Когда свой становится чужим: как стресс и спешка превращают лояльных сотрудников в главную угрозу ИБ

В мире информационной безопасности принято демонизировать инсайдера. Мы представляем себе коварного шпиона, который под покровом ночи копирует секретные чертежи на флешку, чтобы продать их конкурентам за чемодан наличности. Мы строим модели угроз, ориентированные на выявление злонамеренного умысла, мошенничества и саботажа.

Однако статистика инцидентов в России и СНГ за последние годы рисует совершенно иную, гораздо более прозаичную и оттого пугающую картину. Более 60% утечек данных происходят не по злой воле, а по глупости, неосторожности или из-за банального желания «поработать эффективнее».

Главная угроза периметру сегодня — это не хакер в худи и не подкупленный конкурентами топ-менеджер. Это лояльный, трудолюбивый сотрудник, который в состоянии дедлайна пересылает клиентскую базу себе на личную почту с темой «Доделать дома». Он не собирается ничего красть. Он хочет помочь компании. Но именно в этот момент он превращается в уязвимость нулевого дня, которую не закроет ни один патч.

В этой статье мы разберем анатомию «неумышленного инсайдера»: почему лучшие сотрудники становятся угрозой, как стресс отключает критическое мышление и почему жесткие запреты только усугубляют ситуацию.

Неумышленный инсайдер: портрет «Героя», ставшего проблемой

Кто такой неумышленный инсайдер? В отличие от классического злоумышленника, у него нет мотива нанести ущерб. Наоборот, часто его мотив — гипертрофированная лояльность и трудоголизм.

В российских реалиях, где культура переработок и «подвигов» на рабочем месте считается нормой, портрет такого нарушителя выглядит до боли знакомым:

• Перегруженный специалист. У него горят три проекта одновременно, телефон разрывается от уведомлений, а начальник требует отчет «вчера». Его когнитивный ресурс истощен, и мозг ищет самые простые пути решения задач, игнорируя сложные регламенты ИБ.
• Сотрудник в состоянии выгорания. Ему все равно. Бдительность притуплена. Он нажимает «Разрешить макросы» или открывает вложение «Счет_на_оплату.exe» просто на автомате, потому что устал вчитываться в детали.
• Новичок без онбординга. Человек, который искренне не понимает, почему нельзя отправить скан паспорта клиента через WhatsApp. Ему просто никто не объяснил, почему это опасно, а регламент на 100 страниц он подписал не глядя.

Угроза в данном случае возникает не из мотива (зачем?), а из поведения (как?). Мы имеем дело с нарушением процессов, а не с преступлением. Но для безопасности данных результат одинаков — они оказываются в «серой зоне».

Три всадника цифрового апокалипсиса: Стресс, Спешка, Удобство

Чтобы понять, как нормальный сотрудник превращается в угрозу, нужно проанализировать триггеры, толкающие его на нарушение. В психологии безопасности выделяют триаду факторов:

Фактор №1. Стресс и туннельное зрение

В состоянии острого стресса (конец квартала, налоговая проверка, запуск продукта) у человека включается «туннельное зрение». Приоритетом становится результат любой ценой. Вопросы безопасности отходят на второй, третий и десятый план.
Пример: Финансовый директор в ночь перед аудитом не может подключиться к VPN из-за сбоя. Чтобы не сорвать проверку, он выгружает 1С-базу на Яндекс.Диск и дает ссылку аудиторам. Задача выполнена, бизнес спасен? Нет, бизнес поставлен под удар, так как ссылка осталась публичной.

Фактор №2. Спешка как катализатор ошибок

«Быстрее» — главный враг «Безопаснее». Спешка заставляет срезать углы.

«Корпоративная почта не пропускает вложение больше 20 Мб? Скину через Telegram, там лимитов нет».

«Нужно срочно распечатать договор, а офисный принтер занят? Скину на флешку и распечатаю в копи-центре за углом».
Сотрудник выбирает путь наименьшего сопротивления.

Фактор №3. Иллюзия удобства

Пользовательский опыт (UX) корпоративных систем часто проигрывает публичным сервисам. Если CRM «тормозит» и требует пятифакторную аутентификацию, а Google Таблицы летают и доступны с телефона — сотрудник выберет Таблицы. Так рождается Теневое IT: параллельная инфраструктура, которую ИБ-отдел не видит и не контролирует.

Самая опасная фраза в ИБ: «Я потом удалю»

Психология «временного решения» — это бич информационной безопасности. Каждый сотрудник, пересылающий рабочие файлы на личный ноутбук или почту, искренне верит в мантру: «Я сейчас поработаю на даче/в отпуске, а потом сразу все удалю».

Почему это ложь, в которую верят даже честные люди?

