Кто такие инсайдеры и как с ними бороться

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
30.103
Репутация
11.800
Реакции
62.424
RUB
50
Доля киберпреступлений, связанных с инсайдерской деятельностью, постоянно растет.

На сегодняшний день она составляет примерно 2/3 всех инцидентов ИБ. В статье разберем, кто такие инсайдеры, чем они могут навредить и как с ними бороться.

Кто такие инсайдеры и как с ними бороться

Кто такие инсайдеры

Инсайдер — это сотрудник или партнер компании, который имеет доступ к конфиденциальной информации и ресурсам. Инсайдерами могут быть работники, консультанты, контрагенты и другие лица, которые владеют внутренней информацией компании.

Границы понятия «инсайдер» широкие. Из дословного перевода понятно, что это кто-то внутри компании, системы или процесса, кто имеет доступ к информации. Стоит отметить, что любая информация может оказаться ценной, это необязательно секретные данные, базы клиентов или результаты исследований. Для злоумышленника могут иметь вес такие сведения о жизни сотрудников, которые никому не придет в голову относить к охраняемым.

Например, сведения о том, кто из работников занимается спортом и какой фитнес-клуб посещает. Вот пример мошеннических действий. Сотруднику одной из компаний поступил звонок из его фитнес-клуба. Администратор попросил подтвердить карту посетителя в связи с переходом на новуюCRM-систему, для чего нужно было назвать код, который пришел на телефон. В итоге сотрудник, ни о чем не подозревая, предоставил доступ к внутренней системе своей компании.

ВАЖНО! Инсайдером может быть абсолютно любой сотрудник компании, включая тех, кто преследует злонамеренные интересы, и тех, кто по глупости или неосторожности раскрывает конфиденциальные сведения. Кроме сотрудников инсайдерами могут быть любые партнеры, имеющие доступ к информации. Ценность этой информации определяет злоумышленник.

Виды инсайдеров с учетом их мотивации

Условно инсайдеров можно разделить на несколько категорий, исходя из причин, которые ими движут.
  1. Халатные — совершают ошибки из-за невнимательности или недостатка знаний, что приводит к утечкам данных или другим нарушениям ИБ.
  2. Саботирующие — наносят вред компании, руководствуясь мотивами мести или вредительства. Например, удаляют важные данные или запускают шифровальщика.
  3. Увольняющиеся — забирают с собой важные данные, продают их конкурентам, используют полученные знания в ущерб бывшему работодателю.
  4. Целенаправленные — это шпионы, которые работают на конкурентов или внешние организации, передавая им конфиденциальную информацию. Также к ним относятся активисты, которые действуют в интересах определенных политических или социальных групп и используют доступ к данным для своих целей.
  5. Принудительные — действуют под давлением или угрозой со стороны третьих лиц, которые требуют предоставления информации (шантаж). Сюда же относятся манипуляции людьми с помощью методов социальной инженерии.
Эта классификация помогает лучше понять мотивы инсайдеров, определить виды угроз и разработать эффективные меры по управлению рисками, связанными с ними.

Чаще всего приходится иметь дело с финансово мотивированными, увольняющимися инсайдерами и шпионами

Чаще всего приходится иметь дело с финансово мотивированными, увольняющимися инсайдерами и шпионами

Виды угроз

  • Угроза для компании. Сюда относятся все случаи выноса данных за периметр, которые могут привести к финансовым и репутационным потерям компании. Под ударом — важная бизнес-информация: научно-исследовательские работы, база контактов, процессы и инструменты, персональные данные работников.
  • Персонифицированные риски. Цель персонализированной атаки — нанести вред определенному сотруднику или получить выгоду за счет использования его ресурсов и доступа.
  • Техногенные риски. Инсайдерская активность может привести к серьезным рискам для окружающей среды и здоровья населения. Например, злоумышленники угрозами или манипуляциями могут заставить сотрудника остановить систему очистки воды, что повлечет эпидемию. Могут быть спровоцированы взрывы или утечки опасных химических веществ, энергетические сбои, сбои в работе транспортных систем, включая железные дороги и метро, что приведет к авариям и тяжелым последствиям для общественной безопасности.
Эти примеры показывают, насколько важна защита бизнеса и критической инфраструктуры от внутренних угроз, подтверждают необходимость постоянного мониторинга и обновления систем безопасности.

