Политическая обстановка в стране привела к росту киберинцидентов, спровоцированных «радикальными инсайдерами» — сознательными вредителями. Что ими движет и как с ними пытаются совладать, рассказали эксперты компании «Третья сторона»
Фото: Midjourney
События последнего года принесли бизнесу в России множество новых угроз в области информационной безопасности. Все чаще причиной успешных кибератак становятся собственные сотрудники компании. Причем не те, кого хакеры использовали вслепую, а те, что действуют осознанно и со злым умыслом. Такое поведение называют «радикальным инсайдом».
Классический инсайдер — это нелояльный сотрудник компании, которым движет жажда наживы. Его задача максимально долго «продавать» свои услуги злоумышленникам, а для этого ему необходимо оставаться незамеченным. «Радикальный инсайдер» вредит по другим причинам.
А вот уйти от ответственности инсайдеру бывает несложно — обычно такие сотрудники заранее планируют отъезд из страны и уезжают сразу, как только совершили противоправные действия. Иногда они делают это из такси в аэропорт или из аэропорта. И даже самая оперативная реакции в компании, максимально быстро написанное заявление в МВД, не позволят перехватить экс-сотрудника на границе и любой потенциальный злоумышленник об этом прекрасно знает. Неформальные связи в силовых структурах тоже обычно не помогают
Последствия таких действий: потеря данных, ущерб инфраструктуре, репутационные издержки.
Наибольший урон наносят такие последствия диверсии:
Тут возможны два варианта:
О «радикальном инсайде» компании чаще всего узнают, расследуя уже произошедший инцидент. Крайне редко, благодаря оперативной реакции, действия «радикальных инсайдеров» удается предотвратить (здесь от компании потребуется проактивность).
Простого способа решить проблему не существует. Остановить злоумышленника получается, только если слаженно работают множество подразделений: HR, служба безопасности, департамент информационной безопасности.
Часто входные проверки СБ скатываются в крайности: или формальный «поиск по базам», или полиграф.
Парадоксально, но факт: обе крайности, напротив, скорее стимулируют «радикальный инсайд». В первом случае компания просто не знает, кто приходит к ним на работу. Во втором случае компания изначально настраивает против себя потенциальных сотрудников. Скажем проще: полиграф формирует неприязнь. Особенно если полиграфолог ведет себя непрофессионально: давит, задает неэтичные вопросы или запугивает кандидата.
Сама процедура «скрининга» утомительна: занимает от четырех часов и не делает сотрудника лояльнее. Кроме того, проверять человека «на все», без конкретных подозрений, на полиграфе обычно бессмысленно. Наибольшую эффективность этот метод показывает в работе над конкретными темами, связанными с расследованием конкретного инцидента.
У каждой компании свои рецепты «золотой середины». Зачастую хороший HR вместе с будущим руководителем сами могут многое понять о кандидате и выявить подозрительное поведение. Принимая сотрудников на «критичные» для бизнес-процессов должности, помимо стандартных проверок службы безопасности стоит как минимум собрать информацию о кандидате по открытым источникам. Самое главное, чтобы всю собранную информацию по кандидату и мнение СБ получил HR и руководитель. Если возникают вопросы, то имеет смысл аккуратно провести дополнительную беседу с кандидатом, не афишируя сам факт сбора информации. В крайних случаях можно использовать полиграф — как мы уже говорили выше, при наличии конкретных вопросов он дает лучшие результаты.
2. Социальный мониторинг.
Социальный мониторинг — задача в первую очередь руководителей и сотрудников HR. Именно они наблюдают за моральным состоянием своих подчиненных или коллег, отслеживают их ожидания и возможные признаки нелояльности.
Даже в условиях полной удаленки сотрудники редко работают в вакууме, так что информация о личной жизни, политических взглядах или планах по переезду в другую страну рано или поздно может всплыть на поверхность.
Что должно насторожить руководителя или сотрудника HR?
Но комбинация всех (или почти всех) приведенных выше факторов должна насторожить. Как минимум, стоит еще раз собрать данные из открытых источников, а также вести более пристальный социальный и технический мониторинг. Важно, чтобы руководители и HR понимали, что их вклад в защиту компании на этом этапе так же значим, как и вклад сотрудников ИБ или СБ.
