Внутренние угрозы давно стали критическим фактором для корпоративной ИБ. По данным международной статистики и российских вендоров, до 80% всех инцидентов так или иначе связаны с человеческим фактором — от ошибок до злонамеренных действий.
В отличие от внешних атак, внутренние угрозы сложнее обнаружить, труднее расследовать и значительно опаснее: инсайдер действует из доверенной среды, обладает легитимными правами и понимает особенности инфраструктуры.
Ниже — системный разбор ключевых типов рисков, механизмов их возникновения и способов технического контроля.
Случайные утечки
Непреднамеренные нарушения — самый массовый тип внутренних угроз.
Ошибочные рассылки
Сотрудник отправляет документ не тому адресату (часто — из-за автодополнения адресов).
Использование неавторизованных сервисов
Google Drive, Telegram, WhatsApp, личные почты — это шифрованные каналы, которые не интегрированы в корпоративные системы логирования.
Копирование данных на личные устройства
Флеш-накопители, смартфоны, фотоэкранов с конфиденциальной информацией (очень частый сценарий в рознице, медицине, логистике).
Неправильное обращение с файлами
Путаница между рабочими черновиками и документами с финальными данными, хранение служебной информации на локальных дисках, удаление данных без резервирования.
Осознанные нарушения и инсайдеры
По частоте инсайдеры занимают меньшее место, чем случайные утечки, но по ущербу — абсолютные лидеры.
На практике инсайдеры чаще всего:
- специалисты, имеющие доступ к данным (аналитики, экономисты, бухгалтеры);
- сотрудники перед увольнением;
- партнеры/подрядчики с расширенными правами.
Инсайдеры могут преследовать разные цели: вывод клиентской базы, передачи коммерческой тайны конкурентам, шантаж, вредительские действия.
Типичные технические признаки инсайдера:
- Скачки в объемах операций. Например, выгрузка 5–10 ГБ данных за короткий интервал, когда обычная активность сотрудника — 200–300 МБ в день.
- Аномальные временные паттерны. Доступ к данным ночью, активность в период отпуска, подключение из других сетей.
- Попытки обхода политик. Отключение антивируса, запуск средств архивирования/шифрования для скрытия контента.
- Работа с файлами, не относящимися к его должностной функции. Пример: сотрудник склада открывает документы финансового департамента.
- Почему инсайдеры трудно обнаруживаются? У злоумышленника легитимный доступ, он действует по правилам, и его активность редко выглядит как взлом.
Без аналитики поведения и корреляции событий (DLP + SIEM) такие инциденты обнаруживаются только постфактум.
Социальная инженерия
50–70% успешных атак на компании начинаются со взлома сотрудника, а не инфраструктуры.
Сотруднику через расширение доверия предлагают перейти по ссылке, открыть ил установить обновление, показать документ, чтобы мошенник смог реализовать вредоносный сценарий, который приведет к негативным последствиям для информации.
Удалённая работа и мобильность
Удалёнка открыла десятки новых векторов риска:
- домашние ПК без корпоративных политик безопасности;
- неконтролируемые Wi-Fi-сети;
- личные смартфоны, синхронизирующие рабочие переписки;
- невозможность централизованно собирать логи;
- отсутствие контроля коммуникаций, выполнения трудового распорядка.
К тому же, сотрудники в таком случае часто используют ПО и сервисы, которые удобнее, чем корпоративные.
Что создаёт проблемы для ИБ:
- неконтролируемые каналы передачи файлов;
- сторонние менеджеры паролей;
- личные облака, не проходящие аудит;
- боты для автоматизации в Telegram;
- расширения браузеров, имеющие доступ к закладкам и страницам.
С точки зрения инфраструктуры это «слепые зоны» — данные утекут, но компания об этом не узнает.
Удаленка создает обманчивое впечатление безопасности для сотрудника, без регулярного обучения и строгой политики защиты риски информационной безопасности для работников такого уровня остаются высокими.
Низкая киберграмотность
Техническая грамотность сотрудников — тема, о которой часто забывают.
Почему обучение критично?
- фишинг эволюционировал: письма стали визуально неотличимы от легитимных;
- многие не понимают последствий простой ошибки;
- сотрудники доверяют облакам, публичным Wi-Fi, SMS от «банков»;
- новые угрозы появляются быстрее, чем обновляются регламенты.
Компании, где обучение проводится регулярно, фиксируют снижение успешных фишинговых атак до 70–80%.
Сегодня главным объектом защиты становится не периметр, а человек
Современная ИБ-среда — это динамичная система, где атаки происходят не только на уровне сетей и сервисов, но и на уровне поведения сотрудников.
Самые опасные инциденты начинаются с обычных действий персонала — клика, вложения, пересылки файла, использования «удобного» приложения.
Поэтому эффективная модель безопасности сочетает:
- технологии (DLP, SIEM, EDR, MDM);
- процессный подход (регламенты, контроль доступа, обучение);
- аналитику поведения;
- культуру безопасности.
Компании, которые выстраивают системную работу с персоналом, существенно сокращают вероятность инцидентов вне зависимости от внешнего ландшафта угроз.