Існайдерська загроза

Інсайдерська загроза — це загроза, що виникає від людини, яка має або мала доступ до внутрішніх ресурсів організації, і може використовувати цей доступ з метою завдання шкоди. Це може бути свідомий акт зловживання, або ж випадкові дії, які призводять до створення безпекових ризиків.
Співробітники компаніїЦе найпоширеніший тип інсайдерів. Звичайні співробітники, які з різних мотивів можуть стати інсайдерами.
Підрядники та консультантиЛюди, які працюють з організацією на тимчасовій основі і мають доступ до її систем.
ПартнериЗовнішні організації або особи, які мають рівень доступу до внутрішніх ресурсів.
Інсайдер може використовувати свій доступ до систем або чутливої інформації для виконання різних зловмисних дій (наприклад, крадіжка даних, передача конфіденційної інформації). Вони можуть здійснювати свої дії як зі свого робочого місця, так і через підключення до організаційних мереж ззовні (наприклад, через мобільні пристрої або віддалений доступ). Інсайдерські загрози часто важко виявити, оскільки порушники мають законний доступ до ресурсів компанії та не викликають підозр на перших етапах своїх дій. Загалом, інсайдерські загрози становлять особливу небезпеку, оскільки зловмисники мають перевагу в знанні внутрішньої інфраструктури компанії, її політик безпеки та систем, що робить їх складними для виявлення та попередження.

Типи інсайдерів

Шкідливі інсайдериЦе люди, які навмисно використовують свій доступ до систем чи даних для того, щоб завдати шкоди організації, або для власної вигоди.
Ненавмисні інсайдериЦе люди, які не мають злого наміру, але їх недбалість, незнання чи неуважність можуть призвести до серйозних безпекових проблем.
“Благородні” інсайдериЦе люди, які маючи доступ до внутрішньої інформації, можуть свідомо розголосити її на широкий загал, наприклад через ЗМІ, задля того, щоб поінформувати суспільство про певну проблему, яку ці люди  вважають суттєвою. Їхня мета зазвичай – забезпечити прийняття етичних і адекватних управлінських рішень чи притягнути до відповідальності представників керівництва, які скоїли злочин чи вчинили певні зловживання чи неетичні дії.

Шкідливі інсайдери

Крадіжка данихНаприклад, це може бути викрадення конфіденційної інформації для продажу конкурентам, для використання в особистих цілях або для надання вигоди іншій стороні. Приклад: Співробітник фінансового відділу викрадає особисті дані клієнтів або корпоративні фінансові записи, щоб продати їх або використати для шахрайства.
Шкідливе модифікування данихМоже бути актом саботажу або маніпуляцією з даними для досягнення особистих цілей чи завдання шкоди компанії. Приклад: Співробітник змінює фінансові звіти, щоб приховати фінансові зловживання або підставити компанію.
Використання привілеїв для несанкціонованих дійЗловмисник використовує свої адміністративні права для несанкціонованого доступу до чутливих даних або внутрішніх систем. Приклад: ІТ-спеціаліст використовує свої права для доступу до особистої інформації клієнтів або для маніпуляцій в мережі організації.
Шкідливий код або саботажІнсайдер може навмисно інсталювати вірус, троян або інше шкідливе ПЗ, щоб пошкодити або знищити важливі дані, заблокувати доступ до систем чи призвести до простоїв. Приклад: ІТ-спеціаліст інсталює програму, яка знищує бази даних організації або викрадає паролі.

