Внутренний враг становится ощутимой проблемой

Согласно данным исследования, проведенного компанией Imperva, по итогам 2021 г. 59% инцидентов в компаниях региона EMEA (Европа, Ближний Восток, Африка), куда входит и Россия, связанных с компрометацией конфиденциальных данных, вызваны деятельностью собственных сотрудников, как умышленной, так и связанной с небрежностью или ошибками. При этом 70% опрошенных признали, что в их компаниях отсутствует стратегия защиты от инсайдерских рисков. При этом в 29% компаний не видят в сотрудниках угроз, а ровно треть заявили, что не могут преодолеть внутренние препятствия, мешающие эффективно противостоять внутренним угрозам.

Согласно данным исследования, наиболее распространенными методами контроля являются обучение персонала (65%), ручное отслеживание деятельности пользователей (50%) и применение средств шифрования (47%). При этом в 56% опрошенных компаний признали, что сотрудники обходят используемые методы и средства защиты от внутренних угроз.

"Внутренние угрозы сложно обнаружить, потому что внутренние пользователи имеют легальный доступ к критически важным системам и сетям, что делает их практически невидимыми для традиционных решений безопасности, таких как брандмауэры и системы обнаружения вторжений. Недостаток внимания к внутренним угрозам создает существенный риск для безопасности подобных организаций, где современные системы защиты информации не используются", - прокомментировал результаты исследования старший вице-президент Imperva в Северной Европе Крис Уэйнфорт.

Генеральный директор компании "БСС-Безопасность" Виктор Гулевич назвал деятельность злонамеренных инсайдеров серьезным вызовом для служб корпоративной кибербезопасности: "Согласно нашим наблюдениям, доля внешних злоумышленников с каждым годом уменьшается, а доля инсайдеров - сотрудников, использующих корпоративные секреты в корыстных целях, растет. Это становится ощутимой проблемой корпоративной кибербезопасности. Важно понимать, что уровень информационной безопасности любой компании необходимо тщательной проверять на ежедневной основе. Если этим не занимаются профессионалы в компании, то с большим удовольствием займутся злоумышленники".

Ведущий аналитик SearchInform Леонид Чурников привел такие данные: "В 2020 г. с утечками информации по вине сотрудников столкнулись 45% государственных компаний и 57% частных. В итогах наших опросов за 2021 г. мы заметили, что утечки по вине инсайдеров в госсекторе выросли до 50%, в частных компаниях немного уменьшились - до 56%. Несмотря на то что указанные показатели коммерческих и госпредприятий постепенно сближаются, мотивы действий ИБ-подразделений диаметрально противоположны. Госсектор в плане безопасности стимулируют главным образом требования регуляторов - 70% опрошенных поставили этот фактор на первое место. В коммерческом секторе регуляторика - это лишь 32% мотивации, а порядка 70% приходится на требования самого бизнеса, то есть на решение практических насущных задач в сфере ИБ. В совокупности мы видим, что доля утечек по вине сотрудников точно не ниже 50%. Однако не исключено, что она может быть намного выше, с учетом того, что не все компании готовы говорить об этом даже в анонимных опросах, а некоторые не имеют инструментов контроля, из-за чего иногда даже не знают об утечках".

Эксперт по информационной безопасности компании "Киберпротект" Евгений Родыгин обращает внимание, что случайные инциденты, связанные с потерей или компрометацией данных, обычно вызваны отсутствием компетенций и знаний, что такое персональные данные или любая другая чувствительная информация и как они должны защищаться. Например, в процессе создания или развития информационных систем персональные данные могут попасть на различные носители или в свободный доступ неограниченному числу лиц. При этом, по его мнению, куда больший вред может нанести деятельность злонамеренных инсайдеров. "Преднамеренные утечки связаны с прямым умыслом. Сотрудники организации - инсайдеры могут совершать действия, которые прямо ведут к преднамеренным утечкам или к формированию условий для утечки, которую организуют третьи лица. В первом случае инсайдеры сами организуют утечки и предпринимают меры для сокрытия своих действий. Во втором случае они готовят почву для привлечения сторонних злоумышленников, и именно эти случаи оставляют большее число следов. Когда речь идет о самостоятельных действиях инсайдера, выявление, классификация и учет случаев утечек может вызвать затруднения. Это связано с тем, что операторы данных не стремятся выносить сор из избы, так как это связано с репутационными рисками. С учетом этого можно утверждать, что оценки, сделанные авторами исследования Imperva, близки к истине", - говорит он.

