Публикации

Театр безопасности: когда защита только играет роль

Толстые регламенты, которые никто не читает. Турникет, через который проходят «паровозиком». Ежегодный инструктаж, который сотрудники подписывают не глядя. Всё это выглядит как безопасность – и почти ничего не защищает.
Разбираемся, что такое театр безопасности, почему он опаснее простого бездействия и как от него избавиться, не ослабив реальную защиту.

Откуда взялся термин

Понятие «театр безопасности» (security theater) ввёл известный специалист по безопасности Брюс Шнайер в книге Beyond Fear (2003) и развил в отдельном эссе. Так он назвал меры, которые создают ощущение защищённости, но почти не снижают реальный риск.
Простой пример. Охранник на входе сверяет лицо посетителя с фотографией на пропуске. Выглядит надёжно. Но против настоящего злоумышленника это не работает: тот, кто решил пройти внутрь, уже позаботился о пропуске – настоящем или поддельном. В итоге проверка задержит разве что честного сотрудника, который забыл пропуск дома, а не того, ради кого её и затевали.
Насколько велик разрыв между «выглядит надёжно» и «работает на самом деле», однажды публично показала система авиабезопасности США. В 2015 году скрытые проверяющие из Министерства внутренней безопасности пронесли муляжи оружия и взрывчатки через досмотр в аэропортах в 67 случаях из 70 – это провал на 95%. Миллиарды долларов, очереди, снятая обувь – и почти нулевой результат на скрытых проверках. Это и есть театр в чистом виде: затрат и видимости много, эффективности почти нет.

Почему театр хуже, чем ничего

Бесполезная мера кажется безобидной: стоит себе и стоит. Но на самом деле у неё три вполне реальные цены.

Ложное чувство контроля

Когда руководитель видит регламент, турникет и журнал посетителей, он мысленно ставит галочку «здесь всё под контролем» и перестаёт об этом думать. Внимание ослабевает там, где его как раз нужно держать, и настоящая угроза проходит мимо.

Прямые издержки

Каждое лишнее согласование, дублирующая проверка и подпись «для порядка» – это рабочее время, замедление дел и раздражение людей. Компания платит за защиту, которой на самом деле нет.

Падение дисциплины

Самое опасное. Чем больше бессмысленных требований, тем меньше доверия ко всем правилам службы безопасности, включая по-настоящему важные. Сотрудники начинают массово обходить правила. И это не теория: разбирая корпоративные истории 2025 года, эксперты прямо называют театр безопасности «провалом управления», когда руководству докладывают, что всё в порядке (например, обучение прошли 72% сотрудников), а за этой цифрой не стоит никакого реального снижения риска.

Что говорят исследования

За каждым проявлением театра безопасности стоят измеримые результаты.

Усталость от безопасности

Национальный институт стандартов и технологий США (NIST) описал явление «усталость от безопасности» (security fatigue): когда от человека требуют слишком много решений по безопасности, он устаёт, а дальше опускает руки, теряет ощущение контроля и выбирает самый простой путь. Проще говоря: чем больше на людей, вешают правил, тем хуже они соблюдают любые из них.
NIST дал три совета, которые стоит повесить над столом у каждого специалиста по безопасности:
  • сократить число решений, которые должен принимать человек;
  • сделать так, чтобы правильное действие было самым простым;
  • сделать все требования единообразными.

Бюджет на соблюдение правил

У каждого сотрудника есть запас готовности соблюдать правила и он не бесконечен. Исследователи назвали его «бюджетом на соблюдение» (compliance budget). Пока соблюдать правило проще, чем его нарушить, человек его соблюдает. Как только это становится слишком долго, неудобно или мешает работе – начинает обходить. Театр тратит этот запас впустую: люди расходуют терпение на бессмысленные ритуалы, и его уже не остаётся на действительно важные меры.

Теневая безопасность

В продолжение той же мысли исследователи провели 118 интервью и описали «теневую безопасность» (shadow security). Сотрудники, которым официальные правила мешают работать, не просто их нарушают – они придумывают собственные обходные приёмы, которые кажутся им разумным компромиссом между делом и риском. Служба безопасности об этих приёмах обычно не знает.
Вывод авторов важный и неожиданный: с теневой безопасностью не надо бороться - её надо изучать, потому что она точно показывает, где официальные правила оторвались от реальности.

