Российские платформы Security Awareness: сравнение 10 решений

Российские решения Security Awareness: сравнение платформ для обучения киберграмотности

Российские решения Security Awareness: сравнение платформ для обучения киберграмотности

Сравниваем российские решения класса Security Awareness по 40+ критериям: учебные курсы, имитация фишинга, кастомизация, отчётность, лицензирование и поддержка. Также отмечаем, на что обратить внимание при выборе. Материал поможет быстро оценить рынок и составить короткий список решений для «пилота».

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Зачем повышать киберграмотность сотрудников?
  3. 3. Как выбрать платформу Security Awareness для обучения сотрудников
  4. 4. Методология сравнения российских решений по повышению киберграмотности (Security Awareness)
  5. 5. Сравнение решений по повышению киберграмотности (Security Awareness) от российских компаний
  6. 6. Выводы

Введение

Информационно-аналитический центр Anti-Malware.ru известен «большими» сравнениями продуктов и решений, где мы даём детализированные описания по множеству критериев и опираемся на данные из анкет, заполняемых участниками рынка. Так, недавно мы представили наше обновлённое сравнение российских SIEM-систем в двух частях.

Вместе с тем в большом сравнении легко заблудиться, и поэтому нам хочется обогатить портфель аналитики более краткими и ёмкими сравнениями, с помощью которых можно было бы увидеть самые значимые и интересные свойства продуктов, услуг и решений. Этот новый формат мы назвали блиц-сравнением.

Первый рыночный сегмент, который мы представим в этом формате, — решения по повышению киберграмотности сотрудников (Security Awareness). 

Коротко о сегменте:

  • 600 млн рублей в 2023 году,
  • прогнозируемый ежегодный рост на 40–50 %,
  • объём до 2,4 млрд рублей к 2027 году,
  • каждый второй россиянин заинтересован в том, чтобы учиться киберграмотности,
  • главный драйвер — лавинообразный рост фишинга.

Подробности — в нашем обзоре рынка.

Зачем повышать киберграмотность сотрудников?

Социальная инженерия остаётся одним из главных векторов атак на организации любого масштаба. Риск касается не только крупных компаний, но и малого и среднего бизнеса. Раньше те часто считали себя менее интересной целью, но эта логика уже не работает.

Чаще всего злоумышленники используют фишинг: письма, сообщения, поддельные страницы, дипфейковые звонки и другие сценарии давления на человека. Цель обычно одна — получить логины, пароли, платёжные данные или доступ к внутренним системам.

Фишинг становится масштабнее из-за генеративного ИИ. По данным RED Security, число сгенерированных вредоносных писем выросло в 1,5 раза. Атаки стало проще готовить, дешевле запускать и легче адаптировать под конкретную компанию. Опытные группировки дополнительно продают вредоносные программы как услугу и предлагают атаки «под ключ».

Повторимся: небольшие компании тоже попадают в зону риска. У них часто ограниченный бюджет на информационную безопасность, поэтому атаковать их проще. Кроме того, через подрядчиков и партнёров злоумышленники могут добраться до более крупных целей. Так работают атаки на цепочки поставок.

На этом фоне бизнес всё чаще обсуждает, как защищать компании с ограниченными ресурсами. Рынок тоже реагирует: поставщики предлагают форматы, которые не требуют большой команды ИБ и сложного внедрения.

Один из практичных способов снизить риск — развивать киберграмотность сотрудников. Люди должны понимать, как выглядят фишинг, манипуляции, подозрительные вложения и нестандартные запросы. Чем лучше сотрудники распознают такие сценарии, тем ниже вероятность успешной атаки через человеческий фактор.

Поэтому в сторону обучения персонала — или, иначе, повышения осведомлённости сотрудников в сфере информационной безопасности — смотрят сейчас и малый бизнес, и средний, и крупный, и даже государственные органы. Например, ГК «Солар» в 2024 году обучила киберграмотности 500 сотрудников Минцифры России, благодаря чему те почти перестали реагировать на уловки злоумышленников.

