Пресса о страховании, страховых компаниях и страховом рынке

Казахстанский портал о страховании, 15 июня 2026 г.

Человеческий фактор становится ключевым риском кибербезопасности

81 просмотр

По мере ускорения цифровой трансформации и внедрения искусственного интеллекта киберриски все чаще становятся не только технологической, но и поведенческой проблемой. Организациям необходимо по-новому оценивать роль сотрудников в системе управления рисками, считает Дженни Тан, председатель сингапурского отделения Института управления рисками.

Тан, возглавляющая внутренний аудит в сингапурской группе компаний CapitaLand, выступила на круглом столе, проведенном совместно с Ассоциацией дипломированных бухгалтеров Австралии и Новой Зеландии. Участники дискуссии пришли к выводу, что компаниям необходимо уделять больше внимания управлению человеческими рисками.

Главный сдвиг заключается в том, что сотрудников больше нельзя рассматривать только как слабое звено, которое нужно контролировать.

Организациям необходимо понимать, измерять и корректно влиять на поведение людей как на один из ключевых элементов управления рисками. «Управление человеческими рисками выходит за рамки традиционной подготовки специалистов по информационной безопасности, делая акцент на человеческом факторе и признавая, что люди являются как первой линией обороны, так и потенциальной уязвимостью», — сказала Тан.

Человеческий фактор остается одной из главных причин утечек данных и киберинцидентов во всем мире. По оценкам исследований, до 90–95% утечек данных так или иначе связаны с действиями или ошибками человека. Это могут быть невнимательность, усталость, слабая осведомленность, давление со стороны руководства, недостаток инструментов, ошибки в процессах или особенности корпоративной культуры.

По словам Тан, технологические сбои часто получают больше внимания, но их первопричины нередко лежат в поведении людей. Сотрудники могут принимать рискованные решения из-за перегрузки, нехватки знаний, стремления быстрее достичь результата или из-за того, что в организации фактически поощряется скорость в ущерб контролю.

Участники дискуссии провели параллель между киберинцидентами и финансовым мошенничеством. Мошенничество редко возникает из-за одного фактора. Обычно оно формируется на пересечении давления, возможности и рационализации — подход, известный как «треугольник мошенничества», предложенный криминологом Дональдом Кресси.

Такая логика применима и к киберрискам. Если сотрудники работают в условиях высокого давления, не видят личной ответственности, имеют избыточный доступ к системам или считают, что результат важнее соблюдения процедур, риск ошибок и нарушений возрастает. Токсичная корпоративная культура, менталитет «победа любой ценой» и слабая реакция руководства на нарушения могут постепенно нормализовать рискованное поведение.

Для страхового рынка это имеет прямое значение. Киберстрахование, страхование преступлений, страхование ответственности директоров и должностных лиц, профессиональная ответственность и технологические покрытия все чаще сталкиваются с убытками, в основе которых лежит не только атака извне, но и внутренняя уязвимость организации.

Это меняет подход к андеррайтингу. Страховщикам важно понимать не только техническую защиту клиента — наличие многофакторной аутентификации, резервного копирования, мониторинга и защиты конечных устройств. Не менее важно оценивать культуру управления, распределение доступов, обучение сотрудников, работу с внутренними угрозами, систему информирования о нарушениях и независимость внутреннего аудита.

Тан подчеркнула, что распространенной ошибкой является стремление полностью устранить риски. По ее словам, организациям следует понимать: задача состоит не в полном устранении риска, что практически невозможно, а в его снижении до приемлемого уровня.

При этом поведение человека можно менять. Этому способствуют правильное сочетание управления, культуры, стимулов и контроля. Надежные внутренние процедуры, независимые аудиты, системы сообщения о нарушениях, открытая коммуникация с сотрудниками и непрерывное обучение помогают снизить возможности для неправомерных действий.

Особую роль играет этическое лидерство. Руководство задает тон всей организации: если топ-менеджмент демонстрирует, что соблюдение правил, безопасность и ответственность важны не меньше финансового результата, сотрудники воспринимают контроль не как формальность, а как часть нормальной деловой практики.

Технологии также становятся важным инструментом управления человеческими рисками. Анализ данных и системы мониторинга на основе искусственного интеллекта могут выявлять необычные модели поведения, признаки внутренних угроз или повышенные индикаторы риска до того, как ситуация перерастет в серьезный инцидент.

По словам Тан, 53% организаций уже используют инструменты выявления внутренних рисков на основе искусственного интеллекта. Однако многие такие инициативы пока не встроены в более широкую систему управления персоналом и корпоративными рисками.

В то же время использование таких технологий само по себе создает новые вопросы. До какой степени организация вправе оценивать рискованность поведения сотрудников? Насколько комфортно людям работать в условиях постоянного цифрового мониторинга? Как соблюсти баланс между безопасностью, доверием, конфиденциальностью и корпоративной культурой?

Эти вопросы особенно чувствительны в Азии, где ожидания в отношении иерархии, доверия, лояльности и приватности могут отличаться от западных моделей корпоративного управления.

Тан отмечает, что внедрение управления человеческими рисками в Сингапуре и Азии пока остается открытым вопросом. Хотя 56% организаций называют риски, связанные с человеческим капиталом, одними из главных организационных рисков, признание проблемы еще не означает наличие зрелой системы управления.

Для страхового рынка это означает, что человеческий фактор будет все чаще становиться частью оценки качества риска. Компании с сильной культурой контроля, прозрачным управлением, независимым аудитом и зрелой системой обучения персонала могут выглядеть более привлекательными для страховщиков. Напротив, организации с высоким давлением на сотрудников, слабым контролем доступов и формальным отношением к киберобучению могут сталкиваться с более жестким андеррайтингом.

В конечном счете управление человеческими рисками — это не просто еще одна процедура комплаенса. Это признание того, что люди одновременно являются главным источником уязвимости и самой сильной линией защиты организации.

Успеха, вероятно, добьются те компании, которые смогут соединить технологическую защиту, этическое лидерство, прозрачное управление и культуру ответственного поведения. В цифровой экономике управление человеческими рисками может стать одной из ключевых задач руководства на ближайшее десятилетие.

Подготовлено порталом AllInsurance.kz

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »