Как вы представляете инсайдеров? Скорее всего в вашем воображении это такой скрытный человек, шпион, который всем своим видом показывает, что что-то замышляет. Однако, вы можете разочароваться узнав, что инсайдером может стать каждый, и даже вы. У них нет ярких внешних отличий, и зачастую инсайдеры сами не знают, что от них утекает ценная информация. Так кто же такие инсайдеры? И как защититься от них?
Кто такие инсайдеры?
Согласно терминологии Большого толкового словаря русского языка С. А. Кузнецова инсайдер – это человек, через которого возможно получить важные сведения о делах какого-либо общества, предприятия, организации. Или второй вариант: инсайдером называют акционера, способного повлиять на решение о выдаче кредита, или руководителя, участвующего в выработке кредитной или инвестиционной политики предприятия. С точки зрения информационной безопасности больше подходит первое определение, оно более общее, ведь инсайдинг невозможно ограничить только экономическим применением, инсайдинг – про слив любой информации и использование ее по политическим, экономическим, психологическим мотивам.
Типы инсайдеров:
- Инсайд трейдинг.
Самый распространенный. Используется на финансовых рынках, в биржевой торговле, банковском секторе и т.д. Суть проста – узнать о предварительных договорённостях между участниками финансовой системы и заработать на этом. Это может быть информация о крупном слиянии, выходе на IPO, получении крупной инвестиции в компанию, курсовых сдвигах в валютно-обменной деятельности и любая другая информация.
Пример:
Член команды менеджеров компании узнал, что в развитие предприятия хочет инвестировать крупный венчурный фонд. Эта новость спровоцирует рост акций компании, поэтому эксперт через своего друга совершает сделку по покупке акций компании «внизу» цены на крупную сумму. Через 2 месяца, когда были улажены все формальности по оформлению инвестиции и опубликован пресс-релиз в СМИ, акции компании получили рост в 11% в моменте. Продав купленные по более дешевой цене акции, эксперт получил чистую прибыль более 10% в моменте. Хороший результат, который получен на основании инсайдерской информации.
- Промышленный шпионаж.
Реализуется не только с помощью инсайдеров, но именно они – звездочки этого зловредчества. Конечно, можно просто имплементировать вредоносное ПО в систему компании-конкурента. Но что делать, если ни одно ПО не может просочиться через физические средства информационной безопасности компании, или что делать, если главная ценность – это знания и опыт внутри головы нужного сотрудника? Здесь нужен подход: уговоры, шантаж, подкуп, подкуп, подкуп. И хлоп – сотрудник уже ваш инсайдер и сливает ценнейшие сведения о производстве конкурента.
- Политический инсайдинг.
Ооо, любимая тема для многих – политический инсайдинг. Все иногда любят пожаловаться на политиков, их выбор, предложения или бездействие в решении насущных проблем. Но мало кто на самом деле задумывался, сколько внутренних договоренностей, споров, манипуляций мнениями происходит внутри политический системы. И инсайдерство здесь – одна из самых распространенных бед, в такой-то атмосфере.
Самые громкие инсайдерские скандалы
Чтобы было понятнее, как действуют инсайдеры, приведем самые громкие примеры мировой и российской практики.
История WikiLeaks. Эта платформа является главным символом инсайдерства, ведь она вся состоит из полученных разными путями конфиденциальных документов, которые публикуют активные юзеры. Была создана в 2006 году австралийским журналистом Джулианом Ассанджем. На протяжении нескольких лет WikiLeaks опубликовала сотни тысяч документов, которые касались внутренней и внешней политики Соединенных штатов: вторжению в Ирак, военных операций в Сирии, слежки и прослушки без законодательного одобрения за гражданами государств, сбором и обработкой конфиденциальной информации, которую предоставляли крупнейшие корпорации Microsoft, Google, Yahoo!, Facebook, YouTube, Skype, Apple т.д. За это сам основатель платформы, а также публично известные инсайдеры Джошуа Шутье, Эдвард Сноуден, Натан Уайт и другие подверглись преследованию со стороны властей США и спецслужб других государств. Ассандж вообще стал заложником ситуации: за разглашение тайн Пентагона ему грозит тюремное заключение сроком 175 лет!!! В 2012 году США признали его врагом государства, и после этого он вынужден был прожить скрываясь в посольстве Эквадора целых 7 лет!
Эта история очень показательна и считается крупнейшим инсайдерским сливом информации, который затронул самые известные спецслужбы мира.
Coinbase. Громкий трейдерский скандал коснулся репутации самой зарегулированной крипто биржи США, через которую покупаю свои биткоины все известные фонды и инвестиционные компании типа BlackRock и MicroStrategy. Один из менеджеров биржи вместе со своим другом использовал данные о предстоящих листингах токенов на Coinbase и торговал на основе этой информации. Листинг на такой крупной площадке всегда провоцирует ажиотаж вокруг нового актива, подтверждает его легитимность и приводит к росту. Всего инсайдерский заработок составил чуть выше 1 млн долларов, однако при этом значительно пострадала репутация самой биржи, а посчитать этот ущерб достаточно трудно.
Инсайдеры везде, даже в Конгрессе США. Не верите? А вот в журналисты насчитали более 3,5 тысяч сделок, основанных на инсайдерской информации, которые совершили почти 100 конгрессменов. Здесь были и продажи акций за день до негативных отчетностей о доходах публичных компаний, и закупки акциями Nvidia перед положительными новостями о принятии законопроекта о стимулировании полупроводниковой промышленности в стране. Самое интересное, что сами конгрессмены и создают всю законодательную базу о регулировании, в том числе торговли, основанной на инсайдерской информации.
Не только в США, но и в России прокатилась волна подобных разбирательств.
Известен случай с торговлей акций публичной российской угольной компании «Распадская», зафиксированный в 2020 году. Тогда на основании решения совета директоров о покупке «Южкузбассугля» акции «Распадской» выросли в моменте на 18%. Этими данными воспользовались некоторые сотрудники аудиторской компаний, которая проводила оценку акций, и сотрудники компании-партнера, которая входит в один холдинг «Evraz» вместе с «Распадской». Более того, инсайдеры привлекли своих родственников к торговле, и еще больше увеличили профит со сделки.
Разбирательства по этому делу еще не закончены, и сейчас Центробанк РФ проводит расследование инцидента.
Еще один пример вообще является историческим. Это первый в России приговор за манипулирование рынком в особо крупном размере. Статья 185.3 «Манипулирование рынком» Уголовного кодекса Российской Федерации. По ней был осужден трейдер из Татарстана, который на протяжении пяти лет (с 2011 по 2016 гг.) на Мосбирже манипулировал стоимостью 31 ценной бумаги, благодаря чему смог заработать более 77 миллионов рублей (особо крупный размер с 15 миллионов рублей ущерба). В итоге предприимчивого, но невезучего инсайдера приговорили к 2,5 годам лишения свободы условно, и выплате ущерба банку в размере 75 млн рублей.
Как выявить инсайдера?
Инсайдеры – настоящие мастера своего дела, и выявить их не так просто. Конечно, если инсайдер непреднамеренно сливает информацию, то с таким типом угроз скорее будет работать профилактика, чем ограничения. Ведь утечка происходит по незнанию, непреднамеренно. Проводите обучения и беседы в коллективе, задокументируйте официально и убедитесь, что все работники ознакомились с информацией, которая буде относиться к ценной и не подлежит распространению. Можно также использовать профессиональное ПО.
При этом самые опасные инсайдеры – осознанные. Те, кто просчитывает свои действия и имеет мотивацию своего поступка. Но и них можно выявить еще до нанесения ущерба.
Условно разделим 2 типа примет инсайдера:
- по поведению;
- по цифровому следу.
Инсайдер может выдать себя своим изменившимся поведением. Прямо или косвенно, они уже распрощались со своей нынешней работой и в мыслях пожинают плоды своего проступка: возлежат на пляже и тратят гонорар за слив данных, осваиваются на новой работе или покупают долгожданный автомобиль новой модели. По факту эти мысли материализуются в новые поведенческие паттерны: снижение продуктивности на работе сейчас, выполнение обязанностей «спустя рукава», снижение инициативы в долгосрочных проектах, отказ от участия в них.
Также волей или неволей инсайдер начинает интересоваться вопросами увольнения, узнавать подробности расторжения трудовых договоров, поиском новых вакансий во время работы, часто сопровождая это высказыванием критики в адрес состава менеджеров и руководства. В голове уже «все произошло», и поэтому можно прочищать путь к знаку «Выход».
Признаком потенциального инсайдера может быть и желание без прямой необходимости остаться одному в офисе: задержка, очень ранний приход. Любые не обусловленные производственной необходимостью переработки свыше нормы времени.
Деятельность инсайдера можно выявить и по цифровым следам. Передача большого объема данных, копирование на неразрешенные носители, удаленный доступ к системе, вход в рабочую консоль в нерабочее время, поисковые запросы, попытки получить доступ к конфиденциальным данным, копирование и распечатка документов – это все возможные действия инсайдера. Вариантов просто тысяча, и каждый из инцидентов – потенциальная угроза информационной безопасности компании и уже реальные убытки.
Отдельно стоит инсайдерский трейдинг – деятельность, при которой обладатель конфиденциальной информации осуществляет выгодные для него сделки, основанные на полученных данных. В таком случае не обязательно будет копирование файлов или попытки несанкционированного доступа. Информация может носить только устный характер, на уровне взаимных договоренностей. Мерой пресечения действия может стать только сам морально-этический портрет инсайдера, а также напоминание об уголовной ответственности за такой трейдинг по Статье 185.6 УК РФ.
Какая защита от инсайдеров будет эффективна?
Инсайдеры являются настоящей проблемой современного бизнеса, обращения технологий, развития наукоемкой среды, трейдинга. Да почти в каждой области человечества важно сохранить определенный уровень конфиденциальности и ограниченности доступа информации, и почти в каждой области существует этот риск – появления инсайдера. Как защититься и какие инструменты в данном случае будут актуальны?