На российском рынке уже есть широкий выбор платформ и сервисов Security Awareness. Их предлагают как специализированные компании, так и крупные поставщики ИБ-услуг. Задача заказчика — понять, какие возможности действительно нужны, а какие будут лишними для его масштаба, процессов и бюджета.

Как выбрать платформу Security Awareness для обучения сотрудников

В эфире телепроекта AM Live «Повышение киберграмотности сотрудников (Security Awareness)» Денис Батранков, директор по развитию бизнеса группы компаний «Гарда», рассказал, что в одной компании, где внедрили обучение борьбе с угрозами, только четверть сотрудников прошли курсы, а большинство провели в учебном модуле в среднем 10 секунд — то есть, проще говоря, открыли и сразу закрыли.

Делаем простой вывод: в повышении осведомлённости главное — чтобы оно работало. От него должен быть реальный эффект. Важно, чтобы люди не относились к нему формально, как к очередной тягости, навязанной руководством ради неких никому не понятных целей.

Поэтому первым делом смотрим на то, как построен процесс обучения. Хорошо, когда поставщик услуги готов предоставить профессионала, способного этот процесс организовать. Чтобы сделать обучение эффективным, надо знать и понимать, кому какой материал нужен, в каком порядке его следует осваивать, как проверить знания и закрепить их. Одно дело, когда поставщик просто продаёт набор курсов, и другое — когда строит образовательный процесс на научной основе.

Хорошо, когда поставщик понимает, что учёба для людей — не главное, чем они занимаются. Короткие уроки, акцент на практику, доступное изложение, игровые элементы (геймификация), немного уместного юмора, высокая степень наглядности — вот некоторые признаки такого курса, который люди, скорее всего, будут осваивать более охотно.

Также в числе лучших практик — персонализация, микрообучение в момент ошибки, положительное подкрепление безопасного поведения при встрече с угрозой. У многих поставщиков есть, например, кнопки или плагины, позволяющие одним щелчком передавать подозрительные письма в службу ИБ или центр мониторинга (SOC). На этой основе можно выделять и отмечать тех, кто бдителен, возможно, даже премировать их за устойчивость к манипуляциям.

Алгоритм выбора поставщика услуг или платформы Security Awareness:

  •   Шаг 1: определите формат поставки. Это может быть облачный сервис, локальное развёртывание (on-premise) или модель MSSP, при которой поставщик берёт на себя часть операционной работы. Формат влияет на скорость запуска, требования к инфраструктуре, контроль данных и стоимость владения.
  •   Шаг 2: проверьте глубину кастомизации. Уточните, что именно можно адаптировать под компанию: интерфейс, учебные материалы, вопросы в тестах, фишинговые шаблоны, сценарии атак, роли пользователей. На рынке под кастомизацией понимают разные вещи — от смены логотипа до полноценного конструктора курсов.
  •   Шаг 3: разберите, как работает имитация атак. Она может быть встроенной частью платформы или отдельной услугой. Проверьте, какие шаблоны доступны, можно ли создавать собственные сценарии, какие действия пользователей фиксируются и поддерживаются ли дополнительные форматы проверок, например через USB-носители.
  •   Шаг 4: оцените аналитику и отчётность. Важно видеть не только набор цифр, но и динамику: кто прошёл обучение, где сохраняются слабые места, какие подразделения чаще ошибаются, как меняется устойчивость сотрудников после повторных проверок. Без такой аналитики сложно принять управленческое решение.
  •   Шаг 5: рассчитайте стоимость внедрения и владения. Для Security Awareness важна не только цена лицензии. В TCO входят запуск, сопровождение, кастомизация, интеграции, поддержка, обновление материалов и трудозатраты внутренней команды. Чем прозрачнее поставщик раскрывает стоимость, тем проще планировать бюджет.

Эти и другие критерии выбора отражены, среди прочего, и в нашем блиц-сравнении.