В российских условиях, по оценке автора телеграмм-канала "Утечки информации" Ашота Оганесяна, наиболее активно занимаются умышленными кражами данных с целью их дальнейшей монетизации сотрудники салонов сотовой связи (67% случаев), банков (18%) и госслужащие (11%). Столь высокий удельный вес работников мобильной связи Ашот Оганесян связывает с низким уровнем официальных доходов с одной стороны и востребованностью данных, которыми они располагают, с другой.

По мнению Виктора Гулевича, количество умышленных утечек велико, причем значительная их часть остается скрытой: "Количество умышленных утечек данных в последнее время крайне велико. Это спровоцировано рядом внешних факторов. Однако большинство кейсов не становятся достоянием общественности. Если же говорить о причинах, приведших к утечке данных, то это, безусловно, слабый контроль за дистанционными сотрудниками и отсутствие организационно-технических мероприятий по защите информационной инфраструктуры".

По оценке Евгения Родыгина, число инцидентов, связанных с умышленной деятельностью инсайдеров, имеет еще и явную тенденцию к росту: "За последнее время доля умышленных утечек увеличилась по нескольким причинам. Есть психологические, например, связанные с тем, что в условиях общей напряженности у части сотрудников может появиться мотивация к действиям, которые, по их мнению, на что-то влияют. Такая своеобразная попытка обрести контроль в нестабильной ситуации. К этому добавлю еще одну причину - ощущение "незначительности" проступка, который может затеряться на фоне более значимых глобальных событий. Инсайдерам начинает казаться, что их противоправные действия останутся незамеченными и существенного наказания не последует".

По мнению Леонида Чурникова, также отчетливо видна тенденция к росту умышленных инцидентов: "Судя по нашим данным, за последние годы соотношение умышленных и случайных утечек составляет примерно 40% к 60%. Однако, если смотреть в динамике, количество умышленных инцидентов из года в год увеличивается. Впервые мы это увидели в 2017 г., а за последние два года динамику еще разогнало несколько факторов. Во-первых, экстренный переход на удаленку в 2020 г., когда уровень ИБ-защиты неизбежно снизился, совершить "слив" стало проще, а оснащенности автоматизированными средствами для выявления и остановки утечек не хватало - по нашим данным, защитное ПО стоит в 30% крупных компаний. Другой фактор - экономически нестабильная обстановка, когда уровень преступности и нарушений неизбежно рос. На рынке появился больший спрос на конфиденциальную информацию, и желающих этот спрос удовлетворить - тоже. И третий фактор связан с пандемией - большое число утечек были из учреждений сферы здравоохранения. По крайней мере в России, по нашей оценке, это в 100% случаев были намеренные инсайдерские сливы".

Согласно данным очередного исследования InfoWatch по итогам 2021 г., доля утечек, связанных с использованием средств автоматизации, достигла 95,5%. Доля умышленных утечек среди инцидентов внутреннего характера составила 51%. Всего же 82% утечек данных в мире были умышленными. Но при этом с деятельностью внешних нарушителей связано 63,2% инцидентов.

Руководитель отдела аналитики SearchInform Алексей Парфентьев прямо связывает рост количества инцидентов с удаленной и гибридной работой: "На домашней "вольнице" нарушения по ошибке или по злому умыслу становятся вероятнее".