Сейчас доступны условно три типа инструментов защиты:
- психологические;
- правовые;
- технологические.
Психологические – это проведение различных мероприятий по определению истинного психологического портрета работников и моделирование возможных действий в критических ситуациях. Существует даже определение этому типу анализа – профайлинг. Это искусство выявления лжи и лжеца, в том числе в коллективе. Пригласите к себе в команду «нового» сотрудника-профайлера, который проведет оценку состояния работников и выявит опасные элементы. Нет возможности позвать профессионального профайлера? Инициируйте допобучение для штатного психолога или специалиста HR-отдела. Даже если нет ресурсов на такие глубокие исследования, все равно не игнорируйте психологию коллектива. Проводите периодические беседы «по душам», анкетирование, сбор обратной информации в любом виде. Так вы сможете погасить самые опасные моменты недовольства и увидеть свои сотрудников с новой стороны.
Не игнорируйте внештатные инструменты коммуникации: корпоративы, квесты, выезды на природу, ролевые игры для команды. Тимбилдинг работает на вас, в том числе как помощь в борьбе с инсайдерами. Неофициальная среда сможет раскрыть сотрудников, вы увидите плюсы и минусы каждого, и, возможно, это поможет в раскрытии истинных намерений инсайдеров. К тому же совместные встречи помогут обеспечить психологическую разрядку коллектива, а это значит станет меньше недовольных и идеологических инсайдеров.
Правовые.
Нормы права по применению к инсайдерам закреплены в: Федеральном законе от 27.07.2010 г. № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации», Статьями Уголовного кодекса № 276 «Шпионаж», № 185.6. «Неправомерное использование инсайдерской информации», № 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну», Федеральном законе от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне».
Внутри организации вводятся режим «коммерческой тайны:
- определяется информация, входящая в коммерческую тайну;
- устанавливается порядок обращения с этой информацией и круг лиц, которые имеют доступ;
- подписываются внутренние документы, закрепляющие факт ознакомления и ответственность причастных лиц.
Программные.
Программная защита достаточно надежна. Такое ПО обеспечивает бесперебойный и беспристрастный мониторинг всех владельцев конфиденциальной информацией и своевременное реагирование на инцидент утечки. Как правило делится на три класса, по типу осуществляемого поиска:
- Контентный (анализ информации осуществляется через содержимое контента (слова, фразы, словосочетания) и его морфологические формы. Применяется к документальному обороту, архивам, файлам Word и так далее.
- Статистический (по наступлению определенного, заранее записанного в правила безопасности, действия (открытие файла, поиск информации на сайте и так далее).
- Динамические (анализ визуального и аудио наблюдения, кейлогер).
Одни программы могут выполнять только ограниченный анализ, другие предлагают несколько интерфейсов, каждый из которых отвечает за новую задачу. Есть и комплексные решения. Разберем такое комплексное ПО на примере DLP-системы Falcongaze SecureTower.
Принцип работы достаточно прост: агент устанавливается на компьютер и в скрытой или открытой форме мониторит весь внутренний трафик компании:
- почтовые сервисы (протоколы POP3, SMTP, IMAP, MAPI);
- мессенджеры (Skype, SIP, Lync, Viber, Telegram);
- веб-активность (протоколы HTTP-HTTPs);
- USB-копирование (с возможностью создания черных/белых списков);
- протокол FTP-FTPs;
- локальные и сетевые принтеры;
- в системе присутствует кейлогер, контролируется буфер обмена, выполняются скриншоты рабочих столов, активность пользователей за ПК.
В применении борьбы с инсайдерами DLP-системы обеспечивают полный мониторинг (кроме психологической оценки состояния работников) сотрудников, а также может пресечь в определенных заранее ситуациях угрозу разглашения информации. Такая система может быть полезна когда:
- 1. инсайдер будет пытаться скопировать данные на внешние носители, распечатать, отправить конфиденциальную информацию по любому пути передачи (например, не даст скопировать секретный документ на USB-носитель, запретит отправку документа в почтовом вложении, в соцсети и т.д.).
- 2. инсайдер будет обсуждать с потенциальным конкурентом по одному из каналов связи (установленном на устройстве с агентом) варианты взаимодействия.
- 3. Инсайдер будет изучать секретные документы, но система сможет делать скрин экрана и обнаружить нарушения.
- 4. Потенциальный инсайдер даже не сможет поискать новую работу, так как производится фиксация и анализ веб-трафика.
Система также предлагает создать отчетность по инцидентам, производить расследования, чтобы обеспечить своевременный мониторинг и выявлять на этапе намерения негативные ситуации. То есть создается полный контур защиты от распространения конфиденциальных данных.
Выводы
Согласитесь, сейчас многие компании находятся в режиме защиты своих данных не только от внешнего воздействия, но и от внутренних инсайдеров. Пока что самым эффективным инструментом остается специализированное ПО. Оно беспристрастно и доступно, в то время как правовые меры и психология все еще находятся на этапе развития. Игнорировать нельзя ни один из методов, действуйте по принципу предупрежден, значит вооружен, пробуйте и не доводите до опасного состояния то, что можно исправить на этапе зарождения.