Получить консультацию по Solar Dozor

Кто такой инсайдер

Ежегодно компании тратят значительные суммы на решения безопасности для защиты активов от внешних злоумышленников - хакеров. Однако существует более серьезная проблема, с которой постоянно сталкиваются компании по всему миру, проблема внутренних угроз, связанная с инсайдерами.

Инсайдер - это лицо, которому организация доверяет, включая сотрудников, членов организации и тех, кому организация предоставила конфиденциальную информацию и санкционированный доступ к ресурсам, объектам, оборудованию, сетям и системам.

Как выглядят типичные сотрудники-инсайдеры?

  • Менеджеры по работе с клиентами. Это самая многочисленная группа инсайдеров ввиду широких возможностей по использованию критической информации и постоянных контактов с другими организациями. Обычно такие сотрудники уходят из компании с клиентскими базами, контрактами и сведениями, содержащими коммерческую тайну, к конкурентам за финансовое вознаграждение или на управленческую должность.

  • Менеджеры отдела снабжения. Эти люди располагают доступом к материальным ценностям компании, хорошо знакомы с оборотом средств по главным позициям, сталкиваются с большим числом искушений, касающихся присвоения активов компании или их использования в личных целях.

  • Финансисты, бухгалтеры. Наделены повышенными правами на распоряжение критической информацией и использование денежных средств. Их мошеннические действия могут привести к существенным финансовым и репутационным потерям в организации. Эта группа инсайдеров представляет большой интерес для конкурентов в связи с высокой степенью информированности о делах компании и доступом к коммерческой тайне.

  • Руководители отделов, подразделений, филиалов компании. Они, как правило, осведомлены о бизнес-стратегии и целях организации, наделены привилегированными правами доступа к важной информации, поэтому их мошеннические действия могут представлять серьезную угрозу для безопасности компании.

  • Руководители и менеджеры отдела разработки продуктов и услуг. Знают все секреты продуктов, основные плюсы и минусы, стратегию дальнейшего развития. В случае компрометации, компания может потерять конкурентное преимущество, клиентов, репутацию и лишиться финансового благополучия.

Помимо описанных выше примеров инсайдеров по должностям, необходимо понять архетипы людей, чье поведение может привести к потере данных и нанести серьезный ущерб репутации предприятия.

Типы инсайдеров

Халатные сотрудники — сотрудники, имеющие доступ к конфиденциальным данным, редко проводят полноценные инсайдерские атаки. Тем не менее они могут случайно слить данные или скомпрометировать корпоративную инфраструктуру, либо по ошибке, либо став жертвой фишинга.

Недовольные сотрудники — сотрудники, которые возмущены отсутствием повышения в должности, в зарплате, а также у них могут быть сложные и напряженные отношения с коллегами и руководителями и др.

Вредоносные инсайдеры — сотрудники, которые незаконно применяют или злоупотребляют своим доступом для хищения, продажи, утечки или удаления конфиденциальных данных (например, личная информация клиентов или сотрудников, финансовая информация) из злонамеренных побуждений.

Внутренние агенты — это шпионы, разведчики внутри компании. Внутренним агентом может являться как новый сотрудник, так и сотрудник с внушительным стажем и репутацией. Цель - кража профессиональных секретов в обмен на вознаграждение.

Сторонние провайдеры и подрядчики — лица, не являющиеся официальными членами организации, но которым предоставлен определенный уровень доступа к объектам, системам, сетям или людям для выполнения своей работы.

Почему инсайдеры опасны для организации

Почему инсайдеры опасны для организации?

Деятельность инсайдеров может нести определенные риски, поскольку, в отличие от посторонних лиц, пытающихся проникнуть в организацию извне, они уже имеют легитимный доступ к информационным системам и данным компании.

Обнаружить и идентифицировать личность инсайдера трудно, так как он может действовать крайне осторожно и умело маскировать свой действия под нормальную и типичную модель поведения.

Слежка на постоянной основе за каждым сотрудником является не столько трудной, сколько нецелесообразной задачей, поэтому не может быть хорошим инструментом выявления признаков инсайдерской деятельности. Важно уметь распознавать инсайдерскую деятельность на ранних этапах, когда появляются ее первые признаки, например, подозрительная переписка, работа в выходные дни и т.д. 

Мотивы внутренних злоумышленников

Финансовая выгода инсайдеров

Не секрет, что деньги - это огромный мотиватор для инсайдеров. Сотрудники или другие лица, могут использовать свое положение для получения финансовой выгоды. Инсайдеры могут испытывать желание совершить неправомерные действия, если им платят низкую зарплату, они лишены критически важных льгот или должны кому-то деньги.

Эмоциональная основа инсайдеров

Сотрудники, не имеющие интереса к работе, скучающие, подавленные или рассерженные, могут почувствовать мотивацию для совершения злодеяний против своей организации. Также сотрудники могут получить плохую оценку работы, поссориться с начальством или быть уволенными. Из-за подобных ситуаций эмоции могут подтолкнуть сотрудника на злонамеренные действия.

Политические причины инсайдеров

Хотя инсайдерские угрозы, спонсируемые государством, встречаются очень редко, не нужно исключать ситуаций, когда сотрудники реализируют внутренние угрозы по политическим мотивам. Этот тип мотивации также связан с корпоративным шпионажем, который также может нанести ущерб, особенно если сотрудники делятся коммерческими секретами компании или другой информацией.

В большинстве случаев мотивацией внутренних злоумышленников к совершению инцидента являются финансовые и идеологические вопросы, а также желание получить признание и даже месть. Независимо от мотивов, действия внутренних злоумышленников провоцируют утечку конфиденциальных данных, финансовые потери, репутационные издержки.