Методология сравнения российских решений по повышению киберграмотности (Security Awareness)

Для обзорного сравнения отобраны 10 решений класса Security Awareness с возможностью онлайн-подключения или локального развёртывания (on-premise) от российских компаний — как специализированных, так и широкопрофильных. Перечень участников сравнения отражает наше мнение о спектре наиболее заметных игроков на этом рынке. 

При этом мы стремились охватить и опытных вендоров, и «начинающих», для которых предоставление решений по повышению осведомлённости в сфере ИБ является сравнительно новым направлением деятельности. Поэтому в сравнении представлены не только те, кто предлагает собственную платформу, но и те, кто оказывает услуги на базе стороннего решения — лицензированного или полученного благодаря слияниям, поглощениям или приобретениям долей в бизнесах.

Для блиц-сравнения мы сформировали список из 44 критериев, разбитых на группы.

Блок № 1 — «Общие сведения». Здесь мы описываем поставщика и его решение самыми широкими мазками: название, сайт, комплаенс и пр. Особо выделен критерий по пригодности для нужд малого бизнеса.

Блок № 2 — «Учебные курсы». Это первая функциональная половина Security Awareness —  теоретическая подготовка. Мы смотрим на то, какие есть курсы и в каком формате они поставляются.

Блок № 3 — «Учебные атаки». Имитационный фишинг и прочая подобная активность — практическая половина повышения осведомлённости. У кого-то курсы и атаки неотделимы друг от друга, кто-то их предлагает и поставляет раздельно.

Блок № 4 — «Кастомизация и эксплуатация». Например, у многих есть возможность брендирования под заказчика. Ряд поставщиков готовы брать на себя все оргмоменты по обучению и проверкам знаний.

Блок № 5 — «Отчёты». Очень важно иметь чёткое и ясное представление о результатах, прогрессе, динамике повышения осведомлённости. От отчётности зависит, какие решения будут приняты — так что чем она информативнее, тем лучше.

Блок № 6 — «Техническая поддержка и лицензирование». Самое важное здесь — цена, а также скорость получения помощи, если что-то идёт не так. 

Собранные нами данные можно посмотреть в следующем разделе. 

Сравнение решений по повышению киберграмотности (Security Awareness) от российских компаний

 

Таблица 1. Общие сведения, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Поставщик

Infosecurity 

(ГК Softline)

Kaspersky

Phishman

RED Security

Secure-T

Веб-сайт

in4security.com

kaspersky.com

phishman.ru

redsecurity.ru

secure-t.ru

Комплаенс (соответствие каким требованиям позволяет обеспечить)

Поставщик не указывает конкретные документы, но отмечает, что регуляторные предписания в области ИБ-осведомлённости требуют подтверждения того, что сотрудники осведомлены о рисках и правилах, чего достаточно для внутреннего и внешнего аудита

Федеральные законы № 152-ФЗ, 187-ФЗ

Постановления Правительства РФ № 313 от 16 апреля 2012 г., № 541 от 15 июня 2016 г., № 584 от 27 июня 2016 г.

ГОСТ Р 57580.1-2017

Положения Банка России № 382-П и № 552-П

Федеральные законы № 98-ФЗ, 152-ФЗ, 187-ФЗ

Приказы ФСТЭК России № 117, 235, 239

ГОСТ Р 57580.1-2017

ГОСТ Р 56939-2024

Положение Банка России № 757-П

PCI DSS
Требования Закона РБ от 7 мая 2021 г. № 99-З «О защите персональных данных»

Федеральные законы № 98-ФЗ, 149-ФЗ, 152-ФЗ, 187-ФЗ

Указ Президента РФ № 250, а также указы от 02.07.2021 № 400 и от 09.05.2017 № 203

