Внутренняя угроза

Внутренние угрозы – один из наиболее сильных рисков для компаний, ибо корпоративная культура современного общества тенденциозно стремится к бесконечному количеству розовых пони, послаблений для сотрудников и максимального доверия. Откровенно говоря, у многих компаний нет ни технологического, ни управленческого ресурса закручивать гайки, если они не относятся к госсектору. Повсеместное развитие темы с продвижением бренда работодателя несет в себе не только продуктивный наем, но и наихудшие угрозы безопасности в одном пакете. Так, из свежего – сотрудники Tesla слили десятки тысяч персональных данных клиентов немецкому новостному изданию, наплевав на все корпоративные протоколы ИБ. Недавний глобальный отчет Института Понемона за 2022 год показывает, что 67% компаний столкнулись с несколькими десятками инцидентов, а отчет Cybersecurity Insiders за 2023 год говорит о 74% уязвимых инсайдом организаций.

Существует три основных типа инсайдерских угроз

Случайность/ халатность

Здесь сотрудники неосознанно способствуют нарушению безопасности из-за ошибок. В большинстве случаев халатность означает, что ваша СБ не выстроила правильный надзор, а ИБ- и ИТ-службы не запустили ИБ-мониторинг событий и развитие киберосведомленности.

Злонамеренный инсайд

В 99% случаев это сотрудники, намеренно раскрывающие данные. Их мотивация – недовольство, разногласия с руководством или личная выгода. Тут налицо пробелы в кадровой/HR-работе, в совокупности с посредственным уровнем менеджмента С level минус 1–2-го уровня.

Взлом/ компрометация

Сотрудник может не осознавать, что был взломан, и это зона еще больших ИБ-проблем и потери данных. Компрометация цифровых активов может случиться в результате фишинговых атак, социальной инженерии или размещения в инфраструктуре вредоносных программ. Здесь, конечно же, нужно рассмотреть качество работы ИБ-служб и ИТ-подразделений.

Как распознать потенциальный инсайд?

• Недовольные сотрудники, проявляющие негативное поведение.
• Необычная активность учетной записи или поведение пользователя.
• Случайные или необъяснимые всплески сетевого трафика.
• Неестественная загрузка данных.
• Попытки получить доступ к файлам или системам с ограниченным доступом.
• Подозрительные электронные письма внешним лицам.
• Доступ к файлам или системам в нерабочее время.
• Использование несанкционированных удаленных подключений.

Какие практики управления стоит взять на вооружение?

1. Регулярно оценивайте инсайдерские риски. Это включает в себя оценку уязвимых информационных ресурсов, ранжирование вероятности рисков и их потенциального воздействия на критически важные системы, данные и репутацию.
2. Контролируйте доступ к системам и данным. Предоставление инсайдерам чрезмерных привилегий увеличивает вероятность утечки. Важно ограничить доступ сотрудников, партнеров и поставщиков только к тому, что необходимо для выполнения должностных функций. Нужен принцип наименьших привилегий, где права повышаются только при необходимости.
3. Постоянно следите за деятельностью пользователей. Подумайте о мониторинге сотрудников и поставщиков в рамках вашей инфраструктуры, отслеживайте сеансы пользователей в реальном времени.
4. Обеспечьте быстрое реагирование. Использование автоматизированного анализа поведения пользователей может сократить время реагирования на подозрительные действия и повысить вероятность блокирования инсайдера до нанесения ущерба.
5. Повышайте киберосведомленность. Ваши сотрудники должны понимать политики безопасности и потенциальные последствия несоблюдения, обладать навыками распознавания и реагирования на угрозы.