Внутренние угрозы – один из наиболее сильных рисков для компаний, ибо корпоративная культура современного общества тенденциозно стремится к бесконечному количеству розовых пони, послаблений для сотрудников и максимального доверия. Откровенно говоря, у многих компаний нет ни технологического, ни управленческого ресурса закручивать гайки, если они не относятся к госсектору. Повсеместное развитие темы с продвижением бренда работодателя несет в себе не только продуктивный наем, но и наихудшие угрозы безопасности в одном пакете. Так, из свежего – сотрудники Tesla слили десятки тысяч персональных данных клиентов немецкому новостному изданию, наплевав на все корпоративные протоколы ИБ. Недавний глобальный отчет Института Понемона за 2022 год показывает, что 67% компаний столкнулись с несколькими десятками инцидентов, а отчет Cybersecurity Insiders за 2023 год говорит о 74% уязвимых инсайдом организаций.
Существует три основных типа инсайдерских угроз
Случайность/ халатность
Здесь сотрудники неосознанно способствуют нарушению безопасности из-за ошибок. В большинстве случаев халатность означает, что ваша СБ не выстроила правильный надзор, а ИБ- и ИТ-службы не запустили ИБ-мониторинг событий и развитие киберосведомленности.
Злонамеренный инсайд
В 99% случаев это сотрудники, намеренно раскрывающие данные. Их мотивация – недовольство, разногласия с руководством или личная выгода. Тут налицо пробелы в кадровой/HR-работе, в совокупности с посредственным уровнем менеджмента С level минус 1–2-го уровня.
Взлом/ компрометация
Сотрудник может не осознавать, что был взломан, и это зона еще больших ИБ-проблем и потери данных. Компрометация цифровых активов может случиться в результате фишинговых атак, социальной инженерии или размещения в инфраструктуре вредоносных программ. Здесь, конечно же, нужно рассмотреть качество работы ИБ-служб и ИТ-подразделений.
Как распознать потенциальный инсайд?
- Недовольные сотрудники, проявляющие негативное поведение.
- Необычная активность учетной записи или поведение пользователя.
- Случайные или необъяснимые всплески сетевого трафика.
- Неестественная загрузка данных.
- Попытки получить доступ к файлам или системам с ограниченным доступом.
- Подозрительные электронные письма внешним лицам.
- Доступ к файлам или системам в нерабочее время.
- Использование несанкционированных удаленных подключений.
Какие практики управления стоит взять на вооружение?
- Регулярно оценивайте инсайдерские риски. Это включает в себя оценку уязвимых информационных ресурсов, ранжирование вероятности рисков и их потенциального воздействия на критически важные системы, данные и репутацию.
- Контролируйте доступ к системам и данным. Предоставление инсайдерам чрезмерных привилегий увеличивает вероятность утечки. Важно ограничить доступ сотрудников, партнеров и поставщиков только к тому, что необходимо для выполнения должностных функций. Нужен принцип наименьших привилегий, где права повышаются только при необходимости.
- Постоянно следите за деятельностью пользователей. Подумайте о мониторинге сотрудников и поставщиков в рамках вашей инфраструктуры, отслеживайте сеансы пользователей в реальном времени.
- Обеспечьте быстрое реагирование. Использование автоматизированного анализа поведения пользователей может сократить время реагирования на подозрительные действия и повысить вероятность блокирования инсайдера до нанесения ущерба.
- Повышайте киберосведомленность. Ваши сотрудники должны понимать политики безопасности и потенциальные последствия несоблюдения, обладать навыками распознавания и реагирования на угрозы.