BIS Journal №3(54)2024

5 августа, 2024

Они среди нас. Почему инсайдерские атаки так опасны

Информационная безопасность — сложная система, которая должна обеспечивать защиту данных, учитывая возможность атаки с разных сторон. Однако компании сегодня зачастую смещают фокус на борьбу с внешними угрозами в лице киберпреступников, упуская из виду собственных сотрудников с доступом к корпоративным сетям и данным. Они также могут стать внутренними нарушителями и своими действиями или бездействием нанести вред организации.

При проведении аудита почти у половины компаний обнаруживаются критические недостатки в процессе управления доступом к конфиденциальным данным. «Информзащите» в 70% проектов по внутреннему пентесту удается добраться до чувствительной информации под учетными записями рядовых сотрудников, что свидетельствует о плохой защищенности. 

 

ЯЗЫКОМ ФАКТОВ

Статистика говорит, что такое распределение внимания компаний негативно сказывается на уровне информационной безопасности. Каждый год количество связанных с инсайдерскими атаками инцидентов увеличивается на 25%, при этом реальная цифра может быть еще выше, так как не все подобные кейсы регистрируются. В 2023 году в России около 28% всех случаев нарушения информационной безопасности были связаны с инсайдерами, 62% организаций столкнулись с такими вызовами. Среди основных факторов, способствующих этому росту, выделяются недостаточная обученность сотрудников (55% от всех случаев), использование в профессиональной деятельности личных устройств (50%) и удаленная работа (45%). Все это подогревается и стремительно растущим спросом на инсайдерскую информацию: в даркнете он ежегодно увеличивается на 50%. 

Чаще всего инсайдерские атаки приводят к двум видам инцидентов: утечке данных (40%) и несанкционированному доступу к информационным системам (35%).Например, только в 2023 году из российских финансовых организаций утекло 170,3 млн записей персональных данных клиентов, что больше в 3,2 раза, чем в 2022 году, и в 57 (!) раз больше, чем в 2021 году. При этом основными типами угроз являются злоупотребление привилегиями сотрудниками (45%), ошибки и небрежность работников (35%) и кража данных (20%). 

Среди наиболее подверженных таким проблемам отраслей находятся финансовый сектор, государственные структуры, промышленность и IT-компании. Финансовый ущерб от одного случая инсайдерской атаки в среднем обходится пострадавшей организации в 10 млн рублей, не говоря о часто сопровождающих репутационных потерях. 

 

ЧЕТЫРЕ ТИПА

Все вышеперечисленные данные свидетельствуют, что отношение бизнеса к инсайдерским атакам должно быть пересмотрено. Для этого важно понимать, какие виды внутренних нарушителей есть, кто из сотрудников наиболее подвержен тому, чтобы стать угрозой для информационной безопасности, а также основные причины таких атак. 

Существуют четыре основных типа внутренних нарушителей. Во-первых, наиболее очевидные в этом случае, злонамеренные инсайдеры. Эти сотрудники специально своими действиями наносят вред организации, чаще всего из-за собственных финансовых выгод, желания мести, идеологических убеждений и так далее. Далее стоит сказать о неосторожных инсайдерах — тех, кто становится вредителями по невнимательности, из-за недостатка знаний и несоблюдения установленных правил работы с конфиденциальной информацией. Еще один тип нарушителей — компрометированные инсайдеры. К такой категории относятся работники, чьи данные были украдены и теперь используются злоумышленниками для доступа к корпоративной информации. Четвертая группа вредителей — контрагенты и посетители, которые могут стать ситуативными инсайдерами, получив физический доступ к защищенной информации в офисе компании. 

 

КТО ОНИ?

Какие сотрудники чаще всего становятся «внутренними врагами»? В первую очередь стоит говорить о тех, кто имеет доступ к защищаемой информации и при соответствующей мотивации или по неосторожности может нанести вред компании. Работники, не имеющие доступа к конфиденциальной информации, но допущенные в помещения, где она хранится, а также обслуживающие информационные системы сотрудники и доверенные лица организации также являются потенциальной угрозой. Студенты-практиканты и стажеры в силу своей неопытности и незнания правил работы с внутренней информацией компании тоже могут нанести ей вред. 

Проблемой для информационной безопасности бизнеса могут стать и любые посторонние люди, например, курьеры или гости, получившие доступ в помещения компании. Именно они относятся к четвертой категории инсайдеров. «Информзащита» в рамках работ по физическому пентесту часто моделирует действия злоумышленников, которые посещают офис заказчика. К примеру, имитируется ситуация с проходом в контур заказчика без бейджика или предварительно скопировав бейдж неосторожного сотрудника в метро или другом месте. Другая проверка состоит в разбрасывании потенциально вредоносных носителей в рабочих пространствах с целью выяснить, кто из сотрудников решит вставить какой-то из них в свой компьютер. К сожалению, хакерам сегодня не нужно прилагать усилия для поиска внешних возможностей взломать систему, достаточно найти ангажированного сотрудника, который из корыстных помыслов или из-за недальновидности сольет необходимую информацию. 