Обучение, которое не учит

Самый свежий и неудобный пример – корпоративные тренинги по защите от фишинга. В 2025 году исследователи из UC San Diego Health провели крупнейший на сегодня эксперимент: 19 500 сотрудников, восемь месяцев, десять рассылок учебных «фишинговых» писем.
Результаты разочаровывают:
  • никакой связи между недавно пройденным годовым тренингом и устойчивостью к фишингу не нашли;
  • встроенное обучение (когда попавшемуся сразу показывают разбор ошибки) снижало вероятность клика всего примерно на 2 процентных пункта;
  • за время эксперимента хотя бы раз попались около 56% сотрудников;
  • большинство тратило на сам тренинг минимум времени, фактически пролистывало его, не вникая.
Ещё точнее причину объяснила работа группы из ETH Zürich (2024): даже там, где обучение даёт эффект, дело не в его содержании (его почти не читают), а в самом напоминании об угрозе. Награды за бдительность не помогают, а фишинг – это проблема внимания, а не знаний, поэтому «обязательное» обучение бесполезно. Авторы предлагают отказаться от проверок в духе «ага, попался!» и перейти к честным учениям с понятными задачами, так же, как пожарные тревоги когда-то перестали быть внезапными проверками и стали плановыми.
Обязательный годовой инструктаж и формальные фишинговые учения классический корпоративный театр: галочка в отчёте есть, а поведение не меняется.

Где проходит граница

Здесь важна честность, иначе борьба с театром сама превратится в слепую веру. Иногда видимость защиты полезна как способ отпугнуть. Муляж камеры отпугнёт случайного нарушителя; заметный пост охраны меняет поведение посетителей; а само понимание, что «у нас принято проверять», снижает соблазн у нечестного сотрудника. Шнайер называл это разумной стороной театра: психологический эффект тоже эффект, если он осознанный и недорогой.
Проблема не в видимости как таковой, а в подмене: когда видимость выдают за защиту, перестают вкладываться в настоящую защиту и при этом несут все расходы. Граница простая, и формулируют её сами практики: если руководитель безопасности не может быстро ответить, какой именно риск снижает та или иная мера, скорее всего, перед вами театр.

Как убрать театр, не ослабив защиту

Это уже не критика, а инженерная задача. И решать её можно методами, которые корпоративная безопасность может позаимствовать у бережливого производства (подход Lean, когда из процессов убирают всё, что не приносит пользы).

  1. Проверьте все меры по принципу «риск против затрат».

Разложите процедуры службы безопасности на две стопки: те, что измеримо снижают вероятность или ущерб от конкретной угрозы, и те, что просто изображают активность. Вторая стопка – первые кандидаты на отмену.

2. Сократите число решений и преград

Прямо по советам NIST: чем меньше шагов и согласований, тем лучше люди соблюдают правила. Одно осмысленное согласование защищает лучше, чем три формальных.

3. Учитесь у «теневой безопасности»

Там, где сотрудники массово обходят правило, проблема почти всегда не в людях, а в самом правиле. Их обходные приёмы – бесплатная подсказка, как переписать правило так, чтобы оно и работало, и не мешало.

4. Измеряйте результат, а не активность

Перестаньте считать «провели N инструктажей» и «оформили N проверок». Начните считать то, что важно: предотвращённый ущерб, скорость реакции, долю реально закрытых рисков. А ресурсы, освободившиеся от театра, направьте туда, где они точно работают: технические барьеры (двухфакторная аутентификация, аппаратные ключи), предупреждения прямо в почте и кнопку «Сообщить о подозрительном письме», которая превращает сотрудников в общий сенсор угроз.
Главное, что стоит запомнить: меньше затрат — не значит меньше защиты. Чаще наоборот. Убрав спектакль, вы возвращаете себе бюджет, время и доверие сотрудников, и можете потратить их на то, что действительно держит оборону.
Как сделать службу безопасности эффективнее и при этом не тормозить бизнес подробно разберем на XVI Форуме «Безопасность бизнеса» (12–13 ноября 2026, Екатеринбург).
forum-security.ru
2026-06-02 11:25 Корпоративная безопасность