1. Эффект цифрового накопления. Человек забывает удалить файл сразу после завершения работы. Файл теряется в папке «Загрузки» среди сотен фотографий и мемов.
2. Неконтролируемое размножение. Отправляя файл себе на gmail, сотрудник создает минимум три копии: в «Отправленных» корпоративной почты, во «Входящих» личной почты и на жестком диске домашнего ПК. Удалить файл с диска недостаточно — он остался в облаке Google/Mail.ru.
3. Внешние факторы. Личный ноутбук могут украсть, домашний Wi-Fi взломать, а пароль от личной почты (который часто совпадает с паролем от онлайн-кинотеатра) — скомпрометировать.

Как стресс меняет цифровое поведение: сигналы для DLP

Службе безопасности важно понимать: поведение человека в стрессе меняется предсказуемо. Это можно и нужно отслеживать с помощью инструментов поведенческой аналитики (UBA/UEBA), встроенных в современные DLP-системы.

Маркеры риска в период турбулентности (увольнения, реорганизации, дедлайны):

• Смещение активности. Сотрудник начинает работать в нетипичное время: поздно ночью, в выходные. Это признак либо аврала (риск ошибки), либо подготовки к уходу.
• Хаотичные коммуникации. Резкий рост количества писем на внешние адреса, использование множества мессенджеров, попытки обойти прокси-серверы.
• Изменение лексики. В переписке появляются маркеры агрессии, паники или, наоборот, апатии. DLP с лингвистическим анализом может подсветить «токсичного» сотрудника до того, как он совершит глупость.

Почему политика «Запрещать и не пущать» не работает

Традиционная реакция российского бизнеса на инциденты — «закрутить гайки». Запретить флешки, закрыть доступ к облакам, заблокировать мессенджеры.

Но в борьбе с неумышленными инсайдерами жесткие запреты часто дают обратный эффект.

1. Эффект воды. Если перекрыть русло реки (легальный канал), вода найдет щель (нелегальный канал). Если закрыть USB-порты, сотрудники начнут фотографировать документы на телефон. Если заблокировать Telegram Desktop, они уйдут в WhatsApp Web через мобильный интернет.
2. Паралич бизнеса. Жесткие меры безопасности часто останавливают бизнес-процессы. Если менеджер не может отправить КП клиенту оперативно, компания теряет деньги. В итоге сотрудник находит способ обойти защиту ради выполнения KPI.

Проблема не в людях. Проблема в процессах. Если сотруднику неудобно работать безопасно, он будет работать опасно, но эффективно.

Стратегия защиты: от наказания к помощи

Как минимизировать риски «человеческого фактора», не превращая офис в режимный объект строгого режима?

А. Обучение через контекст

Забудьте про скучные лекции раз в год под роспись. Обучение должно быть в моменте.

DLP-система фиксирует попытку отправки файла на личную почту? Вместо тихой блокировки выведите pop-up окно: «Вы пытаетесь отправить документ с грифом "ДСП" на внешний ящик. Это небезопасно. Пожалуйста, воспользуйтесь корпоративным файлообменником или VPN. Нажмите "Отмена", если сделали это случайно».

Это не наказывает, а обучает. 80% сотрудников нажмут «Отмена», осознав ошибку.

Б. Легализация и контроль каналов

Вместо войны с мессенджерами — возглавьте их использование.

Нужен Telegram для работы? Установите корпоративный мессенджер (eXpress, VK Teams) или возьмите использование публичных мессенджеров под контроль DLP (через агенты на рабочих станциях).

Нужно работать из дома? Выдайте корпоративные ноутбуки с преднастроенным VPN и VDI (виртуальными рабочими столами). Не заставляйте людей работать с личных устройств.

В. Поведенческий анализ (DLP + UEBA)

Настройте систему безопасности не на поиск ключевых слов, а на поиск аномалий.

• Система должна видеть, что Иванов из бухгалтерии, который обычно отправляет 5 писем в день, сегодня отправил 50 архивов. Даже если в них нет слова «Секретно», это аномалия, требующая внимания офицера безопасности.

Вывод: угроза — это сценарий, а не человек

Мы привыкли делить сотрудников на «хороших» и «плохих». Но в информационной безопасности угроза — это не статичная характеристика личности, а динамическое состояние.

В состоянии стресса, спешки или выгорания любой «хороший» сотрудник может реализовать «плохой» сценарий. Задача современного CISO и руководителя бизнеса — не просто искать шпионов, а выстроить среду, в которой безопасно работать проще и быстрее, чем рискованно.

Задайте себе вопрос: Вы уверены, что ваши текущие бизнес-процессы не толкают сотрудников на нарушение правил ради блага компании? Если ответ «не уверен», значит, ваши риски уже реализовались, просто вы об этом еще не знаете.