Инсайдер или просто ошибка?

Работая в ИБ-сфере, я часто сталкиваюсь с примерами, когда компании инвестируют в информационную безопасность, внедряют различные решения и технологии, усиливают контроль за доступом к данным, но утечки продолжаются. Почему? Потому что человеческий фактор продолжает оставаться слабым звеном.

В 2024 году почти каждое пятое нарушение было связано с инсайдерством. Но проблема не только в злоумышленниках. Дело в том, что подавляющее большинство утечек данных – будь то атаки инсайдеров или хакеров – становятся возможными из-за человеческой халатности. Одни сотрудники не пишут инструкции, потому что им лень или не хватает времени. Другие, не найдя четких правил, действуют так, как им удобнее. Третьи, даже имея инструкции, игнорируют их и поступают так, как проще. Четвертые – под давлением срочных бизнес-задач сознательно вынуждают нарушать регламенты. А пятые, создающие временные «дыры» под давлением четвертых, просто забывают вернуть все на место. И если бизнес не признает, что сотрудники склонны к лени, безответственности и сопротивлению изменениям, никакие технологии не спасут.

Количество утечек растет еще и потому, что традиционные подходы к защите информации уже становятся малоэффективными. И даже жесткие политики безопасности не гарантируют защиту, если сотрудники намеренно или случайно их нарушают. В связи с этим возникают вопросы. Какие именно сотрудники являются слабым звеном? Какие ошибки они совершают? И можно ли минимизировать влияние человеческого фактора?

Три типа внутренних угроз: кто несет реальную угрозу

Если попытаться категоризировать внутренние угрозы, то можно разделить их на три большие группы. Первая – осознанные инсайдеры, которые намеренно передают данные третьим лицам. Причины бывают разными: от желания заработать и банальной мести или отчаянной попытки решить личные проблемы. Есть и менее очевидные мотивы, например, я сталкивался с кейсом, когда данные распространялись просто для самоутверждения.

Вторая группа – случайные инсайдеры, то есть сотрудники, которые допускают утечки по неосторожности. К этой категории относятся те самые ситуации, когда кто-то отправил конфиденциальный документ по ошибочному адресу или «буквально на пять минут» оставил рабочее место и не заблокировал экран компьютера. Плюс отправка данных по незащищенным каналам, например, через публичные мессенджеры, использование слабых паролей и небезопасных сетей типа общественного Wi-Fi при подключении к корпоративным системам. И, конечно же, не стоит забывать про социальную инженерию.

При этом нужно понимать, что случайными инсайдерами могут стать даже администраторы, которые порой так же предсказуемы, как и непривилегированные пользователи. Так, согласно исследованию Outpost24, в ходе которого были изучены более 1,8 миллиона учетных записей, ИТ-администраторы используют десятки слабых паролей, включая "admin", "123456" и даже "Password". Еще одна проблема может быть связана с недостаточной компетентностью. Бывает, что администраторы совершают ошибки при настройке и эксплуатации системы, а это в итоге приводит к появлению новых уязвимостей.

Наконец, третья группа – сотрудники, которые сознательно игнорируют правила безопасности. Они не являются инсайдерами в классическом смысле, но их действия создают не меньшие риски. Например, они могут считать, что требования безопасности избыточны или предназначены для защиты от внешних угроз, а поскольку в их действиях нет злого умысла, ничего страшного, казалось бы, произойти не должно. Кто-то вообще полагает, что правила безопасности бессмысленны, а кому-то просто неудобно соблюдать строгие требования. Например, я знаю кейс, когда человек, занимающий достаточно высокую должность в организации, осознавая, что в IT-инфраструктуру компании внедрена DLP-система и понимая, что при необходимости его смогут отследить, делал скриншоты рабочего экрана и отправлял через свой личный аккаунт в мессенджере, потому что ему нужно было банально обсудить какой-то вопрос.

Я сталкивался и с другими похожими случаями. Люди просто упрощают себе работу, они выбирают удобство вместо безопасности и сознательно или неосознанно обходят правила. Причем фактически угроза может исходить как от обычных пользователей, так и от привилегированных – тех же системных администраторов, которые могут считать, что правила созданы не для всех, а только для «обычных» пользователей.

