Все началось достаточно невинно, когда сотрудник Tesla получил приглашение от бывшего коллеги встретиться за выпивкой. Несколькими вечерами позже старый знакомый прояснил свои истинные намерения. Он предложил сотруднику Tesla 1 миллион долларов за ввод вредоносного ПО в компьютерную сеть автопроизводителя. Эта схема в случае успеха позволила бы киберпреступникам украсть важные данные у Tesla и потребовать за них выкуп. К счастью, заговор провалился. Сотрудник сообщил о предложении работодателю.
Статистика показывает, что инсайдерские угрозы являются причиной около 20% всех утечек данных. При этом количество связанных с персоналом инцидентов безопасности растет с каждым годом. Затраты на устранение последствий таких инцидентов для организаций огромны и могут достигать десятков миллионов долларов ежегодно. Борьба с инсайдерскими угрозами требует комплексного подхода, сочетающего технические средства контроля, обучение персонала и культуру осведомленности о рисках.
Риски внутренних угроз для бизнеса
Согласно отчету Verizon о расследовании утечек данных за 2023 год (DBIR), 19% из примерно 5200 утечек данных были вызваны внутренними причинами. В то же время опрос 1000 специалистов по ИТ и ИТ-безопасности из организаций, проведенный Ponemon Institute, показал, что количество инцидентов безопасности, связанных с персоналом, увеличилось на 44% всего за два года. По данным отчета 2022 Cost of Insider Threats Global Report, число таких событий составило более 6800, а пострадавшие организации ежегодно тратят 15,4 миллиона долларов на устранение инсайдерских угроз.
Ландшафт кибербезопасности сейчас сложен как никогда. Поскольку злоумышленники неустанно используют эту сложность в своих интересах, определение и приоритизация наиболее важных рисков не всегда является простым делом. Еще больше запутывает ситуацию то, что сдерживание внешних злоумышленников зачастую является лишь половиной успеха. Инсайдерские угрозы, как правило, не ставятся во главу угла.
Что такое инсайдерская угроза
Инсайдерская угроза — это тип угрозы кибербезопасности, исходящей из недр организации. Обычно под ней подразумевается сотрудник или подрядчик, как действующий, так и бывший, который может нанести вред сетям, системам или данным компании.
Инсайдерские угрозы обычно делятся на два основных типа — преднамеренные и непреднамеренные. Причем последние подразделяются на случайные и неосторожные действия. Исследования показывают, что большинство инцидентов, связанных с инсайдерами, вызваны скорее небрежностью или халатностью, чем злым умыслом.
Угроза может принимать различные формы, включая кражу или неправомерное использование конфиденциальных данных, разрушение внутренних систем, предоставление доступа злоумышленникам. Такие угрозы обычно мотивированы несколькими факторами, такими как месть, идеология, халатность или прямой злой умысел.
Эти угрозы создают уникальные проблемы в области безопасности, поскольку их сложно обнаружить и еще сложнее предотвратить. В том числе потому, что у инсайдеров гораздо больше возможностей, чем у внешних злоумышленников. Сотрудникам и подрядчикам требуется расширенный доступ к системам и данным организации, чтобы выполнять свою работу. А это значит, что угроза может быть не очевидна до тех пор, пока атака не произойдет или после того, как ущерб уже нанесен. Инсайдеры также часто знакомы с мерами и процедурами безопасности работодателя и могут легче их обойти.
Несмотря на то, что для получения допуска к работе в системе безопасности требуется проверка биографии, она не учитывает психологическое состояние личности. Cо временем оно может измениться. Тем не менее, существуют определенные меры, которые организация может предпринять для минимизации риска инсайдерских угроз. Они основаны на сочетании средств контроля безопасност, культуры осознания безопасности, а также инструментов, процессов и людей.
Читайте также:
Дипфейки: опасность синтезированной речи для бизнеса
Токсичность на удаленке: как решить проблему
AI и BI: различия и совместное использование
Превентивные меры по снижению риска инсайдерских угроз
Эти меры не являются абсолютной и окончательной гарантией кибербезопасности, но они помогут в значительной степени защитить организации от внутренних угроз.
Внедрение средств контроля доступа
Внедрение средств контроля доступа, таких как контроль доступа на основе ролей (RBAC), поможет ограничить доступ к конфиденциальным данным и системам только тем сотрудникам, которым он необходим для выполнения своих должностных обязанностей. Предоставляя доступ, компания может значительно снизить риск инсайдерских угроз. Также необходимо регулярно пересматривать уровни доступа, чтобы они оставались адекватными и соответствовали ролям сотрудников.
Отслеживайте активность сотрудников
Внедрение инструментов мониторинга для отслеживания активности сотрудников на устройствах компании или в сети поможет выявить подозрительное поведение, которое может свидетельствовать об инсайдерской угрозе. Мониторинг также поможет обнаружить необычные передачи данных или аномальные схемы доступа к конфиденциальным системам и данным. Однако не забудьте обеспечить соответствие законодательным нормам и установить четкие правила мониторинга, чтобы снять возможные опасения по поводу конфиденциальности.
Проводите проверки биографических данных
Проведение проверки биографических данных всех сотрудников, подрядчиков и поставщиков перед предоставлением им доступа к конфиденциальным данным поможет выявить любые потенциальные риски. Эти проверки также могут быть использованы для проверки трудовой биографии и судимости человека.
Организуйте обучение по вопросам безопасности
Это лучший выбор из описанных мер по нескольким причинам. Во-первых, такие тренинги помогают компаниям сэкономить деньги за счет снижения риска непреднамеренных инсайдерских угроз.
Чаще всего сотрудники не знают о некоторых рисках кибербезопасности и могут невольно перейти по фишинговой ссылке, загрузить вредоносное ПО или поделиться конфиденциальными внутренними данными, что приводит к утечке информации. Проводя регулярное обучение сотрудников, можно предотвратить подобные инциденты, сократив расходы, связанные с этой внутренней угрозой, а также репутационный ущерб, связанный с нарушениями и юридическими проблемами.
Кроме того, обучение основам безопасности может улучшить как личную кибергигиену, так и общую безопасность компании, что приведет к повышению эффективности и производительности, поскольку сотрудники, обученные распознавать и сообщать об инцидентах безопасности, могут помочь обнаружить и смягчить угрозы безопасности на ранних стадиях, снизив их воздействие и связанные с ними расходы.
Предотвращение потери данных
Внедрение DLP-системы поможет предотвратить потерю или кражу данных путем мониторинга, обнаружения и блокирования любой несанкционированной передачи или обмена конфиденциальными данными. Это поможет снизить уровень внутренних угроз, а также защитить конфиденциальные данные. Однако здесь есть оговорка: провайдеры DLP также находятся под прицелом злоумышленников, так что это дополнительный повод для беспокойства.
Следует отметить, что ни одна из этих мер сама по себе не является надежной, и ни одно решение не может полностью устранить внутренние угрозы. Однако, применяя комбинацию этих мер, а также регулярно пересматривая и обновляя политики безопасности, компании могут значительно снизить уровень подверженности внутренним угрозам.