Ненавмисні інсайдери

Невірне поводження з конфіденційною інформацієюСпівробітники випадково розкривають чутливу інформацію через незнання чи недбалість. Приклад: Співробітник відправляє конфіденційну інформацію або неправильно надає доступ до даних стороннім особам.
Недбальство в управлінні паролями та доступамиВикористання слабких паролів, залишення паролів на видному місці, або передача паролів іншим особам через небезпечні канали. Приклад: Співробітник використовує один і той же пароль для різних систем або записує паролі на папері, що легко потрапляє в чужі руки.
Випадкові дії через фішинг або соціальну інженеріюСпівробітник може стати жертвою фішингової атаки або іншого виду соціальної інженерії, через що порушує політики безпеки компанії. Приклад: Співробітник випадково завантажує шкідливий файл, відкриваючи фішинговий лист, що дозволяє зловмисникам отримати доступ до корпоративної мережі.
Невірна конфігурація системи або безпекиСпівробітники можуть випадково налаштувати системи безпеки таким чином, що це дозволяє несанкціонований доступ або залишає слабкі місця. Приклад: ІТ-спеціаліст помилково налаштовує сервер таким чином, що важливі дані стають доступними для сторонніх осіб або хакерів.

“Благородні” інсайдери

Розголос про шкідливі рішення керівництваНаприклад, задля забезпечення виконання KPI керівництво компанії приймає рішення закупити дешеві, ненадійні комплектуючі, що може створити ризики для життя і здоров’я співробітників, людей, які живуть неподалік та навколишнього середовища. Інсайдер чи інсайдери намагаються переконати керівництво відмовитися від подібного рішення. Але їхні спроби зазнають фіаско. В результаті інсайдер приймає рішення розголосити подібну інформацію.
Розголос про неетичну поведінку керівництваНаприклад, представники вищого керівництва ображають співробітників, створюють неадекватні, психологічно виснажливі умови на робочому місці, погрожують співробітникам, сексуально домагаються тощо. Інсайдер, який в таких ситуаціях, може стати як свідком, так і безпосередньо жертвою, оприлюднює подібну інформацію на широкий загал.
Розголос про фінансові зловживання керівництваНаприклад, представники вищого керівництва зловживають витратами, підробляють звіти, укладають невигідні угоди, які завдадуть збитки компанії. Ісайдер може оприлюднити подібну інформацію, щоб припинити подібні зловживання і можливо домогтися таким чином заміни вищого керівництва на більш компетентних і адекватних людей.

За рівнем доступу

Привілейовані інсайдериЦе особи з високим рівнем доступу (адміністратори систем, топ-менеджери, спеціалісти з ІТ). Вони мають повний або розширений доступ до систем і можуть завдати серйозної шкоди, зловживаючи цими привілеями.
Звичайні інсайдериЦе співробітники з обмеженими правами доступу, але навіть обмежений доступ до чутливої інформації або систем може бути використаний для витоку даних чи випадкових помилок.

За мотивацією інсайдерів

Інсайдерські загрози також можна класифікувати залежно від мотивації осіб:
Фінансова вигодаІнсайдер може красти дані чи передавати їх за гроші.
Помста або саботажНевдоволені співробітники можуть намагатися нашкодити компанії у відповідь на незадоволення умовами праці або звільненням.
НедбалістьІнсайдери можуть порушувати політики безпеки, не усвідомлюючи наслідків своїх дій.

Доступ до інформації

Інсайдери можуть отримувати доступ до чутливої інформації та систем кількома способами, зокрема через легітимний доступ, який вони мають в межах своїх робочих обов’язків, або ж через порушення політик безпеки. До основних шляхів, за допомогою яких інсайдери можуть отримати доступ до інформації відносять:
Прямий доступ через облікові записи та привілеї
Фізичний доступ до обладнання та серверів
Використання мобільних пристроїв та віддалений доступ
Несанкціоноване підключення до корпоративної мережі через сторонні пристрої
Помилки та уразливості в системах безпеки
Порушення політик безпеки
Зловживання правами для зловмисних цілей
Соціальна інженерія та маніпуляції з іншими співробітниками

Прямий доступ через облікові записи та привілеї

Інсайдери мають доступ до різних систем завдяки своїм обліковим записам і привілеям, які надаються їм у межах їхніх посадових обов’язків.
Облікові записи користувачівСпівробітники мають доступ до конкретних файлів, баз даних або програмних додатків, що відповідають їхнім ролям у компанії. Наприклад, бухгалтер може мати доступ до фінансових звітів, а ІТ-спеціаліст — до конфіденційних налаштувань мережі.
Привілеї адміністратораАдміністратори або ІТ-спеціалісти мають повний доступ до всієї інфраструктури організації, що дозволяє їм отримати доступ до будь-якої системи, даних або конфігураційних файлів.
Принцип необхідних правІдея, що кожен користувач має доступ тільки до тих ресурсів, які необхідні йому для виконання своїх обов’язків. Однак навіть з мінімальними правами інсайдер може використовувати свої привілеї для несанкціонованих дій.

