.gif)
Одной из наиболее серьезных угроз для информационной безопасности организаций являются инсайдерские атаки.
Внутренние угрозы, исходящие от сотрудников или других внутренних лиц, могут иметь разрушительные последствия для конфиденциальности, целостности и доступности данных. В статье рассказываем, кто может стать инсайдером, как его обнаружить и какие меры предпринять для защиты информации от подобных угроз.
Внутренним агентом может оказаться как новый человек в организации, который проникает в компанию с целью действовать в интересах конкурентов или злоумышленников, либо им может стать действующий сотрудник ради финансовой выгоды. Например, инсайдеры в банковской сфере могут карт, счетов, паспорта, а операторы мобильной связи и сотрудники правоохранительных органов оказывать .
Не все инсайдерские угрозы — злонамеренные. Многие из них происходят по неосторожности, часто от несоблюдения правил информационной безопасности. Например, сотрудник может стать жертвой фишинга, забыть выйти из учетной записи рабочего ноутбука перед тем, как отнести его в мастерскую, подключиться к общественным сетям Wi-Fi или просто скачать зараженное ПО.
Компания InfoWatch сообщила в своем , что 2019 году 98% от совокупного объема персональных данных и финансовой информации были скомпрометированы в результате небрежности или грубой неосторожности лиц, имеющих легитимный доступ к указанным данным.
Помимо штатных сотрудников в стратегии защиты от инсайдерских угроз стоит учитывать и подрядчиков, с которыми компания сотрудничает проектно или на постоянной основе. Их особенность в том, что контролировать уровень безопасности и проверять сотрудников на благонадежность не представляется возможным. Так в 2023 году Genova Burns — подрядчик компании Uber Technologies — допустила конфиденциальных данных водителей. Также данные компании «Спортмастер» через одного из подрядчиков.
Еще один тип инсайдеров — недовольные действующие или уже бывшие сотрудники. Они могут красть базы данных, уносить их с собой на следующее место работы или просто вредить из мести или ради обогащения. Так, бывший сотрудник израильской компании NSO Group и пытался продать в дарквебе ПО и информацию о способе взлома устройств под управлением iOS и macOS. А в 2023 году бывший сотрудник НИИ «Восход» биометрическими данными граждан.
Вне зависимости от того, была ли инсайдерская угроза умышленной или непреднамеренной, она несет ощутимый ущерб компании.
1. Работать с сотрудниками. Ввести режим коммерческой тайны, прописав в договорах соглашение о неразглашении, разрабатывать инструкции по информационной безопасности и проводить обучения, тренинги.
2. Принять технические меры. Навести порядок в данных и правах доступа — знать, где находится информация, контролировать и обновлять права доступа. Использовать системы Data Leak Prevention для блокировки передачи конфиденциальных данных и решения User and Entity Behavior Analytics для своевременного обнаружения аномального поведения пользователя и закрытия доступа для него. Использовать многофакторную аутентификацию.
В качестве проверки служба безопасности компании может сама разместить запрос на профильной площадке, теневом форуме о готовности купить инсайдерскую информацию своей компании. Такой способ вычисления внутреннего нарушителя может быть эффективным, но имеет ограничения, в том числе с юридической стороны.
Анализ сотрудника может указать на риск возникновения инсайдерской угрозы. При этом стоит обращать на только на цифровые действия, как например, неожиданные запросы и скачивание больших объемов данных, необычные входы в систему и использование данных, не связанных с должностными обязанностями. Нужно учитывать и поведенческие аспекты: высказывание недовольства и обсуждение вопроса увольнения, нахождение в системе в нерабочее время, снижение продуктивности и нежелание участвовать в долгосрочных проектах.
Благодаря комплексному подходу к предотвращению инсайдерских угроз удается снизить риск как инцидентов по неосторожности, так и злонамеренных. Непрерывное обучение персонала информационной безопасности и регулярные внутренние проверки позволяют узнать реальный уровень безопасности компании и предотвратить случайной утечки данных.
Следование модели нулевого доверия при работе с подрядчиками, тщательный аудит и контроль за правами доступа к конфиденциальной информации, внедрение технических инструментов и применение организационных мер снизят риски возникновения инсайдерских угроз.
Внутренние угрозы, исходящие от сотрудников или других внутренних лиц, могут иметь разрушительные последствия для конфиденциальности, целостности и доступности данных. В статье рассказываем, кто может стать инсайдером, как его обнаружить и какие меры предпринять для защиты информации от подобных угроз.
