История, которая заставит вас пересмотреть всю безопасность.
Честно говоря, я бы хотел рассказывать на консультациях про сложные APT-атаки и хакерские группировки. Это эффектно. Но в 95% случаев всё начинается прозаичнее: с обычного сотрудника, который получает в личку сообщение с вопросом «Хочешь подзаработать?». И знаете, что самое страшное? Откликаются. Чаще, чем вы думаете.
📈 Вот реальный случай из моей практики, который заставил даже меня, видавшего виды, выпить кофе в два глотка.
На разбор в одну крупную retail-сеть позвали уже постфактум. Уже была утечка базы клиентов. Искали дыру в системе, ломали голову над логиками, пока один из администраторов не проговорился в курилке: «Да Петр из IT в последнее время шикует, на новую машину накопил». Петра проверили. Оказалось, три месяца назад к нему в Telegram написал «хедхантер». Предложил «несложный фриланс»: раз в неделю скидывать логи входа в корпоративный портал. Сумма — $500 в месяц. Для регионального админа — деньги космические. Он согласился. А через его аккаунт, уже скомпрометированный, злоумышленники спокойно вошли во все системы, будто у них были свои ключи от всех дверей.
И ведь это не единичный случай. Это уже тренд, причем растущий как на дрожжах. Почему? Потому что взломать человека через социальную инженерию или подкуп почти всегда дешевле, надежнее и тише, чем ломиться в технологические укрепления компании. В современном мире киберпреступники сделали ставку на внутренние источники — на живых людей, готовых за деньги «подсобить». И эта тенденция бьет прямо по больному: выполнение требований ФСТЭК, 152-ФЗ, 187-ФЗ по защите персональных данных и критической информационной инфраструктуры (КИИ) становится в разы сложнее. Ведь не прописать же в политике ИБ пункт «не продавай пароли от админки».
Вербовка сотрудников: как это работает на самом деле, а не в кино 👥
Забудьте про агентов в плащах и тайные встречи в подворотнях. Всё куда проще и циничнее. В киберпреступной среде растет интерес не к взлому, а к вербовке. Зачем неделями искать уязвимость в системе, если можно купить ее у того, кто внутри нее работает?
На теневых форумах и в закрытых Telegram-каналах сейчас целые разделы под названием «Ищем контакты в компаниях». Там висят объявления, которые поражают своим разнообразием. Одни написаны сухим языком вакансий: «Требуется сотрудник банка для долгосрочного сотрудничества. Высокое вознаграждение». Другие играют на жалости или алчности: «Устали от нищенской зарплаты? Поможем вашему начальнику оценить вас по достоинству». Это не шутка, я сам такие читал.
И суммы там… Они действуют гипнотически.
За разовый сброс пароля сисадмину могут предложить $2000-5000.
За постоянный доступ к системам бухгалтерии или базам данных — десятки тысяч, иногда даже с «процентной ставкой» от суммы будущих хищений. Шестизначные суммы в долларах — не фантастика для доступа к системам крупного банка или оператора связи. Речь идет о передаче доступов, истории транзакций, клиентских баз, внутренних переписках.
Что любопытно, уровень технической подготовки «вербуемого» почти не важен. Нужен и уборщик, имеющий физический доступ в серверную ночью, и финансовый директор, который может подтвердить поддельный платеж. Каждая роль имеет свою цену.
Финансовый сектор: главная мишень, где ставки — миллионы 🏦
Тут без сюрпризов. Финансы — это кровь бизнеса, и за ней охотятся активнее всего. В даркнете я видел конкретные таргетированные предложения для сотрудников российских банков из ТОП-50, бирж, брокеров, даже налоговых инспекций. Особый хит — сотрудники, работающие с системами быстрых платежей (СБП).