Приказы ФСТЭК России № 117 и 239, а также 34‑2012 (частично) и 21‑2020

ГОСТ Р 52245‑2004, ГОСТ 57580.1-2017, ГОСТ Р 56939-2024

Положение Банка России № 757-П

Федеральные законы № 98-ФЗ, 152-ФЗ, 187-ФЗ

Указ Президента РФ № 250

Приказы ФСТЭК России № 117 и 239

ГОСТ 57580.1-2017, ГОСТ Р 56939-2024

Положение Банка России № 757-П

ПО, на базе которого построено решение, в реестре Минцифры

Запись № 32558 от 18.03.2026

Запись № 6076 от 19.11.2019

Запись № 10048 от 02.04.2021

Запись № 6076 от 19.11.2019

Запись № 6076 от 19.11.2019

Запись № 11151 от 21.07.2021

Подходит для малого бизнеса

Да

(от 10 сотрудников)

Да

(от 5 сотрудников)

Да

Да

Да

Обзор на Anti-Malware.ru

Отсутствует

Обзор Kaspersky ASAP

(2020 г.)

Отсутствует

Обзор сервиса повышения киберграмотности МТС RED

(2023 г.)

Отсутствует

 

Таблица 2. Общие сведения, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Поставщик

ГК «Солар» 

Start X

T2

UBS

МегаФон

Веб-сайт

rt-solar.ru

startx.team

t2.ru

ubs.ru

megafon.ru

Комплаенс (соответствие каким требованиям позволяет обеспечить)

Федеральные законы № 98-ФЗ, 152-ФЗ, 187-ФЗ

Указ Президента РФ № 250

Приказы ФСТЭК России № 117 и 239

ГОСТ 57580.1-2017, ГОСТ Р 56939-2024

Положение Банка России № 757-П

Федеральные законы № 98-ФЗ, 152-ФЗ, 187-ФЗ

Указ Президента РФ № 250

Приказы ФСТЭК России № 17, 31 и 239

ГОСТ 57580.1, ГОСТ Р ИСО/МЭК 27002-2012,

ГОСТ Р 56939-2016

Положения Банка России № 382-П, 719-П

PCI DSS

Поставщик не указывает конкретные документы

Федеральные законы № 152-ФЗ и 187-ФЗ

Приказы ФСТЭК России № 235 и 239

ГОСТ Р 57580.1-2017

Положение Банка России № 552-П



Федеральные законы № 98-ФЗ, 152-ФЗ, 187-ФЗ

Указ Президента РФ № 250

Приказы ФСТЭК России № 117 и 239

ГОСТ 57580.1-2017, ГОСТ Р 56939-2024

Положение Банка России № 757-П

ПО, на базе которого построено решение, в реестре Минцифры

Запись № 11151 от 21.07.2021

Запись № 6472 от 07.04.2020

Сведения отсутствуют

Сведения отсутствуют

Запись № 11151 от 21.07.2021

Подходит для малого бизнеса

Да

Нет

(от 200 сотрудников)

Да

Да

Да

Обзор на Anti-Malware.ru

Отсутствует

Обзор платформы «Антифишинг» 

(2020 г.)

Отсутствует

Отсутствует

Обзор МегаФон Security Awareness

(2022 г.)

 

Таблица 3. Учебные курсы, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Онлайн-курсы

Да

Да

Да

Да

Да

Возможность развёртывания курсов локально (on-premise)

Частично

(есть возможность приобретения SCORM-пакетов для сторонних LMS)

Да

Да

Да

Да

Автоназначение курсов сотрудникам

Да

Да

Да

Да

Да

Готовые учебные материалы

Да

(100+ материалов)

Да

(39 модулей)

Да

(8 модулей в базовой версии, 42 — в расширенной)

Да

(от 40+ в расширенной версии)

Да

(115+ материалов)

Тематика курсов

(основные направления)

