Кто такие инсайдеры и какую угрозу они несут бизнесу, как распознать злоумышленников, что делать для защиты от них и как устранить последствия уже произошедшей утечки информации.
В 2024 году зафиксировали более 1,5 тыс случаев компрометации данных, а наибольшему росту взломов подвергся сектор финансовых услуг. Часть из них произошла по вине инсайдеров — бывших или действующих сотрудников компаний, которые распространяют конфиденциальные данные в личных целях.
Кто такие инсайдеры и какими бывают угрозы
Инсайдер — это любой человек, который имеет доступ к конфиденциальной информации фирмы: финансовым отчетам, корпоративным событиям, ресурсам и товарам. Санкционированный доступ позволяет намеренно или непреднамеренно злоупотреблять ей, отчего возникает риск инсайдерской угрозы.
Инсайдерская угроза может исходить от широкого круга лиц: текущих или бывших сотрудников, подрядчиков и партнеров, а также хакеров, получивших доступ к учетным записям компании. Типы угроз различаются по мотивам:
- Непреднамеренные — угрозы от лиц, которые не стремятся навредить компании, но их халатность приводит к нарушениям безопасности. К ним относятся потеря ноутбука, открытие фишинговой ссылки или использование слабого пароля;
- Злонамеренные — угрозы от лиц, которые действуют в интересах другой компании, хотят получить выгоду или отомстить. Это — умышленное копирование и распространение данных, саботаж сервисов и продажа информации.
Показательный пример утечки — кейс «Ситимобил». В 2022 году стало известно, что в открытый доступ попали паспортные данные более 4 тыс водителей такси. Компания взяла вину на себя, поскольку не исключила вероятность утечки по халатности. Дело в том, что сведения хранились на открытом сервере, а доступ к ним мог получить каждый.
Последствия утечки данных
- Финансовые потери — компания может понести прямые убытки из-за раскрытия банковских счетов и хищения средств. Кроме того, она должна будет выделить средства на обновление и защиту систем;
- Репутационные потери — клиенты и партнеры могут уйти к более надежным конкурентам, от чего упадет не только выручка, но и позитивный имидж фирмы в информационном поле;
- Риск шантажа — инсайдеры могут потребовать выкуп за то, чтобы медицинские и биометрические данные, а также банковские реквизиты не были выложены в публичный доступ;
- Операционные риски — приостановка работы сервисов и раскрытие коммерческой тайны негативно сказываются на конкурентном преимуществе;
- Юридическая ответственность — штрафы за утечку персональных данных могут составить от сотен тысяч до нескольких млн рублей.
С серьезными последствиями атаки столкнулись в банке Capital One: в июле 2019 года они объявили об утечке данных из-за бывшей сотрудницы Amazon. По данным прокуратуры, злоумышленница воспользовалась уязвимостью в некорректно настроенной системе защиты серверов. В результате были скомпрометированы около 100 млн человек: имена, адреса, телефоны, кредитная история и банковские аккаунты. Компания устранила уязвимость и предложила пострадавшим защиту от возможного мошенничества, но затраты оказались высоки — порядка 150 млн долларов.
Как распознать инсайдера
Для обнаружения внутренних угроз необходимо обращать внимание на несколько ключевых индикаторов.
Технические индикаторы:
- Необычная активность в системе — авторизация с нетипичной геолокацией, доступ вне рабочего времени, многократные неудачные попытки входа в систему;
- Открытие чужих файлов — просмотр данных других отделов, которые выходят за рамки роли или обязанностей сотрудника;
- Чрезмерное скачивание данных — подключение USB-носителя, загрузка и пересылка больших объемов файлов, использование личной почты или облачного хранилища.
Поведенческие индикаторы:
- Резкое изменение в поведении — сотрудник замечен в активности вне рабочего времени и открытии нехарактерных ресурсов;
- Повышенный интерес к IT-системам — желание разобраться в тонкостях кибербезопасности и работы корпоративной сети от подчиненного с другими должностными обязанностями;
- Желание уволиться — сама по себе смена работы не вредна, но в совокупности с факторами выше представляет вероятную угрозу.
Как защититься от инсайдерской угрозы
Для борьбы с внутренними угрозами требуется многогранный и проактивный подход, который будет сочетать технологии и человеческое вмешательство:
- Внедрите принцип минимальных привилегий — пусть доступ выдается только к тем сервисам и файлам, которые необходимы конкретному сотруднику;
- Проводите мониторинг активности — система DLP может контролировать вывод данных на почту, облака и съемные носители, а после блокировать доступ на конечном устройстве;
- Шифруйте данные — защищайте информацию на уровне устройства и в процессе передачи, а также подключайте многофакторную аутентификацию;
- Продумайте процедуру увольнения — отзывайте доступ ко всем корпоративным данным и ресурсам, как только сотрудник отработает последний день в фирме;
- Проводите регулярное обучение — рассказывайте о рисках инсайдерских угроз, тренируйте процедуру сообщения о них, а также моделируйте сценарии утечек на практике.
Что делать, если утечка все же произошла
- Изолируйте активность — немедленно заблокируйте учетную запись подозреваемого, чтобы не допустить дальнейшей кражи информации;
- Проведите расследование — узнайте, какие файлы открывал инсайдер, какие системы были затронуты и на каком устройстве это произошло;
- Оцените масштаб утечки — речь не только о финансах и репутации, но и о вероятности скомпрометированных данных сотрудников и клиентов;
- Подключите регуляторные органы — вам помогут Роскомнадзор и ГосСОПКА, а в случае серьезных нарушений — правоохранительные органы;
- Позаботьтесь о восстановлении — объяснитесь с клиентами и партнерами, предложите компенсацию за ущерб и внедрите дополнительные защитные меры.
Больше о бизнесе можно узнать в нашем телеграм-канале «Совкомбанк для бизнеса» или группе во ВКонтакте — подписывайтесь и оставайтесь в курсе главных бизнес-трендов.