Каждый третий инцидент в российских компаниях связан с действиями легитимных пользователей

Порядка 30% инцидентов информационной безопасности в российских компаниях связаны действиями легитимных пользователей — сотрудников, подрядчиков, или партнеров, имеющих санкционированный доступ к инфраструктуре. К такому выводу пришли специалисты “Кросстеха”.

Около 75% инсайдерских инцидентов — непреднамеренны: ошибки, халатность, незнание правил работы с данными, использование скомпрометированных паролей. Оставшаяся четверть — целенаправленные действия: кража данных перед увольнением, передача информации конкурентам, намеренная компрометация систем, хактивизм.

Специалисты “Кросстеха” указывают, что разные типы инсайдерских инцидентов характерны для разных отраслей. Непреднамеренные инциденты концентрируются там, где исторически слабая ИБ-культура и устаревшая инфраструктура: промышленность, здравоохранение, транспорт и логистика. В этих отраслях широкий круг сотрудников имеет доступ к чувствительным данным, при этом обучение минимально, а контроль доступов не успевает за реальной структурой занятости и текучкой персонала. Намеренные инциденты, напротив, чаще встречаются в отраслях, где компрометация данных может приносить прямую финансовую выгоду: финансы, ритейл, ИТ. Здесь уровень зрелости процессов ИБ в среднем выше, но и мотивация инсайдера принципиально другая.

“Инсайдерская угроза сложна тем, что легитимный пользователь по определению не выглядит подозрительно. Он делает то, что делает каждый день, только в другое время, чуть в другом объеме или с иными последствиями для бизнеса. Классические периметровые средства защиты могут не зафиксировать такую активность, поскольку формально сотрудник действует в рамках выданных доступов. Именно поэтому сегодня важно выстраивать не только внешний контур защиты”, — говорит Анастасия Мельникова, руководитель департамента оценки защищенности “Кросстеха”.

Эксперты “Кросстеха” указывают, что инсайдерские инциденты провоцируют рост спроса на инструменты поведенческого анализа и мониторинга внутреннего трафика: компании начинают понимать, что угроза может прийти не через взломанный периметр, а через рабочий ноутбук сотрудника, который завтра уходит к конкуренту.