Фізичний доступ до обладнання та серверів

Інсайдери можуть мати фізичний доступ до серверів, комп’ютерів та іншої техніки, що дає їм можливість отримати чутливу інформацію.
Обладнання в офісіСпівробітники можуть отримати доступ до корпоративних комп’ютерів, ноутбуків або мобільних пристроїв, на яких зберігаються важливі дані. Вони можуть підключити власні пристрої, копіювати дані або використовувати USB-накопичувачі.
Доступ до серверних приміщеньІТ-персонал чи інші співробітники, які мають фізичний доступ до серверних кімнат або центрів обробки даних, можуть безпосередньо отримувати чи змінювати дані.

Використання мобільних пристроїв та віддалений доступ

Інсайдери можуть використовувати мобільні пристрої або зовнішні пристрої для отримання доступу до корпоративних систем і даних, особливо в умовах віддаленої роботи.
Мобільні пристроїСмартфони, планшети або ноутбуки можуть містити корпоративні додатки або доступи до корпоративних мереж. Якщо пристрій неналежно захищений, інсайдер може надати доступ чи отримати доступ до чутливої інформації через нього.
Віддалений доступ (VPN, RDP, VDI)Інсайдери можуть використовувати віддалений доступ до корпоративної мережі через VPN, протоколи віддаленого робочого столу (RDP) або віртуальні робочі столи (VDI). Це дає змогу працювати з чутливими даними з будь-якого місця.
Необхідність захисту віддаленого доступуВажливо контролювати доступ до віддалених систем, використовуючи багатофакторну автентифікацію та інші заходи безпеки.

Несанкціоноване підключення до корпоративної мережі через сторонні пристрої

Інсайдери можуть підключати сторонні пристрої, як USB-накопичувачі, мобільні пристрої чи навіть власні комп’ютери, для доступу до внутрішніх систем або виведення інформації.
USB-пристроїВикористання незахищених USB-пристроїв для копіювання або викрадення даних може стати каналом витоку інформації.
Сторонні пристрої та Wi-Fi мережіПідключення до корпоративної мережі через незахищену або несанкціоновану Wi-Fi мережу може бути використано для обходу систем безпеки.

Помилки та вразливості в системах безпеки

Інсайдери можуть скористатися помилками або вразливостями в системах безпеки, щоб отримати доступ до інформації, на яку вони не мали б прав.
Невірно налаштовані політики доступуЯкщо налаштування систем безпеки або контролю доступу є слабкими (наприклад, занадто широкі права доступу для всіх користувачів), інсайдер може скористатися цими недоліками для отримання доступу до чутливих даних.
Недостатньо надійні паролі або механізми автентифікаціїВикористання слабких паролів або відсутність багатофакторної автентифікації може дозволити зловмиснику отримати доступ до системи.

Порушення політик безпеки

Інсайдери можуть порушувати внутрішні політики безпеки компанії, що дозволяє їм отримати доступ до даних або ресурсів, до яких вони не повинні мати доступу.
Ігнорування принципу «необхідних прав»Надання зайвих прав доступу співробітникам (наприклад, доступ до всієї бази даних замість конкретних файлів) може дати їм змогу отримати несанкціонований доступ.
Несанкціоноване використання сторонніх сервісівВикористання хмарних сервісів для зберігання або обміну даними може призвести до порушення конфіденційності.

