Внутренние нарушители или инсайдеры: насколько опасны для компании и как защититься

Когда речь заходит о киберугрозах, первыми на ум приходят хакеры. Именно их деятельность чаще всего попадает на главные страницы профильных СМИ и новостных агрегаторов. На этом фоне кейсы с участием внутренних нарушителей появляются куда реже: в первую очередь из-за нежелания самой компании афишировать инцидент, драйвером которого (намеренно или случайно) стали собственные сотрудники.

Если обратиться к статистике Минцифры, то 70% утечек происходят из-за халатности или намеренных действий сотрудников. При этом отдельной статистики по деятельности инсайдеров нет, однако процент определенно значительный.

В этой статье будут разобраны виды инсайдерской деятельности, мотивация внутренних нарушителей на участие в киберинцидентах, а также программные и превентивные методы защиты компании.

Инсайдер в информационной безопасности

Формально, под инсайдером понимается любой человек с легальным доступом к той или иной корпоративной информации. Нарушителем он становится в тот момент, когда передает эти данные или иным способом предоставляет к ним доступ третьим лицам: хакерам, конкурентам или любым другим интерессантам.

Михаил Савельев

Директор по развитию бизнеса компании «Гарда Технологии»

В кибербезопасности к инсайдерам причисляют всех, кто имеет доступ к информационным системам, а, следовательно, и к обрабатываемой в них информации. И у слова «инсайдер» нет в этом случае негативного оттенка. Это скорее издержки профессионального восприятия действительности. Дело в том, что совершить зловредные действия в системе может и мотивированный или запуганный преступником пользователь, и захвативший управление его рабочей станцией или просто укравший/подобравший пароль к устройству хакер. Сотрудники кибербезопасности не видят человека и не анализируют его мотивы, а смотрят только на цифровые следы, поэтому стараются изначально минимизировать ущерб от возможных действий всех без исключения пользователей информационных систем.

Если говорить о «вербовке», то у условного злоумышленника 2 пути: работать с самим человеком или работать с его «цифровым двойником». Самого человека можно подкупить, запугать, вынудить или просто разговорить. Для этого злоумышленнику надо искать людей, анализировать их особенности и слабости, втираться в доверие. Бывают ситуации, когда обиженные сотрудники сами ищут способы отомстить компании, и тут встреча злоумышленника с таким человеком – вопрос времени и вероятности. Самостоятельная работа хакера опаснее тем, что он может превратить в злоумышленника даже самого лояльного и порядочного сотрудника компании. Для компрометации «цифровой личности» достаточно одного фишингового письма и невнимательности или неосведомленности человека. Так злоумышленник получает доступ к его учетной записи или рабочему месту, а отсюда – ко всем системам.

Если проводить условную градацию инсайдеров, то можно выделить несколько групп:

1. Нарушитель по незнанию. Распространены ситуации, когда сотрудник с правом доступа к корпоративным ИС обладает низким уровнем цифровой гигиены и просто не понимает, чем может обернуться для него и компании подключение к корпоративному устройству зараженной флешки или использование скомпрометированных пароля.
2. «Нарушитель-монетизатор». Это человек, который использует свое право доступа к данным для дополнительного, нелегального дохода. Например, подобные кейсы регулярно встречаются в работе отделений сотовых операторов (т.н. «мобильный пробив»).
3. «Разовый» инсайдер. Классический сценарий – человек (например, перед увольнением) « забирает» с собой чувствительные для компании данные, либо продает доступ к своей учетной записи третьим лицам.

Роман Ламинин

Ведущий специалист по ИБ eXpress

На самом деле утечки данных в большинстве своем происходят ненамеренно. Стать инсайдером можно, просто отправив документы не в тот чат или после перехода по ссылке из фишингового письма.

В остальных случаях мотивов много, и все они разные. Обида на компанию, желание заработать (и загрузка чувствительной информации на форумы в даркнете), работа на конкурента и так далее. Чтобы сделать правильные выводы, необходимо отдельно рассматривать конкретные случаи.