Микро-кейс из практики коллеги: в одном банке «внезапно» начали срабатывать правила DLP на почте у рядового операциониста. Он пытался отправить «себе на память» скриншоты внутренней системы с данными клиентов. При обыске рабочего компьютера нашли не только файлы, но и историю переписки в мессенджере. Ему предлагали $700 за каждые 1000 строк данных из базы с номерами телефонов и паспортными данными. И он согласился.
Для хакеров сотрудник банка — это золотая жила.
За предоставление истории транзакций VIP-клиента или административного доступа к системам AML (противодействие отмыванию) готовы платить десятки, а иногда и сотни тысяч долларов. Отдельный, и очень мрачный, рынок — это готовые базы. Помните ту, что на 37 миллионов записей за $25000? Так вот, это лишь верхушка айсберга. На практике, цена сильно зависит от свежести данных и их полноты. База с полными паспортными данными и историей кредитов стоит в разы дороже.
Технологические и телеком-компании: здесь крадут не деньги, а будущее 📱
Казалось бы, зачем вербовать инженера из крупной IT-компании? Ответ вас удивит. Часто — не для атаки на саму компанию, а для использования ее ресурсов в атаках на других. Скомпрометированный аккаунт в облаке разработчика может стать мощным инструментом для хостинга вредоносного ПО, рассылки фишинга или майнинга криптовалюты.
Но есть и прямые цели. Особый интерес у злоумышленников вызывают сотрудники, имеющие доступ к исходному коду, дорожным картам продуктов, данным клиентов SaaS-сервисов. Представьте, что ваш конкурент за полгода до релиза узнает все фичи вашего нового продукта. Цена такой информации на теневом рынке астрономическая.
Атаки с подменой SIM-карт (SIM-swap) — это отдельная, чрезвычайно прибыльная индустрия. Для их успеха критически важна «палочка-выручалочка» внутри мобильного оператора. Такой сотрудник может за деньги (обычно $1000-3000 за операцию) выполнить внутреннюю процедуру перевыпуска сим-карты на подконтрольный злоумышленникам номер, получив тем самым доступ ко всем SMS и звонкам жертвы. Это ключ к взлому аккаунтов в соцсетях, банков, почты. И, к слову, этот вектор атаки в России почему-то до сих пор дико недооценен.
Риски для бизнеса: это не только деньги, это конец репутации 📉
Давайте начистоту: прямые финансовые потери от слива данных или мошеннических транзакций — это часто лишь начало. Главный удар приходится по репутации. Клиенты, которые узнают, что их паспорта «гуляют» по даркнету из-за того, что ваш бухгалтер захотел новенький iPhone, просто уйдут. И не вернутся.
Анонимность расчетов в криптовалюте сделала вербовку сверхпривлекательной.
Нет цепочек банковских переводов, которые можно отследить. Нет контактов. Только Telegram, кошелек Tron или Bitcoin, и полная уверенность в безнаказанности. Для компаний это означает, что даже поймав «крота», вы вряд ли выйдете на заказчика.
И, конечно, регуляторы. ФСТЭК и Роскомнадзор не примут в качестве оправдания историю про «да он сам продался». Невыполнение требований 152-ФЗ о защите персональных данных или 187-ФЗ о безопасности КИИ из-за внутреннего нарушителя ведет к гигантским штрафам, вплоть до приостановки деятельности. Это уже не гипотетическая угроза, а суровая реальность российского рынка.
Что делать? Меры защиты, которые работают не на бумаге, а в жизни 🛡️
Типичная ошибка — думать, что хватит DLP-системы и разового обучения. Не хватит. Это как поставить замок на дверь, оставив окно нараспашку.
Нужен комплексный, иногда даже параноидальный подход, основанный на трёх китах: технологии, культура и мониторинг.
