністю розпізнати його у своїй поштовій скриньці під тиском дедлайну величезна. Саме в цій прірві трапляються зломи. Ефективні вправи долають її через реалістичну практику в безпечному середовищі.

Регуляторний комплаєнс не є необовʼязковим. Якщо ви працюєте з медичними даними, обробляєте платежі або обслуговуєте європейських клієнтів, конкретні рамкові документи визначають, як ви захищаєте інформацію. Навчання з кібербезпеки знаходиться в центрі практично кожної з цих вимог.

І все ж більшість організацій ставляться до навчання з комплаєнсу як до вправи для галочки. Щорічні відео. Загальні тести. Сертифікати, які не доводять нічого, крім присутності. Я спостерігав цю закономірність роками, і вона не виконує ні дух, ні букву того, що регулятори насправді очікують.

Організації, які роблять це правильно, роблять щось інше. Вони будують навчання, яке задовольняє аудиторів і створює співробітників, які розуміють, чому існують регуляції, як їхні щоденні дії захищають або розкривають конфіденційні дані, і що робити, коли щось виглядає підозріло.

Ваш файрвол оновлений. Антивірус працює. Система виявлення вторгнень активна. Проте 82% витоків даних все ще залучають людський фактор, згідно зі звітом Verizon 2023 Data Breach Investigations Report.

Технологія сама по собі не може захистити вашу організацію. Людина, яка натискає на переконливий фішинговий лист, ділиться обліковими даними по телефону або підключає таємничий USB-накопичувач, може обійти мільйони доларів інфраструктури безпеки за секунди.

Навчання з кібербезпеки стало обовʼязковим для організацій, серйозних щодо кібербезпеки. Але не все навчання працює однаково. Різниця між навчанням для галочки та програмами, які дійсно змінюють поведінку, це різниця між вразливістю та стійкістю.

Людський файрвол це колективний набір тренованих поведінок, які працівники використовують, щоб блокувати кібератаки до того, як технічні контролі мають втрутитися. Ці поведінки включають звітування про підозрілі листи, оскарження неочікуваних банківських переказів та сумнів у запрошеннях у календарі від невідомих доменів. Організації зі зрілим людським файрволом зазвичай бачать на 70-80 відсотків менше успішних фішингових інцидентів порівняно з базовою лінією, згідно зі звітом Hoxhunt 2024 Phishing Trends Report. Для покупців, які оцінюють підхід цього вендора, дивіться порівняння RansomLeak проти Hoxhunt.

Фраза звучить метафорично, але дані за нею конкретні. Verizon 2024 Data Breach Investigations Report виявив, що 68 відсотків зломів включають незловмисний людський елемент: клік, неправильно надісланий файл, повторне використання облікових даних. Жодна кількість фільтрування електронної пошти або виявлення на кінцевих точках не закриває цю прогалину сама по собі. Треновані люди закривають.

Цей посібник охоплює, що насправді є людський файрвол, сім поведінок, що його визначають, реальні приклади того, як він працює, 90-денний план побудови та метрики, що доводять, що він окуповується.

Бюджетні обмеження реальні. Незалежно від того, чи ви засновник стартапу, власник малого бізнесу чи IT-менеджер у компанії, що ще не поставила інвестиції в навчання безпеки у пріоритет, вам потрібні варіанти, що не вимагають пʼятизначних сум.

Хороша новина: легітимне безкоштовне навчання з кібербезпекової обізнаності існує. Воно не зрівняється з корпоративними платформами з виділеними менеджерами успіху та необмеженою кастомізацією, але може суттєво покращити стан безпеки вашої організації.

Цей посібник відділяє справді корисні безкоштовні ресурси від маркетингових пасток, пояснює, що безкоштовні варіанти можуть і не можуть, та допомагає вирішити, коли безкоштовного достатньо, а коли ні.

Хакеру не потрібно зламувати ваше шифрування. Йому достатньо переконати одного працівника допомогти.

Атаки соціальної інженерії експлуатують людську психологію замість технічних вразливостей. Поки ваша команда безпеки оновлює програмне забезпечення та моніторить мережі, зловмисники вивчають вашу оргструктуру, профілі LinkedIn та навіть відгуки вашої компанії на Glassdoor. Вони шукають способи маніпулювати людьми за вашими захисними лініями.

Ці атаки працюють, тому що вони націлені на те, що жоден файрвол не може захистити: природні людські схильності довіряти, допомагати та підкорятися авторитету.

Кожна організація навчає працівників розпізнавати фішинг. Більшість все одно зламують.

Проблема не в обізнаності. Вона в застосуванні. Працівники, що блискуче здають тести з множинним вибором про індикатори фішингу, все одно натискають на шкідливі посилання, коли ті потрапляють до справжньої поштової скриньки. Розрив між знанням та дією — це де стаються зломи.

Навчання через симуляцію фішингу закриває цей розрив, створюючи контрольовані можливості для практики. Замість розповідей працівникам, як виглядає фішинг, симуляції їм показують та вимірюють, чи навчання перетворюється на поведінку.