3. Технический мониторинг.
В России довольно распространены системы контроля утечек (DLP). Если их использовать, то это значительно повышает шансы обнаружить радикальный инсайд. Наблюдая за действиями сотрудника в Сети, можно обнаружить и приготовления к подобной акции, и попытки выйти на контакт с «хактивистами».
Системы мониторинга привилегированных пользователей могут позволить даже определить подозрительные действия сотрудников и их готовность нанести ущерб компании. Например, такие:
Внедрение подобных средств защиты может быть довольно дорогим, но в ряде случаев в компании можно обойтись и более простыми решениями.
Если появляются сигналы на этапе социального мониторинга, то всегда есть смысл изучить логи действий сотрудников на предмет необычной активности, даже если средства защиты не срабатывали.
Как можно подтвердить или опровергнуть гипотезу о подготовке к радикальному инсайду?
Фото: Midjourney
События последнего года принесли бизнесу в России множество новых угроз в области информационной безопасности. Все чаще причиной успешных кибератак становятся собственные сотрудники компании. Причем не те, кого хакеры использовали вслепую, а те, что действуют осознанно и со злым умыслом. Такое поведение называют «радикальным инсайдом».
Классический инсайдер — это нелояльный сотрудник компании, которым движет жажда наживы. Его задача максимально долго «продавать» свои услуги злоумышленникам, а для этого ему необходимо оставаться незамеченным. «Радикальный инсайдер» вредит по другим причинам.
Кто такой «радикальный инсайдер»
Ущерб компании — обычно лишь следствие деятельности «радикального инсайдера». Основная его цель — устроить диверсию по своим политическим мотивам и желание заявить о них. То есть нанести ущерб и как можно громче. Вопрос вознаграждения для такого человека тоже уходит на второй план.А вот уйти от ответственности инсайдеру бывает несложно — обычно такие сотрудники заранее планируют отъезд из страны и уезжают сразу, как только совершили противоправные действия. Иногда они делают это из такси в аэропорт или из аэропорта. И даже самая оперативная реакции в компании, максимально быстро написанное заявление в МВД, не позволят перехватить экс-сотрудника на границе и любой потенциальный злоумышленник об этом прекрасно знает. Неформальные связи в силовых структурах тоже обычно не помогают
Последствия таких действий: потеря данных, ущерб инфраструктуре, репутационные издержки.
Наибольший урон наносят такие последствия диверсии:
- приостановка деятельности компании, заметная для клиентов;
- утечка данных пользователей;
- техногенные аварии, произошедшие вследствие действий инсайдера;
- публичная демонстрация политических лозунгов на ресурсах компании (угроза особенно актуальная для медийной сферы с большим количеством просмотров).
Почему традиционные способы защиты бессильны
Злоумышленники редко выполняют что-то своими руками, чаще они сотрудничают с хакерами-активистами.Тут возможны два варианта:
- инсайдер передает хакерам необходимый доступ;
- выполняет инструкции хакеров сам.
О «радикальном инсайде» компании чаще всего узнают, расследуя уже произошедший инцидент. Крайне редко, благодаря оперативной реакции, действия «радикальных инсайдеров» удается предотвратить (здесь от компании потребуется проактивность).
Простого способа решить проблему не существует. Остановить злоумышленника получается, только если слаженно работают множество подразделений: HR, служба безопасности, департамент информационной безопасности.
Можно ли предотвратить вред
Чтобы успешно предотвращать действия инсайдеров, нужно строить эшелонированную защиту. Она включает в себя такие рубежи:- скрининг на входе,
- социальный мониторинг,
- технический мониторинг,
- реагирование.
Часто входные проверки СБ скатываются в крайности: или формальный «поиск по базам», или полиграф.
Парадоксально, но факт: обе крайности, напротив, скорее стимулируют «радикальный инсайд». В первом случае компания просто не знает, кто приходит к ним на работу. Во втором случае компания изначально настраивает против себя потенциальных сотрудников. Скажем проще: полиграф формирует неприязнь. Особенно если полиграфолог ведет себя непрофессионально: давит, задает неэтичные вопросы или запугивает кандидата.
Сама процедура «скрининга» утомительна: занимает от четырех часов и не делает сотрудника лояльнее. Кроме того, проверять человека «на все», без конкретных подозрений, на полиграфе обычно бессмысленно. Наибольшую эффективность этот метод показывает в работе над конкретными темами, связанными с расследованием конкретного инцидента.
У каждой компании свои рецепты «золотой середины». Зачастую хороший HR вместе с будущим руководителем сами могут многое понять о кандидате и выявить подозрительное поведение. Принимая сотрудников на «критичные» для бизнес-процессов должности, помимо стандартных проверок службы безопасности стоит как минимум собрать информацию о кандидате по открытым источникам. Самое главное, чтобы всю собранную информацию по кандидату и мнение СБ получил HR и руководитель. Если возникают вопросы, то имеет смысл аккуратно провести дополнительную беседу с кандидатом, не афишируя сам факт сбора информации. В крайних случаях можно использовать полиграф — как мы уже говорили выше, при наличии конкретных вопросов он дает лучшие результаты.
2. Социальный мониторинг.
Социальный мониторинг — задача в первую очередь руководителей и сотрудников HR. Именно они наблюдают за моральным состоянием своих подчиненных или коллег, отслеживают их ожидания и возможные признаки нелояльности.
Даже в условиях полной удаленки сотрудники редко работают в вакууме, так что информация о личной жизни, политических взглядах или планах по переезду в другую страну рано или поздно может всплыть на поверхность.
Что должно насторожить руководителя или сотрудника HR?
- Сотрудник стал радикален по политическим или религиозным мотивам, часто обсуждает их в коллективе.
- Сотрудник не настроен на развитие в компании, игнорирует далекоидущие планы и будущие задачи.
- Говорит о смене места жительства, но не уточняет сроки и место релокации.
- Стал излишне скрытен и необщителен.
Но комбинация всех (или почти всех) приведенных выше факторов должна насторожить. Как минимум, стоит еще раз собрать данные из открытых источников, а также вести более пристальный социальный и технический мониторинг. Важно, чтобы руководители и HR понимали, что их вклад в защиту компании на этом этапе так же значим, как и вклад сотрудников ИБ или СБ.
3. Технический мониторинг.
В России довольно распространены системы контроля утечек (DLP). Если их использовать, то это значительно повышает шансы обнаружить радикальный инсайд. Наблюдая за действиями сотрудника в Сети, можно обнаружить и приготовления к подобной акции, и попытки выйти на контакт с «хактивистами».
Системы мониторинга привилегированных пользователей могут позволить даже определить подозрительные действия сотрудников и их готовность нанести ущерб компании. Например, такие:
- создание в обход регламента привилегированных учетных записей,
- открытие портов на внешнем периметре компании,
- установка прочих бекдоров.
Внедрение подобных средств защиты может быть довольно дорогим, но в ряде случаев в компании можно обойтись и более простыми решениями.
Если появляются сигналы на этапе социального мониторинга, то всегда есть смысл изучить логи действий сотрудников на предмет необычной активности, даже если средства защиты не срабатывали.
Реакция компании
Допустим, сотрудник попал под подозрение. Либо социальный или технический мониторинг выдает тревожные сигналы.Как можно подтвердить или опровергнуть гипотезу о подготовке к радикальному инсайду?
- Беседа. Стоит поговорить с сотрудником и попробовать выслушать объяснения его поведения и действий.
- Технический контроль. Установка систем мониторинга для сотрудника с режима уведомлений alert, на режим блокировки block. В этом случае не так сложно заблокировать лишний раз, раз уж человек попал под обоснованное подозрение.
- Полиграф. Здесь его применение оправдано, ведь есть вопросы, которые сотруднику нужно задать. Стоит тщательно подойти к выбору специалиста. Но точечная проверка сотрудника, уже имеющего негатив к компании, принесет больше пользы, чем вреда.
- Снижение уровней доступа и минимизация ущерба. Стоит считать, что каждый, попавший под обоснованное подозрение, виновен. Но не относиться к человеку как к виновному, а отталкиваться от того, как можно минимизировать возможный урон и принять меры, которые позволят снизить его влияние на критичные бизнес-процессы компании.