1. Честный разговор вместо формальных тренингов 🧠
Забудьте скучные слайды про «не открывайте файлы из неизвестных источников». Сотрудникам нужно показывать реальные скриншоты с предложениями о вербовке с тех же форумов. Рассказывать, как именно начинается диалог, какие аргументы используют вербовщики («это же не вредительство, это просто копия данных»), и чем это заканчивается для сотрудника — не деньгами, а уголовной статьей 183 УК РФ (незаконные получение и разглашение коммерческой тайны). Говорите начистоту: «Ребята, за вами охотятся. Вот как это выглядит. Если пришло такое — сразу к нам, в Службу безопасности. Это не ябедничество, это защита и вас, и компании».
2. Мониторинг, который смотрит не только на логи, но и на поведение 📊
При этом, честно говоря, классический SIEM, который заваливает тысячами алертов в день, тут мало поможет. Нужны UEBA-системы (анализ поведения пользователей и объектов). Они учатся понимать, что для Петра из бухгалтерии нормально, а что — нет. Например, Петр всегда работает с 9 до 18, из московского офиса. И вдруг его учетка в 3 ночи по мск скачивает пачку финансовых отчетов, да еще и с попыткой отправить их на внешний почтовый ящик. Это красный, кричащий алерт. Или сотрудник вдруг начинает массово запрашивать доступы к системам, не связанным с его работой. На практике внедрение UEBA снижает время обнаружения внутренних инцидентов в разы.
3. Принцип минимальных привилегий — это не бюрократия, это спасение 🔐
Этот принцип (Least Privilege) все ненавидят, потому что он мешает работать. Но именно он рубит на корень 80% возможных злоупотреблений. Сотрудник из отдела маркетинга не должен иметь доступа к финансовому модулю 1С. Админ службы поддержки не должен видеть базу кадров. Это органично встроенная LSI-фраза, которая является основой защиты от внутренних угроз. Реализовать это можно через системы PAM (Privileged Access Management) для админов и IAM (Identity and Access Management) для рядовых пользователей. И да, многофакторная аутентификация (MFA) для любого входа в критичные системы — это уже must have, а не рекомендация.
4. Dark Web Monitoring: знать, о чем говорят за вашей спиной 🔎
Это не магия, а рутина. Постоянный мониторинг теневых площадок, форумов, Telegram-каналов на предмет упоминаний вашей компании, доменов, ключевых сотрудников. Иногда там появляются не прямые предложения о вербовке, а запросы: «Ищу контакт в компании N, у кого есть доступ к…». Это самый ранний звоночек, сигнал к тому, что на вас могут готовить атаку. Упустите его — получите инцидент через месяц. Эту работу можно отдать на аутсорс специализированным CTI-командам (Cyber Threat Intelligence), которые знают, где и что искать.
Личный абзац: как мы нашли «крота» по косвенным признакам
Однажды нас пригласили в компанию, где за полгода «ушли» три перспективных средних менеджера. Формально — по собственному желанию. Руководство списывало это на рейдерский захват. Но CISO смущала одна деталь: все трое перед уходом запрашивали огромные объемы аналитики по клиентам, ссылаясь на «финальные отчеты». Мы начали с анализа их цифровых следов. И обнаружили интересное: у всех троих в течение последнего года в рабочих логах мессенджеров (которые хранились для аудита) были случайные, единичные контакты с номерами, зарегистрированными на подставных лиц. Общение было коротким: «Привет, как дела?», «Ой, извините, ошибся номером». Похоже на тестовые «проверки на вшивость». Дальнейшее расследование показал, что за ними действительно охотился хедхантер от конкурента, который таким образом искал нелояльных сотрудников. Вербовка не удалась, но угроза была абсолютно реальной.
10 правил 2026 года от практика, который устал всё это расхлебывать
- Проверяйте соцсети ключевых сотрудников. Увлечение криптой, резкие жалобы на низкую зарплату, геолокации в подозрительных местах — это индикаторы риска.
- Внедряйте систему добровольных отчетов. Сделайте анонимный канал, где сотрудник может сообщить о подозрительном предложении или поведении коллеги без страха.