Индикаторы инсайдерской угрозы

Организации могут обнаружить или предсказать внутренние угрозы, наблюдая за поведением пользователей на рабочем месте и в интернете. Проактивность может позволить обнаружить потенциально злонамеренных инсайдеров до того, как они начнут утечку служебной информации или совершат мошенническую схему. Один из способов сделать это - разделить потенциальные индикаторы риска на категории:

Цифровые Поведенческие
Получение больших объемов данных Снижение продуктивности, часто выполнение минимального объема работы
Необычные входы в систему Часто находится в офисе в нерабочее время
Поиск или сохранение конфиденциальных данных Снижение готовности к долгосрочным проектам
Запрос на доступ к конфиденциальным данным, не связанным с должностными обязанностями Открыто выражают недовольство текущей работой и/или руководителем
Использование неразрешенных устройств хранения данных Обсуждение вопроса об увольнении или поиск новых карьерных возможностей

ответственность за ведение инсайдерской деятельности

Ответственность за ведение инсайдерской деятельности

Ответственность внутренних злоумышленников за разглашение информации, охраняемой законодательством РФ, регулируется целым рядом нормативно-правовых актов, некоторые из них приведены в таблице ниже. Однако, специфика деятельности каждой организации может подразумевать и другие регулирующие нормы.

Нормативный правовой акт

Статья

Трудовой кодекс РФ

ст. 22 «Основные правила и обязанности работодателя»;

ст. 81 «Расторжение трудового договора по инициативе работодателя»;

ст. 91 «Понятие рабочего времени. Нормальная продолжительность рабочего времени»;

ст. 193 «Порядок применения дисциплинарных взысканий»;

ст. 238 «Материальная ответственность работника за ущерб, причиненный работодателю»;

ст. 243 «Случаи полной материальной ответственности».

Гражданский кодекс РФ

ст. 15 «Возмещение убытков»;

гл. 70 «Авторское право» (ст. 1465?)

Уголовный кодекс РФ

ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».

Федеральный закон
от 29 июля 2004 г. № 98-ФЗ
«О коммерческой тайне»

ст. 5 «Сведения, которые не могут составлять коммерческую тайну»;

ст. 10 «Охрана конфиденциальности информации».

Федеральный закон
от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»

ст. 9 «Ограничение доступа к информации»;

ст. 16 «Защита информации»;

ст. 17 «Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации».

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О защите персональных данных»

Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

Федеральный закон от 27 июля 2010 г. № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»

Федеральный закон от 13 июля 2015 г. № 224-ФЗ «О государственно-частном партнерстве, муниципально-частном партнерстве в Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации»

Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 13 июня 2012 г. № 584 «Об утверждении Положения о защите информации в платежной системе»

Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Методические рекомендации ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»

Положение Банка России от 4 июня 2020 г. № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Стандарт PCI DSS

Стандарт СТО БР ИББС

Стандарт ISO 27001

Обнаружение и предотвращение инсайдерских угроз

Подготовка организации к предотвращению внутренних угроз — это важная и последовательная задача. Для того чтобы сделать это правильно, необходимо внедрять правильные технологии и методы.

Во-первых, необходимо знать, где находится конфиденциальная информация. Обнаружение и классификация конфиденциальных данных поможет сосредоточить усилия по обеспечению безопасности тех сведений, которые имеют наибольшее значение.

Во-вторых, необходимо знать, кто имеет доступ к данным. Неважно, кто это - младший администратор, рядовой сотрудник или генеральный директор – для каждого сотрудника должна быть создана матрица прав доступа, и она должна регулярно пересматриваться.

В-третьих, необходимо ввести режим коммерческой тайны на предприятии, указав перечень конфиденциальных сведений, порядок их учета, хранения и использования. Также важно прописать в трудовых договорах и правилах внутреннего распорядка обязательства о неразглашении коммерческой тайны, укажите что рабочее оборудование принадлежит работодателю и его запрещается использовать в личных целях. В локальных нормативных актах компании необходимо отразить информацию о том, что в целях контроля за соблюдением запретов на определенные действия сотрудники могут быть отслежены с использованием специального программного обеспечения (например, DLP-систем).

И, наконец, необходимо непрерывно обучать сотрудников, проводить регулярные тренинги по работе с конфиденциальной информацией.

Немаловажный аспект состоит в том, чтобы удалять неактуальные учетные записи неработающих или уволенных сотрудников и следить за состоянием критически важных систем.

Используйте специальные средства защиты данных и классы решений, которые позволят предотвратить инсайдерские утечки и усилить защиту конфиденциальной информации: DCAP-системы, IdM, PAM, DAM, MFA, DLP.

DLP-система Solar Dozor предназначена для профилактики и предотвращения намеренных или ненамеренных утечек конфиденциальной информации. Она предоставляет широкие возможности для контроля коммуникаций сотрудников, блокировки и реконструкции сообщений, мониторинга групп риска, а также возможности для проведения расследований инцидентов. А грамотная легитимизация DLP-системы повысит уровень корпоративной этики и осознанности сотрудников, напоминая им о необходимости выполнения трудовых функций во благо организации и в охраняемых законом интересах (противодействие коррупции, недопущение ограничения конкуренции, охрана труда, сохранение тайны и т. д.).


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Защита финансовой информации: как избежать утечек

Защита финансовой информации: как избежать утечек

Узнать больше
Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Видеоконференцсвязь (ВКС): основные понятия и принципы работы

Узнать больше
Интеллектуальная собственность: что это такое, понятие, правовые аспекты и способы защиты

Интеллектуальная собственность: что это такое, понятие, правовые аспекты и способы защиты

Узнать больше
Угрозы информационной безопасности: какими они бывают и как от них защититься

Угрозы информационной безопасности: какими они бывают и как от них защититься

Узнать больше