Зловживання правами для зловмисних цілей

Інсайдер може використовувати свої легітимні права доступу для несанкціонованих дій.
Несумлінне використання адміністративних правЯкщо співробітник має адміністративні права (наприклад, доступ до серверів або баз даних), він може зловживати цими правами для копіювання чи викрадення даних.
Маніпуляція з логами та обліковими записамиІнсайдер може змінити системні журнали доступу (логи), щоб приховати свої сліди або створити фальшиві облікові записи для доступу до даних.

Соціальна інженерія та маніпуляції з іншими співробітниками

Інсайдери можуть використовувати методи соціальної інженерії для того, щоб змусити інших співробітників або користувачів надавати їм доступ до систем або даних.
ФішингІнсайдер може спробувати обдурити іншого співробітника або користувача, щоб отримати його облікові дані через фішингові атаки.
Маніпуляції з колегамиІнсайдер може маніпулювати іншими співробітниками, щоб отримати доступ до їхніх облікових записів або чутливої інформації.

Ідентифікація загрози

Розпізнати інсайдерську загрозу може бути складно, оскільки такі загрози часто виникають від осіб, які мають законний доступ до внутрішніх систем і даних організації. Проте існують певні ознаки та патерни поведінки, які можуть свідчити про потенційну загрозу. Зазвичай інсайдери не діють відкрито або явно, але їх дії можуть бути помітними через певні індикатори.
Незвичні або підозрілі зміни в поведінці користувачаІнсайдерська загроза часто виявляється через незвичну або незадоволену поведінку співробітників.
Підозрілі запити на доступІнсайдери можуть намагатися отримати доступ до інформації або систем, для яких у них немає необхідних прав.
Аномальна активність в системах моніторингуРегулярний моніторинг користувацької активності в системах безпеки може допомогти виявити аномалії, що вказують на потенційну інсайдерську загрозу.
Зміни в системах безпекиІнсайдери можуть намагатися обходити або зламувати систему безпеки, щоб приховати свої сліди.
Незвичні моделі використання комунікаційних каналівІнсайдери можуть спробувати передати чутливу інформацію через нестандартні канали зв’язку.
Фізичні підозрілі діїІнсайдери можуть намагатися фізично отримати доступ до чутливої інформації, якщо мають фізичний доступ до приміщення або обладнання компанії.
Невдоволення або зміни в настрої співробітникаОсобисті проблеми або прояви невдоволення на робочому місці можуть стати мотивом для інсайдерської загрози.

Незвичні або підозрілі зміни в поведінці користувача

Незвичне використання системи або доступу до данихСпівробітник раптово отримує доступ до ресурсів, до яких не мав доступу раніше. Завантаження великих обсягів даних без очевидної причини, особливо якщо це не входить до обов’язків співробітника. Співробітник, який раніше мав доступ тільки до обмеженого набору інформації, починає переглядати або експортувати конфіденційну інформацію, наприклад, фінансові звіти або персональні дані клієнтів.
Незвичайні години роботиСпівробітник, який працює в офісі тільки в робочі години, починає працювати пізно ввечері або на вихідних, без пояснення.
Зміни в поведінці в командіРаптове відчуження, ізоляція від колег, уникання спільних зустрічей або інші зміни в соціальній поведінці можуть бути ознаками незадоволення чи підготовки до зловживання.

Підозрілі запити на доступ

Несподівані запити на підвищення доступуСпівробітники можуть запитувати додаткові права доступу до систем або даних, які не є необхідними для виконання їхніх обов’язків. Наприклад, працівник з відділу продажів раптом просить доступ до фінансових чи бухгалтерських систем.
Невиправдані зміни в ролях або привілеяхЗміни в правах доступу (наприклад, доступ до адміністративних функцій або конфіденційних даних) можуть свідчити про спробу зловживання.