$50 мільярдів. Стільки вкрали атаки компрометації бізнес-пошти (BEC) з моменту, коли FBI Internet Crime Complaint Center (IC3) почав їх відстежувати. Середній збиток на інцидент становить $125 000 згідно з даними FBI IC3, хоча деякі організації втрачають мільйони в одній атаці.

Ось що робить BEC особливо складним для захисту: немає шкідливого ПЗ для сканування, немає підозрілого вкладення для пісочниці, немає сумнівного посилання для позначення поштовим шлюзом. Ці атаки працюють через імітацію когось, кому ціль довіряє, запит чогось, що звучить розумно, і покладання на звичайні бізнес-процеси для доставки грошей.

Ваші технічні контролі їх не зловлять. Це повинні зробити ваші співробітники.

KnowBe4 домінує на ринку навчання кібербезпекової обізнаності. Але домінування на ринку не означає, що лідер найкраще обслуговує кожну організацію.

Незалежно від того, чи ви вперше оцінюєте варіанти, переростаєте поточне рішення, чи виявляєте, що підхід KnowBe4 не відповідає вашим потребам, альтернативи існують у кожній ціновій категорії та наборі функцій. Ми достатньо довго працюємо в цій сфері, щоб знати: правильна платформа навчання кібербезпекової обізнаності повністю залежить від вашого конкретного контексту.

Це порівняння охоплює, що пропонують різні платформи, де вони переважають та яким організаційним контекстам найкраще підходять.

Згідно з дослідженням Deloitte, 91% кібератак все ще починаються з електронного листа.

Це число мало змінилося за роки. Ми розгорнули спам-фільтри, безпечні поштові шлюзи, AI-виявлення аномалій та десяток інших технічних контролів. Зловмисникам все одно. Коли одну тактику блокують, вони пробують іншу. Коли виявлення ловить патерн, вони змінюють патерн.

Технологічна гонка озброєнь не може бути виграна сама по собі. Навчені співробітники додають інший вид захисту, який застосовує судження та розпізнає контекст. Добре створений спір-фішинговий лист може проскочити через кожен фільтр, але співробітник, який знає, що потрібно верифікувати неочікувані запити, все одно зупинить атаку.

Ви знаєте, як виглядає фішинг. Помилки в словах, підозрілі посилання, нігерійські принци. Ви пройшли навчання. Ви здали тести.

І все ж.

Десь зараз хтось, хто все це знає, натискає на посилання, на яке не слід. Не тому, що він необережний або дурний, а тому, що зайнятий, відволікається, а лист виглядав достатньо легітимно.

Виявлення фішингу не про знання. Це про звички, які спрацьовують автоматично, навіть коли ви думаєте не чітко.

Ваш телефон вібрує. Текст від вашого “банку” каже, що виявлено підозрілу активність на вашому рахунку. Натисніть тут для верифікації. Посилання виглядає легітимним. Повідомлення термінове.

Ви вже тягнетесь до посилання, ще не дочитавши.

Саме ця реакція робить смішинг ефективним. SMS-фішинг успішний там, де email провалюється, тому що ми роками навчались не довіряти нашим поштовим скринькам. Ніхто не навчив нас підозрювати текстові повідомлення.

Коли зловмисники хочуть максимального ефекту, вони не надсилають масові листи в надії, що хтось натисне. Вони досліджують CEO, CFO або члена правління тижнями. Вони створюють ідеальне повідомлення. Вони чекають на правильний момент для удару.

Це вейлінг: спрямований фішинг, що таргетує керівників. Він відповідає за деякі з найбільших індивідуальних збитків від шахрайства в історії кібербезпеки.

Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.

Ви даєте їм свій пароль.

Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.

Ваші працівники давно перестали працювати з захищених офісних мереж. Вони отримують доступ до корпоративних даних зі смартфонів у публічних WiFi, планшетів у кавʼярнях та ноутбуків у домашніх офісах. Цей зсув розширив вашу поверхню атаки способами, за якими більшість програм навчання безпеки ще не встигла.

Зловмисники помітили це раніше за вас. Мобільні атаки, такі як смішинг (SMS-фішинг), зросли понад 300% за останні роки, за даними звіту Proofpoint State of the Phish 2023. Той самий працівник, що ретельно оцінює кожен email на робочому компʼютері, натисне на шкідливе посилання на телефоні, не замислившись. Ця прогалина між десктопною обережністю та мобільною безтурботністю — це де відбуваються зломи.

Більшість програм з обізнаності щодо кібербезпеки помирають в LMS. Не тому, що контент поганий, а тому, що хтось купив навчання, яке не взаємодіє з їхньою платформою. SCORM існує, щоб вирішити цю проблему, і коли він працює, він працює добре. Коли ні, ви проводите три тижні в тікеті підтримки, намагаючись зрозуміти, чому дані про завершення не синхронізуються.

Цей посібник для людини, яка повинна розгорнути, відстежити та звітувати про SCORM навчання з кібербезпеки, не перетворюючи це на шестимісячний IT-проєкт.