СПРАВКА. Раньше злоумышленников больше интересовали данные компаний, то есть возможность украсть живые деньги, шантажировать руководство. Сейчас наши клиенты отмечают значительный рост персонализированных атак. Украсть что-то напрямую уже сложно — системы ИБ стали более совершенными. Сегодня самый ценный продукт для мошенников — базы с персональными данными для атаки на личность.

Как действуют внутренние нарушители

Обычно действия внутренних нарушителей предполагают:
  • «Пробив» данных клиентов компании — имея доступ к конфиденциальной информации о клиентах, например к персональным и финансовым данным, инсайдер может «вытащить» их из системы и передать заказчику.
  • Продажа похищенной информации заинтересованным лицам — для копирования данных инсайдер может использовать флешку, облако, LiveUSB, написать письмо или сообщение самому себе, сделать фото на телефон, а затем продать информацию конкурентам или киберпреступникам.
  • Запуск вредоносного программного обеспечения (ВПО) или выполнение определенных действий за материальное вознаграждение — инсайдер может как бы случайно перейти по фишинговой ссылке, скачать файл с вирусом, чтобы заразить систему, установить шпионское ПО, создать бэкодер (уязвимость) или выполнить другие действия, которые приведут к потере данных.
ВАЖНО. Многие ошибочно полагают, что, если у них невысокая должность, они неинтересны мошенникам. Но это не так! Получив доступ к внутренней системе, скажем, через учетную запись инженера по охране труда, хакер сможет повысить себе права доступа до системного администратора. Так он доберется до важной информации, не затратив много времени.

Популярные схемы мошенничества

Пожалуй, самый распространенный инцидент, связанный с инсайдерами, это история о том, как при увольнении сотрудник уносит с собой ценную информацию. Чаще всего — базу клиентов и контрагентов, технологии, результаты исследований, контакты для хедхантинга или компромат для шантажа.

В практике множество подобных кейсов. Сотрудники архивируют данные, копируют на USB-устройства и в облака.

Вторая по популярности мошенническая схема — махинации, связанные с экономической составляющей. Такие, как подтасовка выигрыша в тендере конкретной компании, с которой потом берется финансовое вознаграждение, так называемый откат.

В последнее время все чаще фигурирует схема Supply chain attack — атаки на цепочку поставок. Суть в следующем: когда крупную компанию взломать не получается, злоумышленники действуют через ее подрядчика. Предположим, подрядчик делает доработки для 1С. Фирма небольшая, и есть недоработки в ИБ — хакеры взламывают систему подрядчика и через нее проникают во внутреннюю систему крупной компании-заказчика.

Еще одна актуальная угроза — хактивизм, с ним все чаще сталкиваются клиенты в последнее время. Хактивисты, то есть идейно вдохновленные, внушаемые, подкупленные или действующие под угрозами сотрудники, сдают свои учетные данные, крадут информацию, нарушают работу систем. Хактивисты могут действовать в интересах политической, социальной, религиозной группы или просто за вознаграждение.

СПРАВКА. Как может выглядеть вербовка сотрудника? Человек получает сообщение примерно такого содержания: «Запустите этот файл из архива на рабочем ПК, сделайте скриншот, и мы переведем вам 15 000 рублей на карту». Как только сотрудник выполнит это действие, хакеры получат доступ в систему.

Участились случаи, когда хакеры регистрируются в мессенджерах под Ф. И. О. руководителей и отправляют сотрудникам сообщения о звонке из контролирующего органа с просьбой отнестись к ситуации ответственно. Затем звонят и выманивают данные

Участились случаи, когда хакеры регистрируются в мессенджерах под Ф. И. О. руководителей и отправляют сотрудникам сообщения о звонке из контролирующего органа с просьбой отнестись к ситуации ответственно. Затем звонят и выманивают данные

Как бороться с инсайдерами

Рассмотрим основные способы борьбы от более простых к более сложным по внедрению в компании.
  • Регламенты. У сотрудников должно быть четкое понимание, что делать можно, а чего нельзя. Для этого в компании разрабатывают и внедряют локальные нормативные акты (ЛНА) по информационной безопасности. В разных компаниях они могут отличаться.
ВАЖНО. Самый популярный аргумент в суде по делам об утечке данных через сотрудников — «я не знал, что так делать нельзя». Отмести этот аргумент помогут регламенты по ИБ, с которыми сотрудники ознакомлены под подпись.