•  Безопасная разработка веб-приложений

•  Безопасная разработка мобильных приложений

•  Безопасное использование АРМ

•  Выявление признаков поддельных деловых коммуникаций

•  Дистанционная работа без нарушений ИБ

•  Защита личного аккаунта и гаджетов от мошенников

• Защита от угроз социальной инженерии

•  Защита чувствительной информации организации

• Поддержка физической безопасности организации

• Понимание основ ИБ и использование их в работе

• Создание безопасных паролей и настройка аутентификации

• Атаки на топ-менеджмент и от имени топ-менеджеров

• Атаки на цепочку поставок

• Безопасная работа в интернете

• Безопасная удалённая работа

• Безопасность банковских карт и PCI DSS

• Безопасность в соцсетях и мессенджерах

• Безопасность компьютеров

• Безопасность криптовалют

• Безопасность электронной почты

• Вишинг: борьба с телефонными мошенниками

• Доксинг

• Законодательство и комплаенс

• Защита конфиденциальных данных

• Защита мобильных устройств

• Искусственный интеллект и нейросети

• Кибербезопасность промышленных систем

• Культура киберграмотности

• Общий регламент по защите данных (GDPR)

• Реагирование на инциденты

• Пароли и учётные записи

• Антивирусная защита

• Безопасная работа с ИИ

• Безопасная разработка

• Безопасная удалённая работа

• Безопасность в мессенджерах

• Взаимодействие ИТ и ИБ

• Вишинг

• Законодательство и комплаенс

• Защита конфиденциальной информации

• Защита мобильных устройств

• Основы ИБ

• Ответственность за правонарушения в сфере ИБ

• Пароли

• Почтовый фишинг

• События и инциденты ИБ

• Социальная инженерия

• Фишинговые сайты

Есть также отраслевые спецкурсы (например, по защите ОКИИ)

• Антивирусная защита

• Безопасная работа с ИИ

• Безопасная разработка

• Безопасная удалённая работа

• Безопасность в мессенджерах

• Введение в киберугрозы

• Взаимодействие ИТ и ИБ

• Законодательство и комплаенс

• Защита конфиденциальной информации

• Защита мобильных устройств

• Защита от фишинга

• Обеспечение ИБ объектов КИИ

• Основы ИБ

• Отраслевая ИБ

• Пароли

• Профилактика инцидентов ИБ

• Роль подразделений в обеспечении ИБ

• События и инциденты ИБ

• Социальная инженерия

• Управление ИБ

• Безопасная разработка

• Безопасность в мессенджерах

• Законодательство и комплаенс

• Пароли

• Персональная безопасность

• Распознавание фишинга

Есть также дополнительные курсы от партнёров

(см. магазин)

Курсы по безопасной разработке

Частично

(в тарифе PRO)

Нет

Да

Да

Да

Курсы для топ-менеджмента

Нет

Да

Да

Да

Да

Командные игры

Нет

Да

(14 отраслевых сценариев)

Нет

Нет

Нет

Возможность загружать свой контент

Да

(зависит от тарифного плана)

Да

Да

Да

(загрузка производится MSS-провайдером)

Да

Аналитика по каждому сотруднику

Да

Да

Да

Да

Да

Способы добавления пользователей в курсы

Пригласительная ссылка (бесплатный тарифный план), импорт из файла (базовый тарифный план), синхронизация с источником данных (расширенный тарифный план)

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Обновление учебных курсов и материалов

Бесплатный тарифный план — при изменении нормативной базы

Платные тарифные планы — ежемесячно

Сведения о режиме обновления отсутствуют

В течение срока действия подписки

(в среднем раз в полгода)

В течение срока действия подписки

(периодичность не указана)

В течение срока действия подписки

(периодичность не указана)

 

Таблица 4. Учебные курсы, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Онлайн-курсы

Да

Да

Да

Да

Да

Возможность развёртывания курсов локально (on-premise)

Да

Да

Да

Да

Да

(в т. ч. офлайн-режим)

Автоназначение курсов сотрудникам

Да

Частично

(через планировщик)

Сведения отсутствуют

Нет

Да

Готовые учебные материалы

Да

(150+ материалов)

Да

(18 курсов)

Да

(100+ курсов)

Да

(35 курсов)

Да

Тематика курсов

(основные направления)