Аномальна активність в системах моніторингу

Системи SIEM (Security Information and Event Management)Такі системи можуть виявляти аномалії в поведінці користувачів, наприклад, великі обсяги завантажених або змінених даних за короткий період, спроби доступу до систем без відповідних прав, або підозрілі спроби обійти систему безпеки.
Незвичайні логін-сесіїВиявлення частих спроб входу в систему з різних пристроїв або географічних локацій може бути індикатором підозрілої активності. Наприклад, якщо співробітник зазвичай працює з одного пристрою в офісі, але раптово використовує новий пристрій або підключається з незнайомої IP-адреси.
Аномальні дії з доступом до файлівЧасте відкриття чи експортування великих обсягів чутливої інформації без очевидної потреби може бути ознакою того, що співробітник збирається викрасти дані.

Зміни в системах безпеки

Маніпуляції з логамиЯкщо хтось намагається змінити або стерти записи в системних журналах доступу (логи), щоб приховати свої дії, це може бути яскравим індикатором інсайдерської загрози.
Використання вразливостей системиСпівробітники можуть спробувати використати уразливості в системах безпеки, щоб отримати доступ до даних, які вони зазвичай не повинні бачити, або створити свої власні канали для передачі інформації.

Незвичні або порушені моделі використання комунікаційних каналів

Переміщення даних через зовнішні носіїВикористання несанкціонованих USB-накопичувачів або зовнішніх дисків для зберігання або передачі конфіденційних даних.
Незвичайні електронні листи або передача файлівПересилання великих обсягів файлів через незатверджені канали (наприклад, електронна пошта або месенджери) може свідчити про спробу витоку даних.
Підозрілі дзвінки або контакти з конкурентамиІнсайдер може встановлювати контакти з конкурентами або зовнішніми сторонами без дозволу компанії, що також може свідчити про витік інформації.

Фізичні підозрілі дії

Підозрілі переміщення або доступ до серверних кімнатНезвичне відвідування серверних або захищених приміщень без робочої необхідності.
Використання сторонніх пристроївПідключення сторонніх пристроїв (флешок, мобільних телефонів тощо) до робочих комп’ютерів або серверів може бути спробою скопіювати чи передати інформацію без дозволу.

Невдоволення або зміни в настрої співробітника

Зниження продуктивності або підвищене невдоволенняСпівробітник, який стає більш замкнутим, менш мотивованим або демонструє інші ознаки невдоволення роботою, може бути схильним до скоєння інсайдерської загрози.
Незадоволення умовами праці або конфлікти з колегами чи керівництвомЦе може створити психоемоційний фон, на якому співробітник може бути схильний до помсти або саботажу.

Методи запобігання

Запобігання інсайдерським загрозам є важливою складовою частиною стратегії кібербезпеки організації, оскільки інсайдери можуть мати легітимний доступ до чутливих даних і систем, що ускладнює виявлення та запобігання їхнім зловмисним діям. Існує низка методів, які можуть допомогти зменшити ризик інсайдерських загроз:
1. Управління доступом і мінімізація привілеїв2. Багатофакторна автентифікація (MFA)
3. Моніторинг і аналіз активності користувачів4. Інформаційна політика та навчання співробітників
5. Контроль за використанням зовнішніх пристроїв6. Регулярні аудити безпеки та перевірки
7. Політика «Розриву зв’язку» при звільненні або зміні ролі співробітників8. Використання технологій для виявлення та запобігання витоку даних (DLP)
9. Розробка плану реагування на інсайдерські загрози

Управління доступом і мінімізація привілеїв

Один із найбільш ефективних методів запобігання інсайдерським загрозам — це забезпечення мінімальних прав доступу. Кожен користувач повинен мати доступ лише до тих даних і ресурсів, які необхідні йому для виконання своїх обов’язків.
Політика «мінімально необхідних прав доступу»Переглядайте і регулюйте доступ співробітників до інформаційних систем на основі їхніх обов’язків. Уникайте надання надмірних привілеїв.
Розмежування доступуРозмежуйте доступ до різних рівнів інформації (наприклад, доступ до фінансових даних лише для співробітників фінансового відділу, доступ до бази даних тільки для адміністраторів тощо).
Регулярні перевірки доступуПеревіряйте права доступу співробітників регулярно, особливо після змін у їхніх ролях або після звільнення.
Рольовий доступ (RBAC)Використовуйте рольовий доступ (Role-Based Access Control), щоб визначити, які ролі мають доступ до яких ресурсів, і уникати ситуацій, коли користувач має доступ до зайвих або чутливих даних.