- Аудит не после, а до. Не ждите инцидента. Проводите регулярные тесты на проникновение (Pentest), но с фокусом на социальную инженерию и поиск внутренних уязвимостей.
- Сегментируйте сеть жёстче. Даже если злоумышленник получит доступ изнутри, он должен упереться в следующую стену. Сегментация сети — это must.
- Шифруйте данные на концах. Чтобы даже украденная база данных с ноутбука сотрудника представляла собой бесполезный набор символов.
- Контролируйте порты и устройства. Запретите произвольное использование USB. Любая флешка — потенциальный канал утечки или заражения.
- Создайте «культуру паранойи» в хорошем смысле. Пусть сотрудники дважды думают, прежде чем открыть вложение или перейти по ссылке.
- Работайте с HR с самого начала. Внедряйте проверки на благонадежность при приеме на работу и периодически — для сотрудников, получивших доступ к критическим данным.
- Имейте план на случай инцидента. Что делать, если факт вербовки или утечки подтвердился? Кого оповещать, как изолировать угрозу, как общаться с регуляторами?
- Не экономьте на Threat Intelligence. Знать, что о вас говорят в даркнете, — это не роскошь, а базовый гигиенический фактор в 2026 году.
И вот здесь — стоп. Если вы CISO, директор по безопасности или владелец бизнеса, и читая это, понимаете, что ваша защита держится на честном слове и старой DLP, пора действовать.
══════
Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист аудита защищённости от внутренних угроз + дорожную карту внедрения + КП.
Первые 5 заказов каждый месяц — расширенный аудит ИБ на 12 страниц в подарок!
══════
FAQ: вопросы, которые мне задают чаще всего ❓
1. А если сотрудник очень умный и скрытный, как его поймать?
Ни одна технология не даёт 100% гарантии. Но сочетание поведенческого анализа (UEBA) и контроля привилегий (PAM) создаёт среду, где любое нестандартное действие будет заметно. Задача — не поймать гения, а сделать злоупотребление настолько сложным и рискованным, что оно станет невыгодным.
2. Наш бизнес не такой большой, нас точно не будут вербовать?
Опасное заблуждение. Вербуют не по размеру компании, а по ценности данных. У вас может быть база клиентов на 1000 человек, но если это богатые частные инвесторы — вы мишень. Или вы — поставщик для крупного завода из КИИ? Через вас могут идти на него.
3. Мы соблюдаем 152-ФЗ, у нас есть все документы. Этого достаточно для защиты?
Честно? Нет. ФСТЭК и 152-ФЗ задают необходимый минимум. Но они не могут предписать «сделайте так, чтобы людям не хотелось вас предавать». Это уровень выше — уровень зрелости процессов безопасности.
4. Говорят, можно застраховать киберриски. Это выход?
Страховка — это финансовая подушка на случай инцидента. Она покроет часть убытков на восстановление и, возможно, штрафы. Но она не восстановит репутацию и не вернёт ушедших клиентов. Лучшее страхование — это грамотная профилактика.
5. Мы используем российское ПО для безопасности. Этого хватит?
Качество многих отечественных решений (DLP, SIEM, PAM) сейчас на очень высоком уровне, и они учитывают специфику российского рынка и регуляторики. Ключ — не в стране-производителе, а в правильном выборе, внедрении и, главное, в эксплуатации этих систем. Ими нельзя просто «закрыть галку» для ФСТЭК, их нужно жить с ними.
И последнее, личное наблюдение. Мир информационной безопасности давно разделился на два лагеря: те, кто думает об атаках извне, и те, кто уже понял, что главная битва происходит внутри периметра. За доверием сотрудников, за их лояльностью, за их бдительностью. Это сложнее, менее технологично, но в разы эффективнее.
Не дайте себя обмануть. Тихая угроза внутри — самая опасная.
══════
Больше материалов: Центр знаний SecureDefence.
Оставьте заявку на бесплатную консультацию: [Перейти на сайт]