• Актуальный ландшафт цифровых угроз

• Безопасная работа в интернете

• Безопасная работа с электронной почтой

• Безопасная разработка

• Безопасная удалённая работа

• Защита мобильных устройств

• Пароли и парольные политики

• Физическая кибербезопасность

• Безопасная работа в интернете

• Безопасная работа в мессенджерах

• Безопасная работа с электронной почтой

• Защита конфиденциальных данных

• Основы ИБ

• Основы физической безопасности

• Пароли

• Безопасная удалённая работа

• Защита персональных данных

• ИБ для ИТ-персонала

• ИБ для руководителей

• Пароли

• Фишинг

• Безопасная работа с электронной почтой

• Безопасная удалённая работа

• Безопасное использование съёмных носителей

• Безопасность в интернете

• Безопасность в соцсетях

• Безопасность онлайн-платежей

• Защита конфиденциальной информации

• Защита мобильных устройств

• Защита персональных данных

• Пароли

• Физическая безопасность

• Фишинг и социнженерия

• Безопасная разработка

• Безопасность веб-приложений

• Безопасность КИИ

• Законодательство и комплаенс

• Защита от корпоративного шпионажа

• Управление рисками ИБ

Курсы по безопасной разработке

Да

Частично

(обособленный продукт)

Сведения отсутствуют

Да

Да

Курсы для топ-менеджмента

Да

Частично

(есть семинар для топ-менеджеров)

Да

Да

Нет

Командные игры

Нет

Частично

(обособленный продукт)

Нет

Нет

Нет

Возможность загружать свой контент

Да

Да

Да

(SCORM)

Да

Да

Аналитика по каждому сотруднику

Да

Да

Да

Да

Да

Способы добавления пользователей в курсы

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Сведения о способах добавления пользователей отсутствуют

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Обновление учебных курсов и материалов

В течение срока действия подписки

(периодичность не указана)

Ежеквартально

Сведения о режиме обновления отсутствуют

Ежеквартально в рамках подписки и по запросу

В течение срока действия подписки

(периодичность не указана)

 

Таблица 5. Учебные атаки, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Имитация фишинговых атак

Да

Да

Да

Да

Да

Готовые шаблоны для фишинговых писем

Да

(90+)

Да

(120+)

Да

Да

(100+, дополнительно в рамках сервиса создаётся под клиента силами MSS-провайдера)

Да

(100+)

Одновременная рассылка

Да

Да

Да

Да

Да

Рассылка на протяжении времени

Да

Да

Да

Да

Да

Фиксация перехода по ссылке

Да

Да

Да

Да

Да

Фиксация ввода логина и пароля

Да

Нет

Да

Да

Да

Фиксация открытия вложения

Да

Да

Да

Да

Да

Кнопка / плагин «Сообщить о фишинге» 

Да

Да

Да

Да

Да

Имитация атак через съёмные устройства (USB)

Нет

Нет

Да

Да

Да

Планирование учебных атак

Да

Да

Да

Да

Да

Способы добавления пользователей в систему имитации атак

Импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных, через API

Вручную, импорт из файла, синхронизация с источником данных

 

Таблица 6. Учебные атаки, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Имитация фишинговых атак

Да

Да

Да

Да

Да

Готовые шаблоны для фишинговых писем

Да

Да

Да

Да

Да

Одновременная рассылка

Да

Да

Да

Да

Да

Рассылка на протяжении времени

Да

Да

Сведения отсутствуют

Да

Да

Фиксация перехода по ссылке

Да

Да

Сведения отсутствуют

Да

Да

Фиксация ввода логина и пароля

Да

Да

Сведения отсутствуют

Да

Да

Фиксация открытия вложения

Да

Да

Сведения отсутствуют

Да

Да

Кнопка / плагин «Сообщить о фишинге» 

Да

Да

Сведения отсутствуют

Нет

Нет

Имитация атак через съёмные устройства (USB)

Да

Да

Сведения отсутствуют

Да

Да

Планирование учебных атак

Да

Да

Да

Да

Да

Способы добавления пользователей в систему имитации атак

Сведения о способах добавления пользователей отсутствуют

Вручную, импорт из файла, синхронизация с источником данных

Сведения о способах добавления пользователей отсутствуют

Вручную, импорт из файла, синхронизация с источником данных

Вручную, импорт из файла, синхронизация с источником данных

 