Багатофакторна автентифікація (MFA)

Багатофакторна автентифікація значно ускладнює несанкціонований доступ до систем, навіть якщо зловмисник має пароль.
Використання паролів та додаткових факторівДля доступу до важливих систем та ресурсів вимагайте два або більше фактори автентифікації (наприклад, пароль і одноразовий код, що надсилається на мобільний телефон).
Автентифікація за допомогою біометріїВпровадження біометричних методів аутентифікації, таких як сканування відбитків пальців або розпізнавання обличчя.

Моніторинг і аналіз активності користувачів

Проблеми, пов’язані з інсайдерами, можна виявити за допомогою систем моніторингу активності користувачів, які відстежують підозрілі або аномальні дії в реальному часі.
SIEM-системи (Security Information and Event Management)Використовуйте інструменти для централізованого моніторингу та аналізу подій, щоб виявляти аномальні або підозрілі активності, такі як надмірне завантаження даних, входи з незвичних локацій чи спроби обходу безпеки.
Повідомлення про несанкціоновані діїНалаштуйте системи на автоматичне повідомлення про будь-які підозрілі дії, такі як доступ до файлів, на які співробітник не має права доступу, або зміни в конфігураціях систем.

Інформаційна політика та навчання співробітників

Важливим кроком у запобіганні інсайдерським загрозам є формування чіткої інформаційної політики та регулярне навчання співробітників.
Підвищення обізнаності про безпекуПроводьте регулярні тренінги та семінари для співробітників, щоб вони були обізнані про загрози кібербезпеки та знали, як уникати фішингових атак, обробляти чутливу інформацію та дотримуватися корпоративних норм безпеки.
Чіткі правила користування інформацієюВизначте політики для зберігання, обробки і передачі конфіденційних даних, щоб уникнути витоків і зловживань.
Повідомлення про порушенняЗаохочуйте співробітників повідомляти про підозрілі дії або порушення безпеки та запровадьте систему анонімних повідомлень.

Контроль за використанням зовнішніх пристроїв

Впровадьте жорсткі правила для підключення зовнішніх пристроїв (флешок, портативних дисків, мобільних пристроїв) до корпоративних систем, щоб уникнути витоку інформації.
Заборона або обмеження використання USB-пристроївЗабезпечте контроль доступу до USB-портів і використовуйте шифрування даних на зовнішніх носіях, якщо їх використання є необхідним.
Шифрування данихВсі чутливі дані, що зберігаються на зовнішніх пристроях або передаються через незащищені канали, повинні бути зашифровані.

Регулярні аудити безпеки та перевірки

Проведення регулярних аудитів безпеки допомагає виявляти порушення та уразливості в існуючих системах і процесах.
Аудити доступу та активностіРегулярно проводьте аудит системи безпеки, в тому числі перевіряйте, хто має доступ до яких ресурсів, і чи відповідає цей доступ їхнім обов’язкам.
Тестування на проникнення (Penetration Testing)Проводьте тестування на проникнення, щоб виявити потенційні уразливості, які можуть бути використані інсайдерами для несанкціонованого доступу.

Політика «Розриву зв’язку» при звільненні або зміні ролі співробітників

Процес звільнення або зміни ролі співробітників має бути ретельно організований, щоб мінімізувати ризик зловживань.
Відключення доступу відразу після звільненняПісля того, як співробітник залишає компанію, його доступ до всіх корпоративних систем і пристроїв повинен бути негайно припинений.
Аудит доступу при зміні роліКоли співробітник змінює посаду, перевірте і змініть його рівень доступу до інформаційних ресурсів, щоб він не мав доступу до чутливих даних, якщо це не відповідає новій ролі.

