Ментальная кибербезопасность: как защитить себя там, где не справляются технологии

Когда в профессиональном сообществе заходит разговор о кибербезопасности, на стол, как правило, ложатся технические аргументы: архитектура систем, протоколы шифрования, многофакторная аутентификация, регламенты. Всё это необходимые инструменты, измеримые, сертифицируемые, такие hard skills цифровой защиты. Но есть другой пласт, который десятилетиями оставался в тени именно потому, что его труднее формализовать – это психологическая составляющая безопасности, всё чаще называемая «ментальная кибербезопасность», soft skills цифровой защиты.

Аналогия с профессиональными компетенциями здесь не случайна. В современном HR-дискурсе давно утвердилось разделение: hard skills – это то, что можно проверить тестом, подтвердить дипломом, измерить числом. Soft skills – это то, что определяет, как человек использует свои hard skills в реальных, непредсказуемых условиях. Первые без вторых дают специалиста, который прекрасно работает в стабильной системе и ломается в кризисной ситуации. Именно такая картина часто наблюдается сегодня в сфере цифровой безопасности.

Компании инвестируют в технологическую защиту, внедряют обучение по цифровой грамотности, вводят строгие политики паролей и всё равно становятся жертвами атак. Атака прошла не через систему, а через человека, сотрудника, который в состоянии усталости перешёл по ссылке, руководителя, который ответил на срочный запрос, не проверив отправителя, специалиста, который знал все правила и нарушил их под давлением эмоционального момента.

Человеческий фактор наиболее уязвимое звено в системах кибербезопасности не потому, что люди некомпетентны, а потому, что знание правил и способность соблюдать их в состоянии стресса это принципиально разные вещи. Это разрыв между hard и soft. Инструкция по безопасности это hard и умение её применить, когда мозг захвачен тревогой или спешкой, это soft, именно этот второй уровень системно не развивается и не измеряется.

Показательно, что поведение злоумышленников при этом принципиально иное: оно интенциально, стратегично, основано на глубоком знании психологии жертвы. Атакующий не взламывает систему, он взламывает состояние человека. Он создаёт нужную эмоцию и ждёт, пока она отключит критическое мышление. На этом фоне сугубо технический ответ на психологическую атаку выглядит как попытка потушить пожар, не зная, где он горит.

Чтобы понять ментальную кибербезопасность, нужно понять нейробиологию момента атаки. Когда человек получает тревожное сообщение «ваш счёт будет заблокирован», «срочно нужна ваша помощь», «вы под угрозой», то в мозге запускается древний механизм выживания. Миндалевидное тело перехватывает управление и перенаправляет ресурсы организма на немедленное реагирование. Префронтальная кора как центр аналитического мышления, долгосрочного планирования и критической оценки буквально отходит на второй план. Это эволюционная программа, которая в течение тысяч лет спасала людям жизнь.

В состоянии эмоционального захвата человек перестаёт проверять детали, игнорирует несоответствия, действует импульсивно. Именно эта нейробиологическая особенность лежит в основе социальной инженерии, она не обходит технические барьеры, она обходит мышление.

Дополнительным фактором становится когнитивная перегрузка, являясь хроническим состоянием современного пользователя цифровой среды. Непрерывный поток уведомлений, задач, новостей истощает ресурсы рабочей памяти и снижает способность к глубокой обработке информации. Мозг переключается в режим поверхностного сканирования, быстро, автоматически, без анализа. Именно в этом режиме наиболее лёгкими становятся фишинговые атаки, манипулятивные сообщения и синтетический контент. Когнитивная перегрузка является архитектурной особенностью цифровой среды, которая намеренно спроектирована для максимального захвата внимания.

До недавнего времени у человека оставался один безусловный ориентир в потоке информации в форме доверия к непосредственному восприятию: голос, которым говорит знакомый человек, лицо, которое видно в видеозвонке, стиль письма коллеги. Эти сигналы были фундаментом доверия и именно поэтому они стали новыми точками атак.