Такие разные инсайдеры
Инсайдером можно назвать любого человека, который находится внутри контура безопасности и имеет доступ к информации компании. Обладая легитимным доступом к инфраструктуре организации инсайдер может нанести ей и ее сотрудникам весьма ощутимый вред: от репутационных потерь до или уголовного наказания. Инсайдер может обнародовать конфиденциальные данные, передать важную информацию конкурентам или злоумышленникам, установить вредоносное ПО и отключить систему защиты или полностью уничтожить необходимые для продолжения работы файлы.Внутренним агентом может оказаться как новый человек в организации, который проникает в компанию с целью действовать в интересах конкурентов или злоумышленников, либо им может стать действующий сотрудник ради финансовой выгоды. Например, инсайдеры в банковской сфере могут карт, счетов, паспорта, а операторы мобильной связи и сотрудники правоохранительных органов оказывать .
Не все инсайдерские угрозы — злонамеренные. Многие из них происходят по неосторожности, часто от несоблюдения правил информационной безопасности. Например, сотрудник может стать жертвой фишинга, забыть выйти из учетной записи рабочего ноутбука перед тем, как отнести его в мастерскую, подключиться к общественным сетям Wi-Fi или просто скачать зараженное ПО.
Компания InfoWatch сообщила в своем , что 2019 году 98% от совокупного объема персональных данных и финансовой информации были скомпрометированы в результате небрежности или грубой неосторожности лиц, имеющих легитимный доступ к указанным данным.
Помимо штатных сотрудников в стратегии защиты от инсайдерских угроз стоит учитывать и подрядчиков, с которыми компания сотрудничает проектно или на постоянной основе. Их особенность в том, что контролировать уровень безопасности и проверять сотрудников на благонадежность не представляется возможным. Так в 2023 году Genova Burns — подрядчик компании Uber Technologies — допустила конфиденциальных данных водителей. Также данные компании «Спортмастер» через одного из подрядчиков.
Еще один тип инсайдеров — недовольные действующие или уже бывшие сотрудники. Они могут красть базы данных, уносить их с собой на следующее место работы или просто вредить из мести или ради обогащения. Так, бывший сотрудник израильской компании NSO Group и пытался продать в дарквебе ПО и информацию о способе взлома устройств под управлением iOS и macOS. А в 2023 году бывший сотрудник НИИ «Восход» биометрическими данными граждан.
Вне зависимости от того, была ли инсайдерская угроза умышленной или непреднамеренной, она несет ощутимый ущерб компании.
Предотвратить, найти и обезвредить инсайдера
Компании могут предотвратить появление или обнаружить внутренних нарушителей. Для этого необходимо организовать комплексный подход к защите данных на организационном и на техническом уровнях:1. Работать с сотрудниками. Ввести режим коммерческой тайны, прописав в договорах соглашение о неразглашении, разрабатывать инструкции по информационной безопасности и проводить обучения, тренинги.
2. Принять технические меры. Навести порядок в данных и правах доступа — знать, где находится информация, контролировать и обновлять права доступа. Использовать системы Data Leak Prevention для блокировки передачи конфиденциальных данных и решения User and Entity Behavior Analytics для своевременного обнаружения аномального поведения пользователя и закрытия доступа для него. Использовать многофакторную аутентификацию.
В качестве проверки служба безопасности компании может сама разместить запрос на профильной площадке, теневом форуме о готовности купить инсайдерскую информацию своей компании. Такой способ вычисления внутреннего нарушителя может быть эффективным, но имеет ограничения, в том числе с юридической стороны.
Анализ сотрудника может указать на риск возникновения инсайдерской угрозы. При этом стоит обращать на только на цифровые действия, как например, неожиданные запросы и скачивание больших объемов данных, необычные входы в систему и использование данных, не связанных с должностными обязанностями. Нужно учитывать и поведенческие аспекты: высказывание недовольства и обсуждение вопроса увольнения, нахождение в системе в нерабочее время, снижение продуктивности и нежелание участвовать в долгосрочных проектах.
Благодаря комплексному подходу к предотвращению инсайдерских угроз удается снизить риск как инцидентов по неосторожности, так и злонамеренных. Непрерывное обучение персонала информационной безопасности и регулярные внутренние проверки позволяют узнать реальный уровень безопасности компании и предотвратить случайной утечки данных.
Заключение
Выстраивая информационную защиту компании необходимо уделить особое внимание внутренним угрозам. Инсайдер по неосторожности или злонамеренно может нанести ощутимый вред компании, легитимно находясь в системе долгое время и при этом не быть обнаруженным.Следование модели нулевого доверия при работе с подрядчиками, тщательный аудит и контроль за правами доступа к конфиденциальной информации, внедрение технических инструментов и применение организационных мер снизят риски возникновения инсайдерских угроз.