Таблица 7. Кастомизация и эксплуатация, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Поддержка технологии сквозного входа (Single Sign-On, SSO)

Да

Да

Да

Да

(Kerberos, ADFS)

Да

(Kerberos)

Конструктор обучающих материалов

Да

(конструктор статей с ИИ)

Да

(редактор слайдов)

Нет

Нет

Да

Конструктор фишинговых писем и рассылок

Да

Частично

(можно создавать собственные письма на основе имеющихся шаблонов)

Да

Да

(дополнительно MSS-провайдер сделает любой фишинговый шаблон)

Да

Индивидуальная разработка обучающих материалов силами вендора

Да

Частично

(кастомизация курсов в расширенной версии)

Да

Да

(через вендора)

Частично

(в редакции Enterprise+)

Брендирование и кастомизация интерфейса

Частично

(на платных тарифных планах)

Да

Да

Да

(при условии выделения отдельной инсталляции)

Да

Вендор берёт на себя организацию процесса обучения

Да

Частично

(платформа сама управляет процессом)

Частично

(в расширенной версии возможно приобрести услугу по менеджменту (сопровождению) системы)

Да

Частично

Вендор берёт на себя организацию процесса проведения учебных атак

Да

Частично

(платформа сама управляет процессом)

Частично

(в расширенной версии возможно приобрести услугу по менеджменту (сопровождению) системы)

Да

Частично

Вендор предлагает услуги по ускорению процессов (сокращённая учебная программа, блиц-оценка защищённости и пр.)

Нет

Да

(помимо основного учебного курса есть экспресс-курс)

Нет

Да

Да

 

Таблица 8. Кастомизация и эксплуатация, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Поддержка технологии сквозного входа (Single Sign-On, SSO)

Да

(Kerberos)

Да

Сведения отсутствуют

Да

Нет

Конструктор обучающих материалов

Да

Нет

Да

Нет

Да

Конструктор фишинговых писем и рассылок

Да

Да

Сведения отсутствуют

Нет

Да

Индивидуальная разработка обучающих материалов силами вендора

Да

Частично

(кастомизация курсов)

Частично

(кастомизация курсов)

Да

Частично

(силами специалистов Secure-T, а не самого вендора)

Брендирование и кастомизация интерфейса

Нет

Да

Сведения отсутствуют

Да

Да

Вендор берёт на себя организацию процесса обучения

Да

Частично

(в рамках дополнительных учебных форматов)

Сведения отсутствуют

Частично

(в рамках услуги UBS Awareness Managed Services)

Нет

Вендор берёт на себя организацию процесса проведения учебных атак

Да

Нет

Сведения отсутствуют

Да

Нет

Вендор предлагает услуги по ускорению процессов (сокращённая учебная программа, блиц-оценка защищённости и пр.)

Частично

(услуга по быстрой проверке уровня киберграмотности приобретается отдельно)

Да

(предлагается оценка уровня защищённости за 4 недели)

Сведения отсутствуют

Частично

(предусмотрены многотемные инструктажи «коротко обо всём»)

Нет

 

Таблица 9. Отчёты, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Отчёты по обучению

Да

Да

Да

Да

Да

Отчёты по атакам

Да

Да

Да

Да

Да

Аналитические отчёты

Частично

(как опция технической поддержки сервиса)

Да

Да

Да

Да

Пользовательские отчёты

Нет

Да

Да

Да

Да

 

Таблица 10. Отчёты, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Отчёты по обучению

Да

Да

Да

Да

Да

Отчёты по атакам

Да

Да

Да

Да

Да

Аналитические отчёты

Да

Да

Сведения отсутствуют

Да

Да

Пользовательские отчёты

Да

Нет

Сведения отсутствуют

Частично

(на заказ)

Нет

 

Таблица 11. Техническая поддержка и лицензирование, часть I

Параметр / Продукт

Infosecurity Security Awareness

Kaspersky Security Awareness

Phishman

RED Security Awareness

Secure-T Awareness

Стоимость платных тарифных планов

30 тыс. руб. в месяц — стандартный тарифный план

40 тыс. руб. в месяц — расширенный тарифный план

(сервис учебного фишинга оплачивается отдельно)

35 тыс. руб.

