Сергей Герасимов, эксперт в сфере кибербезопасности с опытом более 10 лет, руководитель RedTeam в SolidLab, рассказал о том, как бизнесу бороться с инсайдерскими угрозами.
Сергей, что такое инсайдерская угроза? Чем она отличается от других видов угроз кибербезопасности?
Инсайдерская угроза – это такая угроза безопасности, которая исходит от людей внутри организации: от сотрудников, в том числе бывших, подрядчиков и всех, у кого есть доступ к корпоративным данным.
Если говорить об отличиях от остальных видов угроз кибербезопасности, важно отметить, прежде всего: инсайдеры обладают гораздо большим объемом конфиденциальной информации и имеют к ней легальный доступ. Злоумышленнику со стороны приходится подбирать пароли, взламывать системы и выполнять множество прочих трудоемких действий, с риском не преуспеть. Инсайдеры уже имеют законный доступ к данным предприятия, они знают, какие системы используются и как обойти меры безопасности.
По этой же причине инсайдерские угрозы обычно труднее выявить. Многие технологии кибербезопасности рассчитаны на то, чтобы обнаруживать внешние угрозы, а не внутренние.
Отсюда следует, что инсайдерские угрозы способны причинить организации крупный ущерб: вызвать утечку данных, в том числе, конфиденциальных, нарушить работу систем, вывести их из строя полностью.
Еще одна особенность – внешний злоумышленник всегда намеревается извлечь для себя пользу, нанося организации вред. Инсайдер же может причинять компании ущерб нечаянно – когда, в силу недостатка квалификации, не понимает опасности своих действий. Кроме того, бывает, в случае неблагоприятной атмосферы в коллективе, сотрудник из мести наносит вред работодателю, не получая никакой выгоды, кроме психоэмоциональной.
Можете привести примеры инсайдерских угроз?
Утечка данных, саботаж, кража интеллектуальной собственности и так далее.
Когда сотрудник умышленно или случайно раскрывает конфиденциальную информацию третьим лицам, это относится к утечке данных. Допустим, работник банка, отправляя письмо по корпоративной почте начальнику, ошибочно в строке получателей выбрал электронный адрес менеджера микрофинансовой организации, которая кредитуется в данном банке. Таким образом, конфиденциальная информация банка попала в микрофинансовую организацию.
Утечки происходят не только через электронную почту, но и через флешки, облачные хранилища, через соцсети…
Кража интеллектуальной собственности – это ситуация, когда человек – сотрудник, подрядчик, – использует торговые секреты, патенты, клиентскую базу компании с выгодой для себя, либо продает на сторону.
А что такое саботаж?
Пример саботажа – недовольный сотрудник намеренно повредил системы, в результате чего часть данных потерялась, в работе – простой, компании нанесен экономический ущерб.
Согласно аналитическому отчетy Cost of a data breach 2022, стоимость утечки данных в сфере здравоохранения выросла на 42% с 2020 года. 12-й год подряд средняя стоимость утечки данных в здравоохранении была самой высокой. Почему именно медицина?
В сфере здравоохранения инсайдерские угрозы распространены, потому что клиники хранят чувствительную информацию – медицинские записи пациентов. Мошенники (например, врач или медсестра) могут выкрадывать данные и использовать их для шантажа: «У нас есть ваша история болезни, там написано, что вы лечитесь от алкоголизма. Заплатите нам круглую сумму, или мы выложим медицинские документы в открытый доступ».
Инсайдер может вывести из строя высокотехнологичное медицинское оборудование, а его сообщники — требовать плату за то, что настроят все, как было. Такой саботаж может создавать риски для здоровья и жизни пациентов.
В каких еще отраслях чаще всего происходит утечка данных?
Однозначно, финансовый сектор, торговля.
Банки хранят реквизиты счетов и личные данные клиентов. Инсайдер может воспользоваться тем, что у него есть доступ к этой информации, и осуществить незаконную финансовую операцию, либо продать персональные данные пользователей телефонным мошенникам.
Торговые сети обрабатывают данные о покупках и предпочтениях покупателей. Инсайдер имеет продать такую информацию конкурирующей компании. Кроме того, известны случаи саботажа систем управления продажами, запасами и т.д.
Что может сделать организация для выявления инсайдерской угрозы на ранних этапах?
Эта задача не из легких, но она выполнима. Прежде всего, необходимо наблюдать за тем, как ведут себя сотрудники. Если работник стал регулярно задерживаться в офисе, когда коллеги уходят, — это «звоночек». Когда у сотрудника вдруг изменилась производительность, то также необходим анализ причин.
Важно анализировать сетевой трафик. Если работник начал загружать большие объемы данных, чего раньше не было, то можно заподозрить в нем инсайдера и провести проверку.
Сейчас многие процессы в обеспечении кибербезопасности автоматизированы: технологии искусственного интеллекта и машинного обучения помогают быстрее выявлять признаки инсайдерской угрозы.
Помимо технологий и личного наблюдения, в компании должны быть соответствующие политики и процедуры. Они должны четко описывать, как часто и в какой форме проводить обучение персонала основам кибербезопасности, какие действия должен предпринять сотрудник на той или иной должности, если заподозрил инсайдерскую угрозу, и так далее.
Обучение персонала – важный элемент выстраивания кибербезопасности на предприятии. Если любой человек: уборщица, менеджер по продажам, маркетолог, генеральный директор, – знает, как заподозрить угрозу и кому нужно сообщить об этом, то риск ущерба компании снизится.
Известно: «Предупредить – легче, чем лечить». Как предприятие может снизить риск инсайдерских угроз, а, в идеале, предотвратить их?
Для этого нужен комплексный подход. Как я упомянул, необходимо обучать персонал. Бухгалтер или администратор на ресепшен не обязан отличать UDP от ICMP-флуда, но он должен знать, что нельзя переходить по ссылке, полученной в письме от незнакомого пользователя.
Важно, повторю, отслеживать поведение персонала и обращать внимание, если оно вдруг меняется.
Эффективно в профилактике инсайдерских угроз применять принцип наименьших привилегий. Он подразумевает, что работнику предоставлены только те доступы, которые необходимы для выполнения его функционала. Менеджер по продажам получает доступ в СRM, но ему не дают прав на просмотр файлов отдела технического контроля. А специалистам по техническому контролю, соответственно, не предоставляют доступ к СRM. Таким образом, каждый видит только ту информацию, которая относится непосредственно к его работе.
Полезно помнить о такой категории инсайдеров как бывшие сотрудники. Если компания не деактивирует учетную запись работника после увольнения, то есть риск, что он будет ее использовать для доступа к системам и данным организации.
Чтобы все вышеперечисленное удалось, следует создавать и развивать внутри компании культуру безопасности, чтобы безопасность была в приоритете у каждого сотрудника. Это поможет организации улучшить защиту данных и систем от инсайдерских угроз.
Автор: Светлана Суворова