В 2025-2026 годах технологии синтеза голоса и видео достигли качества, при котором разница между реальным и искусственным контентом перестала быть различимой для человеческого восприятия. Клонирование голоса требует нескольких секунд аудио. Дипфейк-видео создаётся без специальных знаний, в режиме реального времени. Платформы «дипфейк как услуга» сделали эту технологию доступной любому человеку. Вам может «позвонить» ваш директор с просьбой срочно выполнить какое-либо действие, например, перевести средства и это будет его голос, его интонации, его привычная манера речи.

Это фундаментальный сдвиг. На протяжении всей истории человечества доверие строилось на прямом чувственном восприятии другого человека. Теперь это восприятие можно воспроизвести синтетически. Мозг, созданный доверять голосам и лицам, оказывается перед угрозой, к которой он эволюционно не готов. И здесь техническое решение в виде верификации по дополнительным каналам, кодовые слова, протоколы подтверждения, конечно, необходимы, но недостаточны, так как в момент эмоционального захвата человек действует не из знаний, а из своего текущего состояния.

Есть измерение ментальной кибербезопасности, которое почти не присутствует в технических руководствах, хотя имеет значимые последствия. Это атаки на цифровую идентичность, на тот образ себя, который человек годами выстраивает в цифровом пространстве.

Профессиональная репутация, публичные высказывания, история активности в сети, всё это формирует цифровой образ, который постепенно интегрируется в самовосприятие человека. Нейробиологически угроза социальному статусу и репутации активирует те же мозговые структуры, что и угроза физической безопасности. Именно поэтому взлом аккаунта, публикация фейков от чужого имени или создание синтетического профиля переживается как нарушение целостности личности.

В 2026 году создание убедительной синтетической цифровой личности с историей активности, фотографиями, стилем общения занимает минуты. Это означает, что репутационные атаки, цифровые самозванцы и информационные провокации стали доступным инструментом. Восстановление после такой атаки требует не только юридических и технических мер, но и серьёзной работы с психологическими последствиями (тревожностью, утратой доверия, нарушением ощущения собственной идентичности). Этот аспект кибербезопасности пока почти не институционализирован, хотя запрос на него стремительно растёт.

Первый и наиболее фундаментальный навык – это управление собственным состоянием в момент получения информации. Намеренная пауза между импульсом («нужно срочно реагировать») и действием, то есть пауза в 30-90 секунд буквально меняет химию мозга, снижая активность миндалевидного тела и возвращает префронтальную кору в процесс принятия решений. Человек, который умеет создавать эту паузу в условиях давления, обладает защитой, которую никакой антивирус не заменит.

Второй навык, это знание собственных психологических уязвимостей. Каждый человек реагирует острее всего на определённые триггеры: авторитет, срочность, угрозу потери, чужую беду, сообщения от членов семьи и прочее, у каждого это будет что-то своё. Социальная инженерия строится на точном попадании в эти точки, злоумышленники собирают информацию о жертве именно для того, чтобы выбрать нужный рычаг. Человек, который знает свои триггеры, замечает манипуляцию в момент её срабатывания и это знание само по себе создаёт защитную дистанцию между ощущением и действием.

Третий навык, это управление информационной нагрузкой как осознанная ежедневная практика. Это не про отказ от технологий, это про восстановление когнитивного ресурса, который стоит на страже всех остальных защитных механизмов. Мозг, не перегруженный непрерывным потоком, справляется с критическим анализом эффективнее. Для этого есть специальные технологии по восстановлению когнитивного ресурса, российская разработка – программное обеспечение «Кьюбит Форс» - протоколы по 10-15 минут с иммерсивными VR-технологиями для самостоятельного использования.

Есть ещё одно измерение, которое редко попадает в рамки разговора о кибербезопасности, хотя именно оно определяет базовую способность человека к психологической устойчивости. Это физиологическое состояние нервной системы.