(Kaspersky ASAP для 5 пользователей на 1 год)

Тарифные планы являются непубличными

От 2 098,00 в год на сотрудника

Тарифный план «Фишинг» — 1250 руб.

«Обучающая лицензия» — 1250 руб.

Тарифный план «Стандарт» — 2200 руб.

Тарифный план «Продвинутый» — 4400 руб.

Бесплатный тарифный план

Да

Частично

(пробная версия)

Частично

(бесплатный пилот)

Частично

(бесплатный пилот)

Да

Время реакции технической поддержки

Бесплатный тарифный план — 2 рабочих дня

Платные тарифные планы — 4 часа

Сведения о регламенте работы поддержки отсутствуют

Базовая версия — до 24 часов

Расширенная версия — до 4 часов

До 1 часа

Минимальное — до 3 часов

Максимальное — до 5 рабочих дней

(в зависимости от уровня критической значимости запроса)

 

Таблица 12. Техническая поддержка и лицензирование, часть II

Параметр / Продукт

Solar Security Awareness

Start AWR

T2 Security Awareness

UBS Cybersecurity Awareness

МегаФон Security Awareness

Стоимость платных тарифных планов

Тарифные планы являются непубличными

Тарифные планы являются непубличными

Тарифные планы являются непубличными

От 400 руб. за 1 пользователя в год

От 110 тыс. руб. в год

Бесплатный тарифный план

Нет

Частично

(бесплатный пилот)

Нет

Частично

(демоверсия)

Нет

Время реакции технической поддержки

Сведения о регламенте работы поддержки отсутствуют

До 24 часов

Сведения о регламенте работы поддержки отсутствуют

До 2 часов

Сведения о регламенте работы поддержки отсутствуют

 

Выводы 

Как показывает сравнение, сегмент Security Awareness на российском рынке можно уверенно назвать зрелым. Учебные курсы и имитацию фишинговых атак можно получить у любого поставщика. Среди прочего, это значит, что выбирать сервис надо не формально, а содержательно. Когда база есть у всех, на первый план выходят полезность и эффективность обучения работников безопасному поведению.

Чтобы повысить качество и получить результат, важно смотреть не только, например, на количество курсов, но и на их разнообразие и тематику: есть ли направления, которые соответствуют специфике деятельности, кого именно можно обучить, доступны ли курсы для топ-менеджеров, айтишников и пр. 

Также по сравнению видно, что от разных компаний можно получить разные форматы поставки и сопровождения. Это тоже имеет значение. Кто-то продаёт платформу, на которой заказчик может «свободно творить», а кто-то, наоборот, предлагает решение по принципу «вам ни о чём не придётся заботиться, мы всё сделаем за вас». Мы видим такие истории, например, когда большая компания покупает фирму поменьше: крупный поставщик занимает нишу делегирования и аутсорсинга, а купленный бренд сохраняется, но остаётся в нише готовых продуктов.

Ещё различается кастомизация (и её глубина). В принципе, кастомизация есть у всех, но дьявол, как известно, в деталях. Важно, чтобы дело не ограничивалось брендированием интерфейса. Полезно заранее узнать, какие есть конструкторы внутри платформы, какие шаблоны доступны, в какой мере можно менять учебные курсы. Даже под загрузкой собственных материалов иногда имеется в виду не одно и то же. Поэтому, среди прочего, большое значение имеет «пилот», т. е. тестовая эксплуатация.

В свою очередь, сформировать перечень самых интересных решений для дальнейшего пилотного внедрения можно с помощью публичных сравнений. Мы рассматриваем наше сравнение как навигатор, который позволит расставить приоритеты при выборе.