Также, у инсайдерской деятельности есть два важных маркера, по которым можно с определенной вероятностью вычислить внутреннего нарушителя, либо отнести потенциально склонного к нарушениям сотрудника к группе риска. К таким маркерам можно отнести:

• появление аномалий или отклонений от стандартного поведения в информационных системах компании;
• изменение в поведении сотрудника, которое может быть выражено снижением работоспособности, вовлечения в рабочий процесс, другими социальными метриками.

Таким образом, главный способ выявления потенциального внутреннего нарушителя – это поведенческий анализ в широком смысле. То есть изучение активности сотрудника в рабочих программах (особенно в тех аспектах, где он « соприкасается» с чувствительными данными), анализ изменений в корпоративном общении и изучение изменения метрик его эффективности (например, из CRM). Однако, даже такой подход не дает гарантии, что инсайдер не станет «черным лебедем» (непрогнозируемым событием) для компании.

Существующие критерии разнообразны, но все они не идеальны, поскольку поведение человека не подчинено строгим алгоритмам, а реакция на разного рода изменения может быть совершенно разной: от закрытости до показной вовлеченности.

Источники инсайдерских угроз

Главный источник такого вида угроз – это несовершенство человеческой природы и подверженность людей самым разным эмоциям: от страха и алчности до так называемых «лучших побуждений». Однако, если отойти от эмоциональных критериев, то можно выделить несколько типичных источников:

1. Недобросовестные конкуренты. Особенно актуален этот источник в контексте кражи интеллектуальной собственности, перспективным разработок и исходного года.
2. Хакеры. В даркнете полно объявлений о поиске инсайдеров в разных компаниях и секторах экономики, с обещаниями большого вознаграждения и других преференций.
3. Неэффективные менеджеры. Если корпоративная политика компании состоит из одних штрафов и ограничений, а связь между сотрудниками сугубо нормативная – сотрудника легче склонить на действие, наносящее организации потенциальный ущерб.

Дарья Зубрицкая

Директор по маркетингу и коммуникациям компании Ракета

Часто сотрудники в своих соцсетях или на профильных форумах оставляют отметки о своем месте работы. Злоумышленники умеют парсить данные источники информации и выявлять сотрудников интересующей компании. Поэтому в крупных компаниях есть запрет на публикацию фотографий с места работы с символикой компании.

Также одним из популярных мест поиска инсайдеров можно назвать сайты по поиску работы. Если человек публикует свое резюме, значит, он чем-то недоволен на текущем месте работы. А хакеры могут воспользоваться этим фактом. Например, методами социотехники убедить человека, что, если он посодействует в краже данных, то сможет устроиться на новое место работы.

Важно понимать, что даже если в компании выстроена культура работы с сотрудниками и внедрены инструменты профилактики инсайдерской деятельности, сохраняются те же риски при взаимодействии с контрагентами, если они имеют допуск к чувствительным данным.

Программные средства защиты от внутренних нарушителей

Инсайдерская угроза – это одна из наиболее сложных проблем кибербезопасности, поскольку внутренний нарушитель сразу имеет доступ к целевым данным, а в некоторых случаях вообще имеет повышенные привилегии в рамках инфраструктуры компании.

Соответственно, программные средства, связанные с защитой от инсайдерских угроз, как правило, направлены на:

• мониторинг поведения;
• предупреждение сотрудника об ответственности;
• разграничение доступа;
• Контроль за распространением информации;
• маркировку данных.

Александр Моисеев

Ведущий консультант по ИБ направления AKTIV.CONSULTING Компании «Актив»

Прежде всего мощным средством контроля и предотвращения утечек информации являются решения касса DLP. Причем, если западные решения направлены прежде всего на классификацию информационных ресурсов и уведомление пользователя в явном виде, что его действия могут привести к нарушению политики ИБ, то отечественные инструменты имеют богатый функционал предотвращения несанкционированной передачи информации из защищаемой организации, а также проведения комплексных расследований и восстановления картины случившегося события с фиксацией доказательств.

DLP позволяют «архивировать» весь сеанс работы сотрудника в корпоративной информационной системе и корпоративными данными вплоть до видеозаписи. Также многие решения обладают возможностью формирования «политик безопасности», т.е. ожидаемых событий ИБ по различным критериям и параметрам, а также части априорных корпоративных данных, при срабатывании данных политик может быть как активное реагирование – разрыв соединения по передаче данных, так и простое уведомление офицера безопасности.