Почему традиционные методы защиты являются малоэффективными

Минимизировать риск утечки данных со стороны сотрудников можно с помощью превентивных мер. Если сотрудник будет понимать, что его смогут точно отследить, то соблазн выложить чувствительную информацию в открытый доступ или отправить третьей стороне уменьшается. Речь, например, об интеграции ILD-технологий, то есть внедрении инструментов невидимой маркировки документов, в корпоративные системы компаний. Помимо этого, для борьбы с внутренними угрозами организации довольно активно используют DLP, DAM, PAM, DCAP-системы. Однако несмотря на то, что каждое из этих решений закрывает свои определенные задачи, все они имеют существенные недостатки.

Если сотрудник намеренно хочет передать информацию, он найдет способ обойти систему. Можно запретить пересылку файлов по почте и внедрить ILD для отслеживания источника утечки, но если информации немного, допустим, это несколько номеров телефонов VIP-клиентов, то ничего не мешает переписать ее на обычный листок или сфотографировать на телефон.

Кроме того, все эти уже ставшие традиционными решения реагируют на нарушения постфактум, а не предотвращают их, или же сигнализируют о наличии проблем, но не предлагают эффективных способов их устранения. То есть фактически это лечение симптомов болезни, которая уже получила развитие.

Можно ли минимизировать влияние человеческого фактора

На мой взгляд, в таких условиях компаниям нужно руководствоваться принципиально новыми походами. Например, внедрять элементы Zero Trust в ИТ-инфраструктуру или решения, в основе которых заложены принципы модели «нулевого доверия». Эта концепция предполагает, что абсолютно любая попытка доступа к данным проходит проверку вне зависимости от доверенного статуса пользователя.

Можно пойти дальше и применять концепцию «нулевого доверия» не только по отношению к доступу к данным, но и к изменениям в самой среде, где они находятся. В таком случае любая попытка конфигурации должна проходить обязательную проверку, а администраторы — получать подтверждение от эксперта по безопасности. Причем не в формате устного согласования или письма по почте, а на техническом уровне. Так, чтобы без одобрения изменения просто нельзя было внести.

В то же время принцип «минимальных привилегий» – одна из составляющих модели Zero Trust – применим и по отношению к другим аспектам безопасности. Например, при доступе к персональным данным. Зачем сотруднику технической поддержки видеть номер телефона клиента целиком, если достаточно последних четырех цифр? Нужно ли ему видеть скан паспорта в карточке клиента, или для подтверждения личности все же достаточно минимально необходимой информации без доступа к конфиденциальным данным?

Эту же логику можно распространить и на работу с резервными копиями. Администратор не должен иметь возможность создавать их любым удобным способом, а только по строго регламентированным правилам. Это исключает ситуации, когда копии баз данных делаются в обход политики безопасности, а затем оказываются в неконтролируемом пространстве.

Идеальный сценарий — это когда данные вообще не покидают защищенную среду. Звучит утопично, но уже существуют решения, позволяющие реализовать такой подход. Например, бизнес-приложения могут работать строго в рамках описанного набора сценариев доступа, где все нестандартные способы взаимодействия с данными автоматически блокируются.

Для реализации таких подходов бизнесу стоит обратить внимание на комплексные решения, обеспечивающие многоуровневую защиту от внутренних и внешних угроз. Наиболее перспективными в этом отношении являются системы класса Data Security Platform (DSP), которые объединяет в себе DAM, PAM, DBF и могут не просто фиксировать утечки, а предотвращать их. Они анализируют аномалии в поведении пользователей и автоматически блокируют подозрительные запросы или учетные записи в режиме реального времени.

Но, конечно же, даже самые совершенные технологии не заменят осознанного подхода к защите данных. И только сочетание технических решений, строгого контроля, продуманного разграничения прав, обучения сотрудников и жестких политик безопасности способно минимизировать риски, связанные с человеческим фактором.