 

СЕМЬ ПРИЧИН

Можно выделить семь основных причин возникновения инсайдерских атак:

  1. Недостаточный контроль доступа. Иногда компании предоставляют слишком широкие привилегии сотрудникам, в том числе временным, и подрядчикам. Это, очевидно, приводит к повышению риска несанкционированного доступа к критически важным системам и данным, что может привести к утечке. Например, в декабре 2022 года стало известно о признании бывшего работника Twitter виновным в осуществлении шпионажа за пользователями социальной̆ сети. Работая в компании, он передавал Саудовской Аравии личные данные пользователей;
  2. Отсутствие систем мониторинга и аудита. Организации даже при наличии таких инструментов могут использовать их недостаточно эффективно. В результате такого отношения невозможно своевременно выявлять подозрительную активность и предотвращать инсайдерские атаки;
  3. Недостаточное обучение и осведомленность сотрудников. Из-за отсутствия регулярного обучения по вопросам ИБ для сотрудников возникает их небрежное отношение, например, открытие фишинговых писем или другие действия, которые приводят в случайной передаче конфиденциальной информации;
  4. Отсутствие строгих политик безопасности. Когда их нет или же они прописаны не слушком четко и строго, повышается риск утечки данных и других связанных с инсайдерскими атаками инцидентов;
  5. Недостаточное внимание к обеспечению физической безопасности. При условии отсутствия эффективных мер контроля и мониторинга для любых посторонних людей, получающих доступ в офисные помещения, растет риск несанкционированного доступа к конфиденциальной информации и злоупотребления со стороны внешних лиц;
  6. Неправильная сегментация сети. В случае наличия такой ошибки в построении системы информационной безопасности увеличивается масштаб потенциально нанесенного вреда в результате инсайдерской атаки, так как взлом одного компьютера ведет к доступу ко всей корпоративной сети.
  7. Отсутствие многофакторной аутентификации (MFA). Неиспользование такого механизма ставит под угрозу конфиденциальные данные, так как скомпрометированная учетная запись сотрудника будет давать злоумышленнику доступ ко всей системе. 

 

КОМПЛЕКСНЫЙ ПОДХОД

Применение комплексного подхода к безопасности поможет значительно снизить риск инцидентов, вызванных внутренними нарушителями. Среди инструментов можно отметить разработку политик безопасности, в том числе на основе требований и рекомендаций ФСТЭК и ФСБ, инцидент-менеджмент, для конкретного механизма реагирования на кейсы с инсайдерскими атаками, обучение и проверку сотрудников, а также регулярные аудиты и проверки на соответствие требованиям законодательства и внутренним политикам компании. 

Противодействие внутренним угрозам было и остаётся одной из наиболее трудоёмких задач специалиста по безопасности, пренебрежение которой делает вероятность утечки информации на порядок более осязаемой. Эффективная защита от внутренних нарушителей — это непрерывный процесс, он требует комплексного подхода, включающего использование разнообразных технических инструментов и методов управления, а также обучение и повышение осведомленности сотрудников. Современные технологии позволяют значительно снизить риски, связанные с внутренними угрозами, и обеспечить более высокий уровень защиты информации в организации.

 

Реклама АО НИП «Информзащита», ИНН: 7702148410, Erid: 2VfnxvVMKn8

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.12.2024
«Катки» по паспорту. Депутаты уже видят, как Steam идентифицирует геймеров
12.12.2024
«Яндекс Практикум»: 70% вакансий в российском кибербезе — «джуны»
11.12.2024
Безбумажность подождёт! «Сбербанк» возвращает «аналоговые» документы в моду
11.12.2024
«Код Безопасности» присоединился к Консорциуму для исследований безопасности ИИ-технологий
11.12.2024
Расходы на новые ИТ-активы должны будут утверждаться правкомиссией по цифровому развитию
11.12.2024
РКН покажет, где правильно хоститься
11.12.2024
Дата-центры наконец-то перестанут «крутить счётчики»
10.12.2024
Конференция «Сетевая безопасность». Эксперты — о рынке NGFW
10.12.2024
В России появится реестр «хороших мальчиков». Депутаты хотят оцифровать домашних и безнадзорных животных
10.12.2024
Период «охлаждения» приходит в сферу недвижимости

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных