Кражи конфиденциальных данных со стороны инсайдеров – рядовых сотрудников или людей из руководящего состава – дорого обходятся компаниям, к тому же их очень сложно обнаружить. Две трети утечек данных в 2017 году произошли из-за невнимательных сотрудников, это также причина 60% кибератак, согласно данным исследования «2018 IBM X-Force Threat Intelligence Index».
В прошлом году из-за неправильно настроенных облачных серверов или бэкапа сети в общей сложности больше 2 млрд архивов оказались в свободном доступе.
И хотя организации выделяют значительные ресурсы, чтобы снизить внешние риски, угроза со стороны инсайдеров может повлечь еще даже большие финансовые потери. По данным Ponemon Institute «2018 Cost of Insider Threats», средняя стоимость ущерба от инцидентов по вине инсайдеров в 2017 году составляла $8.76 млн — эта цифра более чем вдвое превышает среднюю стоимость ущерба от всех утечек данных ($ 3.86 млн).
Традиционный подход, призванный снизить уровень инсайдерской угрозы, как правило, направлен на повышение сознательности и ограничение доступа к данным. И хотя все это очень важно, скорее всего, таких методов недостаточно, чтобы полностью охватить все разновидности рисков. Человеческий фактор – вот главная причина, почему ущерб от утечек данных настолько высокий.
5 разновидностей инсайдерских угроз
Неосторожность сотрудников – самый распространенный тип угрозы. Согласно результатам исследования Ponemon, это 64% от общего количества случаев, тогда как умышленный вред – это только 23%. Риски, связанные с человеческим фактором, – чуть более сложная штука, чем просто недосмотр или умышленный вред.
Категория утечек данных по неосторожности (самая распространенная) включает как сотрудников, безответственно относящихся к вводным курсам и тренингам, так и тех, по чьей вине случаются технические ошибки (например, ненастроенные должным образом облачные сети).
В категории умышленных нарушений есть случаи сговора, длительно планирующихся атак и попросту вредительства.
Понимание следующих пяти категорий инсайдерских рисков крайне важно для того, чтобы разработать комплексные системы защиты.
1. Сотрудники, которые пренебрегают правилами безопасности
Есть небольшой процент сотрудников, которые плохо знакомы с вопросом безопасности и не стараются повысить свое образование в этом плане. Они могут и не делать зла умышленно, но тем не менее находятся в группе риска., поскольку их поведение соответствует определенным паттернам.
В 2017 году сотрудники компании Verizon пришли к выводу, что 4.2% людей, которые подвергаются фишинговым атакам, кликают вредоносные ссылки. А те, кто прежде становились жертвами фишинга, с большей вероятностью вновь вновь попадаются на крючок. Пользователей, которые часто пренебрегают безопасностью, меньшинство, вместе с тем последствия ошибок, связанных с человеческим фактором, впечатляют. Исследование Ponemon показало, что 63% инцидентов, зафиксированных в прошлом году, – это все случаи, которые происходят в результате халатности и невнимательности.
2. Случайные инсайдеры
Простое пренебрежение – самая распространенная форма инсайдерской угрозы, и по статистике такого рода ошибки обходятся дороже других. Угрозы со стороны инсайдеров из такой категории, в целом, не связаны с нарушением правил – утечки происходят из-за отдельных ошибок.
По данным организации X-Force, чаще всего люди недооценивают риск и хранят данные на ненадежных персональных устройствах, или же становятся жертвами фишинговых схем – причины двух третей всех утечек данных за 2017 год.
Злоумышленники становятся все более подкованными и используют в своих целях уязвимости, которые возникают из-за невнимательных сотрудников.
Вот выжимка из отчета организации X-Force, которая изучала самые распространенные преступные схемы в 2018 году:
- В 38% случаев злоумышленники пытались заставить пользователей кликнуть вредоносные ссылки или вложенные файлы.
- 35% внешних рисков – это атаки типа атака посредника (man-in-the-middle).
- В 27% случаев киберпреступники пытались воспользоваться плохо настроенными серверами.
3. Сговоры
Случаи, когда инсайдеры действуют в сговоре со сторонними преступными группами – это, пожалуй, самая редкая разновидность угрозы, вместе с тем она вполне реальна, поскольку профессиональные киберпреступники часто предпринимают попытки завербовать сотрудников в интернете.
По оценкам организации Community Emergency Response Team (CERT), процент сговоров с участием инсайдеров (в т.ч. нескольких инсайдеров) от общего количества инсайдерских угроз оценивается на уровне 48.32%. Доля сговоров, в которых участвуют инсайдеры и сторонние злоумышленники, составляет 16.75%. Выделяют несколько форматов таких угроз:
- Около 37% инцидентов – это мошенничество.
- 24% – кражи интеллектуальной собственности.
- 6% инцидентов – это комбинированные мошенничества и кражи.
По сведениям того же источника, категория инцидентов с участием инсайдеров, включая сговоры, – одна из тех, которые наносят компаниям наибольший финансовый ущерб. И расследования таких случаев длятся в среднем в четыре раза дольше, по сравнению со случаями, когда инсайдер действует в одиночку.
4. Инсайдеры-рецидивисты
Чаще всего сотрудники с недобрыми намерениями похищают данные или совершают другие опасные действия для финансовой выгоды или в других личных целях. По данным
По оценкам организации Gartner, 62% инсайдеров – это т.н. «second streamers», люди, которые ищут дополнительный доход. Такой тип угрозы практически не зависит от должности, которую инсайдер занимает в компании, т.е. злоумышленником может оказаться как стажер, так и человек из руководящего состава. Только 14% людей, которые неоднократно похищали данные, работали управляющими, и примерно у 2/3 этих сотрудников был доступ к секретным данным.
Те, кто неоднократно похищают информацию, демонстрируют поразительную изворотливость, и, оставаясь незамеченными, получают еще большую личную выгоду. Сотрудники из такой категории могут длительное время накапливать данные на своих персональных аккаунтах. Так они с большей вероятностью останутся незамеченными, чем если бы скопом копировали множество файлов. Как правило, традиционные инструменты для сетевого мониторинга фиксируют экспорт только больших объемов данных. Но обнаружить абсолютно все нарушения могут инструменты для информационной безопасности.
Например, система контроля сотрудников Kickidler. Реализованная в ней функция «Контроль нарушений» поможет снизить инсайдерский риск, а запись всех действий на видео не оставит инсайдеру шансов уйти незамеченным.
5. Недовольные сотрудники
Последняя категория инсайдеров – сотрудники, которые занимаются вредительством или саботажем, похищая информационную собственность. По данным Gartner, 29% сотрудников воруют данные после того, как их увольняют, и только в 9% это ничем не мотивированное хулиганство или вредительство.
Поведение сотрудников, которые считают, что их не оценили по достоинству, часто соответствует определенным шаблонам. Некоторые недовольные сотрудники могут начать копать информацию, не руководствуясь какой-то определенной целью. Другие же, могут искать очень специфические данные, когда получают извещение об увольнении за две недели. В течение этого времени они находят возможности, чтобы продать торговые секреты конкурентам.
Поиск и предотвращение рисков. Поведенческая аналитика.
Взаимодействия с людьми сопряжены с наибольшими рисками для информационной безопасности, но инсайдерские угрозы бывают разного характера. Поэтому не может быть какого-либо универсального подхода, который бы устранял все категории рисков. Подготовка и тренинги не принесут пользу, если человек не хочет учиться или вознамерился найти для себя дополнительный источник дохода.
Не существует какой-то «золотой пули», чтобы минимизировать человеческий фактор и поставить заплату на взаимодействиях между людьми. Повышение сознательности в этом отношении и использование эффективных инструментов для поведенческой аналитики – лучший способ защититься от всевозможных угроз, связанных с инсайдерами.
Начинайте с защиты данных
Самые малозащищенные данные и системы в компании уязвимы перед любой категорией инсайдерской угрозы, включая риски, которые возникают в результате невнимательности. Для большей открытости организациям необходимо выделить и классифицировать определенные активы, которые могут быть подвержены риску. Беспрерывный мониторинг и когнитивная аналитика помогут обезопасить интеллектуальную собственность и ценные массивы информации от всех возможных типов киберугроз.
Поведенческая аналитика
И хотя активность каждого сотрудника в сети индивидуальна, вовремя заметив изменения в поведении отдельных сотрудников, вы сможете устранить угрозу. Искусственный интеллект и поведенческая аналитика помогут выявить необычную активность и способы взаимодействия с данными.
Рейтинговые системы
Аналитические инструменты помогают вовремя обнаружить уязвимости. Когда есть высокий риск ошибки или преступного умысла, организации могут применить специальные меры, чтобы ужесточить управление доступом, и, если понадобится, закрыть доступ кому-то из персонала.
Уменьшить уязвимости
Сетевой мониторинг сразу же покажет существующие уязвимости, а не по прошествии нескольких месяцев после инцидента.
Снизить уровень внутренних угроз
Вирусы-вымогатели, криптоджекинг и другие внешние угрозы – одни из самых обсуждаемых рисков для информационной безопасности, но статистическое большинство всех утечек данных приходится на долю собственного персонала компаний. Невнимательность, преступный умысел или похищенные личные документы – вот причины большинства информационных утечек прошлого года. Исследование X-Force показало, что за минувший год уровень инсайдерской угрозы возрос на 5%.
Поведение людей может сильно отличаться – это важно понимать, чтобы разработать адекватные меры защиты. Инструменты контроля доступа и персонала, вместе с поведенческой аналитикой помогут разработать эффективные меры защиты от человеческого фактора и преступных умыслов.
Понравилась статья? Подпишитесь на нас в соцсетях.