Хроническая тревожность, постоянное фоновое ощущение информационной угрозы, усталость от необходимости непрерывно фильтровать контент, всё это не остаётся только «в голове». Это активирует стрессовые оси организма, поддерживает повышенный уровень кортизола, нарушает сон и снижает регуляторные функции префронтальной коры на долгосрочном горизонте. Человек в состоянии хронического цифрового стресса структурно менее способен к критическому мышлению не потому что он недостаточно умён или недостаточно обучен, а потому что его нервная система работает в режиме постоянной боевой готовности.

Именно поэтому одним из направлений работы киберпсихологов является снижение цифровой тревожности. Технология «Ментальный мост», объединяющая ключевые элементы из разных направлений работы с ментальным здоровьем (EMDR, CBT, Mindfulness) с уникальными возможностями иммерсивной виртуальной среды, что позволяет работать с глубинными паттернами стресса на уровне нервной регуляции. Это та часть защиты, которая не описывается ни одним техническим стандартом, но без которой все остальные стандарты остаются уязвимыми.

Ментальная кибербезопасность не только индивидуальная компетенция. На более широком уровне речь идёт о когнитивном суверенитете, о способности общества сохранять независимость мышления, автономию суждений и устойчивость идентичности в условиях постоянного информационного воздействия и когнитивных войн.

Технологическая и информационная безопасность, конечно, необходимый фундамент, при этом, можно иметь замки на серверах и фильтры на контенте и при этом утратить контроль над способностью граждан к самостоятельному суждению. Именно здесь цифровая гигиена становится вопросом коллективной безопасности.

Эта идея меняет саму постановку вопроса о цифровом образовании в области кибербезопасности. Если кибербезопасность долгое время рассматривалась как дисциплина для технических специалистов, то ментальная кибербезопасность – это компетенция, необходимая каждому, потому что каждый должен понимать, как работает его собственное мышление под давлением и уметь с этим давлением работать.

В истории человечества каждая новая среда рождала новую форму необходимой грамотности. Письменность потребовала умения читать. Индустриальная эпоха потребовала базовых математических и технических знаний. Медиасреда XX века потребовала медиаграмотности. Цифровая эпоха потребовала понимания технологий.

Сейчас наступает следующий уровень. Он требует понимания того, как цифровая среда взаимодействует с человеческой психикой. Как алгоритмы используют нейробиологические механизмы для захвата внимания. Как синтетический контент эксплуатирует эволюционно обусловленное доверие к лицам и голосам. Как информационная перегрузка системно снижает качество принятия решений.

Ментальная кибербезопасность – это новая форма грамотности. Она не заменяет техническую защиту, она делает её действенной. Именно так работает соотношение hard и soft skills в любой сложной профессиональной области: технические инструменты задают возможности, а психологические компетенции определяют, насколько эффективно эти возможности реализуются в реальных, непредсказуемых условиях. Даже самая сильная техническая защита не поможет, если человек по другую сторону экрана не умеет управлять собственным состоянием и теряет самообладание в момент атаки. И наоборот, человек с развитым психологическим иммунитетом защищён даже там, где технические средства ещё не успели сработать.

Цифровая безопасность будущего строится как вокруг систем, так и вокруг людей, их способности мыслить ясно, сохранять устойчивость под давлением и распознавать манипуляцию прежде, чем она успеет сработать. Это и есть то, чем занимается киберпсихология сегодня. И это навык, время которого пришло.

Ирина Крутских, киберпсихолог, автор российских VR-технологий «Ментальный мост», «Кьюбит Форс», преподаватель МГУ им. М.В. Ломоносова и ЦГМА УД Президента РФ. Победитель международного конкурса «Технологии XXI века» (3-е место среди 15 000+ проектов из 27 стран, НИУ ВШЭ, 2025).