При этом, для реализации некоторых элементов защиты совсем не обязательно использовать ИБ-инструменты. Например, для предупреждения сотрудника о недопустимости копирования и передачи данных достаточно обычного всплывающего окна или баннера, которое появляется при взаимодействии с определенными элементами.

Евгений Гуляев

Ведущий консультант по ИБ компании R-Vision

Для предотвращения попыток хищения конфиденциальной информации самым оптимальным решением можно назвать системы предотвращения утечек информации (DLP).

В свою очередь, системы поведенческого анализа UEBA дают возможность зафиксировать отклонение поведения пользователя от его нормально состояния, а также своевременно обратить внимание работников информационной безопасности на указанные факты. Примерами действия UEBA-систем могут являться такие факты, как попытка запуска скриптов или команд для сбора информации об ИТ инфраструктуре с использованием учетной записи работника, в служебные обязанности которого не входит администрирование инфраструктуры или попытка запуска несвойственного ему ПО.

Однако в случае попыток компрометации ИТ-инфраструктуры или предоставления доступа к ней третьим лицам, наиболее эффективными средствами являются системы класса Deception и UEBA (User and Entity Behavior Analytics). Технологии «обмана» Deception позволяют имитировать ИТ-инфраструктуру для обнаружения попыток компрометации ИТ инфраструктуры и обнаружения злоумышленников, уже проникших в корпоративную сеть в случае получения доступа через инсайдера. 

Многие программные решения имеют широкую специализацию, поскольку, с точки зрения кибербезопасности, градация нарушителей на внутренних и внешних практически не имеет значение с момента детекции злоумышленника в системе. Этот фактор, однако, остается важным с точки зрения форензики и дальнейшего расследования инцидента.

Иван Чернов

Менеджер по развитию UserGate (эксперт в сфере информационной безопасности)

Базовое средство защиты, обеспечивающее её и от внутренних и от внешних угроз даже без применения дополнительных спецсредств – межсетевой экран следующего поколения (NGFW). Он умеет анализировать сетевую активность, а также сегментировать доступ к инфраструктуре в зависимости от полномочий сотрудника. В совокупности анализ сетевого трафика и настроенные ограничения доступа смогут поддерживать контур безопасности в эффективном состоянии – например, отслеживать попытки доступа к тем информационным системам, которые по штату сотруднику не положены, но он вдруг начал пытаться туда попасть.

Наш совет – с помощью NGFW сегментировать доступы по категориям сотрудников или, если требуется, по конкретным пользователям в зависимости от их функционала и используемых приложений. Например, если сотруднику не положено пользоваться 1С, то он и не сможет туда попасть. Если ему не положено оказывать удаленную помощь, то весь сетевой трафик будет блокироваться настройками правил доступа. То же самое в полной мере относится и к сегментам сетевой инфраструктуры: если я менеджер по продажам, то мне не нужен доступ к сегменту разработки и, если я туда пришел, это звоночек для ИБ.

Другое дело, конечно, что в целом – возможно в силу нашей ментальности – в России до настоящего времени не слишком стремились жестко соблюдать все принципы и подходы к информационной безопасности. Но для этого и нужна функция ИБ в компании, чтобы доносить всю важность рисков нарушения правил, а значит и разграничивать доступы, минимизируя, тем самым, возможные последствия – в том числе от деяний инсайдеров.

Однако, есть и специфичные средства защиты. Например, связанные с возможностью сотрудником просто сфотографировать корпоративные данные на свой смартфон. Реализована функция контроля таких событий может быть с использованием веб-камеры или же с помощью накладывания на текстовый файл невидимой глазу «маски», по которой можно определить кто и когда сделал фотографию.

Еще одно важное направление – это внедрение корпоративных средств связи и обмена данными с внешними источниками: клиентами, контрагентами, потенциальными сотрудниками и тд.

Роман Мискевич

Технический директор, ПО ANWORK

Эффективными превентивными мерами от вредоносных действий сотрудников может стать, например, создание новых корпоративных стандартов ведения онлайн-переговоров вне периметра компании, так как зачастую взаимодействие с партнерами, клиентами, контрагентами и т.д. строится именно через общедоступные популярные сервисы. Именно они сегодня становятся основным инструментом и источником утечки конфиденциальной информации к третьим лицам. Ведь персонал, обмениваясь ей, не задумывается, что она, как минимум, попадает в руки разработчиков приложений. И этот факт может стать частью звена для хакерской атаки.

Передача критически важной корпоративной информации в режиме онлайн должна осуществляться с помощью защищенных решений, использование которых регламентировано и прописано в должностных обязанностях каждого сотрудника. Такие цифровые продукты уже существуют на рынке и доказали свою эффективность. Используя подобные сервисы, участники коммуникаций сразу попадают в ограниченный круг лиц, владеющих конфиденциальной информацией, и тогда выявить инсайдера достаточно просто.

В целом, на российском рынке достаточно ИБ-решений для защиты инфраструктуры компании от деятельности инсайдеров. Однако, внедрение инструментов должно происходить при достижении определенной зрелости компании с точки зрения корпоративной культуры и политики безопасности, иначе это будет борьба со следствием, а не с причиной.

Непрограммные решения для защиты и профилактики

Конкретные решения и подходы во многом обусловлены чувствительностью данных, которые могут быть скомпрометированы, а также особенностью отрасли и внутренней организации организации. С точки зрения « кибербезопасности в вакууме» можно просто проводить еженедельное тестирование всего штата на полиграфе. Однако, это скорее мера запугивания коллектива, которая позволяет обеспечить высокий уровень безопасности через поддержание высокого уровня стресса сотрудников и неизбежное снижение эффективности.

Евгений Родыгин

Эксперт по ИБ компании «Киберпротект»

Деятельность, связанная с непосредственной работой с сотрудниками наиболее эффективна, но и наиболее сложна. Важно сделать так, чтобы у сотрудника не появилось искушение на вредоносную деятельность, учитывать, что хороший сотрудник может превратиться в инсайдера моментально из-за изменений в его окружении, обиды и по множеству других причин. Нужно определить зоны риска для возможной деятельности инсайдера, роли в компании, которые могут быть желанны для инсайдера, работать с коллективом и, конечно, исключить лишь формальное отношение к вопросам информационной безопасности.

Если же говорить о лучших практиках в этом направлении, то можно выделить ряд решений:

1. Развитие корпоративной культуры. Сотрудник, который ощущает себя « частью компании N» и ассоциирует успех компании со своим (а в идеальном случае – и ощущает этот успех с точки зрения финансов) – с меньшей вероятностью решит пойти на нарушение.
2. Регулярная аналитика информации. Если HR занимается не только рекрутингом, но и реагирует на изменения в эффективности уже нанятых работников – это может помочь превентивно решить проблему с возникновением инсайдера.
3. Категоризация допуска. Распространенная ситуация, когда в компании, условно «все имеют допуск ко всему», в том числе и к данным, которые конкретному специалисту просто не нужны для выполнения своих обязанностей.
4. Профилактика. Целевая аудитория (то есть сотрудники) должны четко понимать свою ответственность как за намеренное допущение утечки данных, так и за ненамеренные действия.

Если же говорить об исключительных случаях, то можно использовать и специфические легальные решения. Например, если мы говорим о сотрудниках с высоким уровнем доступа к данным и системам (например, на уровне топ-менеджмента), поведение которых начинает вызывать подозрения, компания вполне может прибегнуть к OSINT-исследованию и другим услугам специалистов по коммерческой разведке.

При этом важно понимать, что недобросовестность сотрудников встречается гораздо реже, чем неосведомленность, невнимательность и непонимание того, что корпоративные данные скрываются от третьих лиц не просто так. Поэтому главный способ борьбы с инсайдерами – это регулярная разъяснительная работа о том, как нужно работать с корпоративной информацией и почему ее нельзя копировать на свой ноутбук, пересылать друг-другу в мессенджерах или фотографировать.