Компании рискуют из-за слабой аутентификации и устаревших паролей
Большинство компаний продолжают использовать устаревшие методы аутентификации, такие как пароли и SMS-коды, которые остаются уязвимыми для атак, а сотрудники редко получают актуальное обучение по кибербезопасности, что снижает их способность распознавать угрозы. В условиях роста атак с применением ИИ, позволяющих создавать убедительные фишинговые материалы, многие работники не могут отличить текст, сгенерированный ИИ, от написанного человеком.
По данным Yubico, большинство организаций продолжают использовать устаревшие и уязвимые методы аутентификации. В сочетании с несформированными у сотрудников привычками к цифровой безопасности это создает значительные риски. В исследовании выявлены ключевые факторы, способствующие слабой защищенности: пробелы в обучении, устаревшие политики и неправильное восприятие угроз.
40% сотрудников никогда не проходили обучение по кибербезопасности. Даже среди тех, кто обучался, информация часто неактуальна — компании редко обновляют политики безопасности в течение месяцев. Это приводит к тому, что работники не готовы к современным угрозам и продолжают полагаться на привычные, но небезопасные методы. Такие действия увеличивают вероятность атак, основанных на социальной инженерии и краже учетных данных.
Пароли и SMS-коды остаются в центре внимания
Пароли до сих пор являются основным способом аутентификации в компаниях. Вместе с SMS-кодами они уязвимы для фишинга, утечек данных и других атак. Несмотря на существование более надежных инструментов, таких как passkeys, которые хранят учетные данные на физических устройствах и защищены от фишинга, они используются редко.
Важную роль играет восприятие сотрудников. Если они считают старые методы надежными, компании продолжают их поддерживать, игнорируя более современные и безопасные альтернативы. Это подчеркивает необходимость синхронизации политики безопасности с реальным уровнем осведомленности и поведением работников.
Работа и личные устройства — смешение рисков
Смешение личной и рабочей активности на одних устройствах — еще одна проблема. Многие работники используют корпоративные ноутбуки для личной почты, а личные смартфоны — для входа в рабочие аккаунты. В таких случаях двухфакторная аутентификация (MFA) часто отсутствует, что создает уязвимость. Некоторые сотрудники избегают MFA, считая ее сложной или медлительной, другие просто не знакомы с доступными инструментами.
Такое поведение позволяет злоумышленникам использовать украденные личные учетные данные для атак на корпоративные системы. В результате компрометация на уровне дома может перерасти в угрозу на уровне бизнеса, минуя корпоративные сети.
AI меняет правила игры
Большинство респондентов заявили, что теперь считают свои аккаунты более уязвимыми из-за использования ИИ злоумышленниками. С помощью ИИ атакующие могут создавать убедительные фишинговые письма, поддельные сайты и даже аудио- и видеозаписи, имитирующие доверенных сотрудников. Это снижает порог входа для массовых атак и делает их более эффективными.
Исследование также проверило способность людей распознавать текст, сгенерированный ИИ. Большинство респондентов не справились с заданием, путая текст, написанный человеком, с машинным. Это демонстрирует, насколько сложно становится полагаться на интуицию при оценке подлинности сообщений.
Интересно: Какие шаги действительно снизят риски атак, если сотрудники продолжают использовать уязвимые методы аутентификации?
Почему устаревшие методы аутентификации остаются главной уязвимостью бизнеса
Система безопасности не успевает за реальностью
Компании продолжают использовать устаревшие методы аутентификации, которые давно доказали свою ненадежность. При этом корпоративные политики безопасности часто остаются необновленными, а сотрудники — недостаточно обученными. В результате, даже при наличии технологических решений, способных предотвратить кибератаки, бизнесы остаются уязвимыми.
Ключевая проблема заключается в том, что политики безопасности создаются с учетом идеальных условий, тогда как реальное поведение сотрудников не учитывается. Например, 40% работников никогда не проходили обучение по кибербезопасности, а те, кто проходил, получали информацию, которая со временем устарела. Это создает ложное ощущение безопасности: сотрудники уверены, что ничего плохого не случится, пока не станет слишком поздно.
Новый контекст показывает, что масштабы ущерба от кибератак растут. В 2025 году, по данным аналитиков, число ботнет-атак в России увеличилось на 34% по сравнению с 2024 годом. Также зафиксирован резкий рост атак на Android-устройства — в 36 раз. Это связано с тем, что злоумышленники все чаще используют встроенные инструменты ОС и повседневные форматы файлов для распространения вредоносного ПО, что делает их атаки менее заметными.
Пароли и SMS-коды: удобство, которое становится угрозой
Пароли и SMS-коды остаются в центре внимания не из-за их надежности, а из-за привычности. Компании не торопятся отказываться от этих методов, несмотря на существование более безопасных альтернатив, таких как passkeys. Эти последние обеспечивают защиту от фишинга, хранят учетные данные на физических устройствах и не требуют ввода логина и пароля. Однако внедрение passkeys требует изменений в поведении пользователей и в инфраструктуре компании — факторы, которые часто игнорируются из-за сложности перехода.
Неочевидный риск возникает из-за того, что сотрудники, воспринимающие старые методы как надежные, не видят смысла в переходе. Это создает инерцию в системе безопасности, которая может длиться годами. Компаниям приходится выбирать: либо подстраиваться под поведение сотрудников, либо вводить строгие меры, что может сопровождаться сопротивлением и снижением продуктивности.
К чему это ведет? Даже если организация внедрит передовые технологии, она останется уязвимой, если сотрудники не будут использовать их правильно. Без изменения поведения, технические улучшения — лишь иллюзия безопасности.
ИИ повышает эффективность атак, но не снижает их стоимость
Использование ИИ злоумышленниками стало новым вызовом. Теперь фишинговые письма, поддельные сайты и даже аудио- и видеозаписи создаются с высокой степенью реалистичности. Это делает атаки более убедительными и трудноразличимыми для обычного пользователя.
Исследование показало, что большинство сотрудников не могут отличить текст, сгенерированный ИИ, от текста, написанного человеком. Это означает, что традиционные методы обучения, основанные на распознавании признаков фишинга, становятся менее эффективными. Злоумышленники могут маскироваться под доверенных сотрудников, что делает их атаки особенно опасными для корпоративных систем.
Тренд: С ростом использования ИИ в атаках, компании должны пересмотреть подходы к обучению сотрудников. Теперь безопасность зависит не от знания признаков фишинга, а от умения критически оценивать любую информацию, приходящую из внешнего источника.
Дополнительная информация указывает, что в 2025 году фишинговые атаки стали технически более сложными. Количество выявленных фишинговых сайтов почти удвоилось по сравнению с 2024 годом. Это связано с ростом организованности киберпреступности, где синдикаты работают по бизнес-моделям с KPI и CRM-системами. Фишинг играет ключевую роль в распространении утечек персональных данных, включая логины, пароли и информацию из государственных систем.