"Во время начала пандемии как частным, так и государственным компаниям было не до информационной безопасности, на это повлиял экстренный переход компаний на удаленную работу. Это негативно сказалось на защите данных - 90% опрошенных организаций говорили, что на удаленке ИТ-инфраструктура стала уязвимее. Только в 12% компаний не фиксировали внутренних инцидентов, в трети случаев они приводили к финансовому ущербу, - продолжает Леонид Чурников. - В период удаленки появились риски, связанные с размытием корпоративного периметра. Те, кто не смог настроить безопасность ИТ-инфраструктуры, оказались открыты всем вторжениям снаружи. Удаленка, к сожалению, совпала с экономическим кризисом, подстегнувшим преступность, которая мигрировала в онлайн. Возросли и инсайдерские риски: сотрудники начинали работать с личных устройств, к которым могут иметь доступ члены семьи и какие-то иные третьи лица. Но главная проблема - работодателям стало очень сложно оценить степень угроз, в офисе контроль обеспечен хотя бы на минимальном уровне, работает общественное давление. Дома, без программных средств контроля, работодатель оказался без информации. В разгар удаленной работы мы опрашивали ИБ-специалистов - 70% говорили, что у них нет объективных данных. В 2021 г. некоторые компании все же начали увеличивать бюджет на безопасность, чтобы упростить контроль и сократить риски при гибридном формате работы - 26% опрошенных нами компаний приступили к закупке средств защиты".

"Переход на удаленный режим работы в период пандемии спровоцировал рост числа утечек корпоративных данных с использованием фотографий и скриншотов экрана. Доля утечек данного типа, по разным оценкам, составляет 30-40% от общего количества. Возвращение в офисы, с одной стороны, снижает риски информационной безопасности, но с другой - большое количество компаний если и вернулись в офис, то сделали это не в полном объеме, оставив часть дней рабочей недели или часть персонала в режиме удаленки", - поясняет Виктор Гулевич.

"Важно отметить, что удаленная работа - это часто работа на личных ПК, не контролируемый периметр рабочего места. Это вносит ряд дополнительных угроз без возможности их предотвратить средствами, которые применяются в периметре инфраструктуры компании", - предупреждает Евгений Родыгин.

Однако что касается прогнозов, то тут мнения экспертов несколько разошлись. По мнению Виктора Гулевича, в условиях геополитической и экономической неопределенности стоит ожидать рост количества утечек информации со стороны инсайдеров.

Леонид Чурников согласен, что стоит ждать роста количества инцидентов, чему будет способствовать целый комплекс факторов: "В 2022 г. российские компании вновь столкнулись с вызовом, для многих отраслей он еще серьезнее, чем во время пандемии. С одной стороны, всем понятно, что без защиты уже никак и ее требуется усилить, но в течение последних трех лет мы видим, что только четверть российских компаний увеличивают расходы на ИБ. В 62% компаний бюджет остается без изменений, и тратят его на продление лицензионных ключей и техподдержку, тогда как сейчас необходимы новые закупки и масштабирование уже внедренного ПО. Еще одна проблема, которая встает перед компаниями, - это необходимость замещения зарубежных решений, которые приостановили работу на российском рынке. При том, что это не всегда возможно, мы прогнозируем, что в 2022 г. оснащенность компаний по некоторым классам ИБ-решений упадет на треть. Это неизбежно найдет отражение в росте числа внутренних и внешних инцидентов. Еще один фактор, который обращает на себя внимание, - это огромный рост установки VPN обычными пользователями: с конца февраля количество загрузок в России увеличилось на 1268%. Если в компаниях не контролируют этот процесс, то он создает дополнительные риски "сливов" и утечек по неосторожности".

Евгений Родыгин же уверен, что время пиков и резкого изменения трендов прошло. Однако он рекомендует владельцам информационных систем обратить отдельное внимание на мотивированных инсайдеров и ограничить их возможности по исполнению своих замыслов.