При разработке регламентов по ИБ руководствуются одним общим правилом — документ должен быть небольшой и понятный даже ребенку. Четко, ясно и внятно на 1–2 страницах нужно простыми словами объяснить, что разрешено и допустимо на рабочем месте, а чего делать нельзя и как быть, если возникла непонятная ситуация.
  • Обучение. Недостаточно ознакомить сотрудников с регламентами по ИБ один раз. Важно организовать в компании регулярное обучение по кибербезопасности. Это могут быть тесты, в том числе геймифицированные, с доступным объяснением правил ИБ и проверкой знаний.
СПРАВКА. В обучение нужно вкладывать деньги, потому что технические средства при неквалифицированных сотрудниках не будут работать в полную меру. Если нет возможности разработать программу обучения самостоятельно, можно воспользоваться готовыми предложениями. Они есть на рынке и стоят недорого. ГК СКБ «Контур» также занимается разработкой обучающих программ и в ближайшем будущем представит их вашему вниманию.
  • Модель Zero Trust. Каждому сотруднику нужно предоставить минимально необходимый доступ для выполнения его обязанностей. Это снизит риск нарушений и утечки данных. Любой дополнительный доступ открывают только по заявке сотрудника, которую подтвердил руководитель отдела.
  • Технические средства. Речь о внедрении продуктов для защиты информации: решений класса PAM (Privileged access management) для контроля за привилегированными сотрудниками, IRM и DLP системы.
Важно. Безопасность — это не результат или конечная точка, которую можно достигнуть. Безопасность — это процесс, который происходит постоянно, непрерывная и ответственная работа.

Программные средства защиты от внутренних нарушителей​

Для защиты от инсайдерской активности ГК СКБ «Контур» предлагает следующие программные продукты:
  • — ПО для контроля за действиями пользователей и расследования инцидентов.
  • — двухфакторная аутентификация для защиты от проникновения в систему.
  • PAM-контроль привилегированных пользователей.
  • VPN для защиты доступа к внутренней информационной сети.
  • « » — сервис по управлению рабочими станциями.\
  • « » — сервис по аудитам и проверкам защищенности и устойчивости к взлому.
Эти программные продукты позволяют выстроить надежную систему защиты конфиденциальной информации в компании.

Прогнозы на ближайшее будущее

Еще пять лет назад статистика по инсайдерской активности была 50/50, то есть 50 % утечек происходили по вине сотрудников, 50 % — из-за взломов систем и других атак. Сейчас доля случаев с участием инсайдеров составляет 2/3, то есть превышает 66 %, и эта цифра продолжает расти.

Прогноз, который точно можно сделать на ближайшие пару лет, — улучшение качества подготовки атак. Мошенники станут брать не количеством, а именно качеством. Это будут целенаправленно проработанные атаки, спланированные с применением психологов и искусственного интеллекта. Активно будут задействованы технологии подделки речи и лиц (дипфейки). Соответственно, деятельность инсайдеров будет направлена на то, чтобы заполучить необходимую информацию.

В ответ на это начнут появляться персональные консультанты по информационной безопасности для критически важных сотрудников компаний, руководителей, учредителей. Их задачи — проверить и показать человеку, что о нем знает интернет, научить, как противодействовать возможным атакам. Консультантами могут быть привлеченные специалисты или сотрудники корпоративного подразделения ИБ.

Еще один актуальный тренд — кибербезопасников из крупных компаний начнут привлекать на аутсорс для помощи фирмам поменьше, которые не могут содержать в штате специалистов по ИБ. Такая практика уже началась.

Заключение

Вместе с ростом изощренности киберпреступников и расширением горизонта угроз растет и качество систем ИБ. Системный подход с использованием проверенных отечественных решений и грамотно выстроенных программ обучения для сотрудников помогает создать комплексную экосистему ИБ в компании и обеспечить надежную защиту от угроз со стороны инсайдеров.


 
  • Теги
    инсайдеры
  • Назад
    Сверху Снизу