Киберриски вошли в топ главных угроз для персонала в глобальном исследовании Marsh за 2026 год. По данным исследователей, компании всё сильнее зависят не только от защитных систем, но и от того, насколько сотрудники понимают киберугрозы, умеют работать с ИИ, обращаются с данными и соблюдают внутренние правила. В центре внимания оказались не хакеры сами по себе, а человеческий фактор, превращающий технологический сбой или ошибку в серьёзные потери для бизнеса.
Отчёт Marsh «Риски, связанные с персоналом, за 2026 год» построен на интервью с более чем 4500 специалистами по управлению персоналом и рисками на 26 мировых рынках. Исследование показывает, что технологические изменения, цифровые сбои, нехватка специалистов и слабая подготовка сотрудников превратились в часть кадровой повестки. Киберриски больше не живут одной лишь темой для ИТ-директора или SOC-команды.

Интересно, что в рейтинге Marsh человеческая киберграмотность обогнала по значимости даже нехватку технических специалистов и проблемы с внедрением ИИ.

На 1-м месте среди рисков оказалась грамотность сотрудников в вопросах киберугроз. Бизнес может закупать современные средства защиты, страховать риски и строить процессы реагирования, но без понимания персоналом ключевых угроз вся конструкция теряет смысл. Сотрудникам приходится распознавать целый набор атак:

фишинговые письма с поддельными отправителями;
запросы на смену реквизитов и срочные платежи;
опасные вложения и ссылки от мнимых партнёров;
утечки данных через личные облака и мессенджеры;
ошибки при работе с ИИ-сервисами.

На 3-м месте в исследовании Marsh оказалась нехватка технических специалистов, в том числе в области защиты цифровой инфраструктуры и искусственного интеллекта. Для компаний картина двойная. Число киберугроз растёт, а людей со способностью проектировать защиту, безопасно внедрять ИИ и разбирать сложные инциденты не хватает.
На 6-м месте оказались барьеры мышления, мешающие внедрению ИИ. Marsh относит к ним сразу несколько проблем:

слабое понимание реальных рисков ИИ-систем;
недостаток знаний о мерах снижения угроз;
несоблюдение сотрудниками правил работы с ИИ;
путаница в зонах ответственности за ИИ-результат;
нехватка внутренних регламентов по чувствительным данным.

ИИ давно превратился в рабочий инструмент, но многие организации ещё не научились объяснять персоналу, что можно вводить в модель, какие данные нельзя отправлять во внешние сервисы и кто отвечает за итоговый результат.
Неправильное обращение с данными и интеллектуальной собственностью заняло 7-е место. Утечки давно не ограничиваются персональными данными клиентов. Под угрозой оказываются коммерческие документы, исходный код, финансовые модели, стратегии, клиентские базы и внутренняя экспертиза. Один неудачный файл в неправильном сервисе обходится компании потерей денег, доверия и конкурентных позиций.
В Marsh считают, что подобные факторы вместе повышают вероятность атак и утечек, ухудшают способность компаний адаптироваться к меняющейся среде угроз, снижают конкурентоспособность и бьют по репутации. В этой логике человек становится не слабым звеном по умолчанию, а частью системы управления рисками.
Проблема низкой осведомлённости сотрудников хорошо знакома рынку, но никуда не исчезает. В январе Агентство по киберзащите и инфраструктурной защите США выпустило новые рекомендации для команд защиты ради снижения рисков от действий инсайдеров. Подобные документы лишний раз показывают значимость внутренних ошибок, усталости, невнимательности и нарушения процедур наравне с внешними атаками.
Директор по брокерским услугам британской компании Assured Эд Вентхэм считает акцент на грамотности оправданным, но не раскрывающим всю проблему целиком. По мнению Эда Вентхэма, бизнесу значимо понимать не только знания сотрудников о рисках, но и развитие событий после инцидента. Существенный ущерб может прийти не одной лишь классической атакой, а через технологический сбой, неправильную работу системы или отказ платформы.
Эд Вентхэм отметил, что подобные события приводят к остановке операций, перебоям в бизнес-процессах и реальным финансовым потерям. Даже без вымогателей или утечки базы инцидент способен сорвать поставки, нарушить договорные обязательства, остановить сервисы и ударить по выручке.

Эксперты отмечают, что около 40% компаний с системной работой по человеческим рискам сообщили о росте производительности, превратив управление рисками в инструмент конкурентной борьбы.

Marsh связывает управление человеческими рисками с конкурентным преимуществом. Около 40% респондентов с системным подходом к теме отчитались о росте производительности и эффективности труда. Ещё 36% отметили ускорение прогресса в стратегических инициативах, среди которых внедрение ИИ.
Президент подразделения здравоохранения и льгот компании Mercer Эрве Бальцано отметил, что в 2026 году устойчивость организаций будет зависеть от инвестиций в сотрудников. По оценке Эрве Бальцано, компаниям необходимо развивать нужные навыки, поддерживать здоровье и финансовое благополучие персонала, а также перестраивать рабочие процессы для совместной эффективной работы людей и технологий.
Практические рекомендации Marsh выглядят довольно приземлённо. Компаниям предлагается набор шагов:

шире смотреть на киберриски и охватывать операционные технологии;
встраивать в периметр HR-процессы, льготы и подрядчиков;
заранее моделировать потенциальные угрозы и сценарии;
нанимать сильных технических специалистов;
сохранять человеческий контроль над критически важными системами.

Для бизнеса главный сигнал звучит так. Киберриски больше не живут отдельно от кадровой стратегии. При перегруженных и плохо обученных сотрудниках без понимания политики по ИИ компания получает не одну техническую уязвимость, а полноценную управленческую дыру.
В редакции CISOCLUB уверены, что киберзащита становится частью управления людьми, а не только вопросом технологий. Компаниям необходимо работать с киберграмотностью, усталостью, нехваткой специалистов, правилами применения ИИ и готовностью бизнеса к сбоям как с единой системой рисков. Выигрывать будут организации с умением соединять технологии, обучение персонала, управление инцидентами и понятную ответственность на уровне руководства.