Використання технологій для виявлення та запобігання витоку даних (DLP)

Системи захисту від витоку даних (DLP) допомагають виявляти та запобігати несанкціонованому передаванню чутливої інформації.
Моніторинг передачі данихВпровадження DLP-систем дозволяє відстежувати, які дані передаються через зовнішні канали (електронну пошту, хмарні сервіси тощо) і блокувати несанкціоновані спроби передачі конфіденційної інформації.
Контроль доступу до чутливих данихВикористовуйте DLP для визначення, які співробітники мають доступ до конфіденційної інформації, і автоматично обмежуйте або зупиняйте спроби несанкціонованої передачі таких даних.

Розробка плану реагування на інсайдерські загрози

Для швидкого реагування на інсайдерські загрози важливо мати план реагування на інциденти, який передбачає чіткі кроки у разі виявлення підозрілої активності чи витоку даних.
Кроки для виявлення та реагуванняВизначте процедури для своєчасного виявлення інсайдерських загроз, їхнього аналізу і оперативного реагування.
Розслідування інцидентівВпровадьте процес для розслідування інцидентів, щоб зрозуміти, як саме сталася загроза, які дані були скомпрометовані і хто був задіяний.
Запобігання інсайдерським загрозам вимагає комплексного підходу, що включає технічні рішення, управлінські заходи та постійну освіту співробітників. Важливо забезпечити належний контроль доступу до даних, активний моніторинг користувацької діяльності, регулярні перевірки безпеки та наявність чіткої політики і процедур для управління інцидентами.

Реакція на загрозу

Реакція на інсайдерську загрозу повинна бути швидкою, продуманою та структурованою, оскільки інсайдери, як правило, мають легітимний доступ до систем і даних, що робить їхні дії складнішими для виявлення і нейтралізації. Правильний план реагування на інсайдерську загрозу допоможе мінімізувати шкоду для організації та забезпечити відновлення нормальної роботи.
1. Ідентифікація та підтвердження загрози2. Ізоляція та обмеження доступу
3. Збір доказів і документування інциденту4. Розслідування інциденту
5. Відновлення і контроль після інциденту6. Юридичні та дисциплінарні наслідки
7. Аналіз і вдосконалення заходів безпеки

Ідентифікація та підтвердження загрози

Першим кроком є виявлення потенційної інсайдерської загрози. Важливо точно визначити, чи дійсно має місце загроза зсередини організації, чи це помилка чи випадковість.
Оцінка аномальної активностіВикористання систем моніторингу, таких як SIEM (Security Information and Event Management), для виявлення підозрілих дій: надмірного доступу до даних, перенесення великих обсягів файлів, зміни прав доступу тощо.
Перевірка логівАудит і перевірка системних логів для виявлення підозрілих спроб доступу або аномальних патернів поведінки користувача.
Аналіз поведінкиЯкщо є підозри щодо конкретного співробітника, потрібно проаналізувати його поведінку та зібрати інформацію щодо змін у його діяльності, наприклад, підвищена активність у несанкціонованих системах чи час роботи поза робочими годинами.

Ізоляція та обмеження доступу

Якщо підозра на інсайдерську загрозу підтверджується або є достатньо доказів для перевірки, потрібно негайно ізолювати потенційного загрозу, щоб мінімізувати можливі втрати.
Відключення доступуПереривання доступу до корпоративних систем, баз даних, облікових записів, електронної пошти та інших чутливих ресурсів, щоб обмежити можливості для подальших зловживань.
Підозріла активністьЯкщо є конкретна інформація про підозрілу активність співробітника, можна тимчасово відсторонити його від роботи або призупинити доступ до критичних систем.
Видалення або блокування пристроївЯкщо інсайдер використовує сторонні пристрої (наприклад, флешки або мобільні телефони), їх потрібно заблокувати або вилучити для запобігання передачі даних.

Збір доказів і документування інциденту

Важливо зафіксувати всі дії, що пов’язані з інцидентом, для подальшого аналізу та можливого юридичного розслідування.
Документування дій співробітникаЗбирайте докази підозрілої активності, включаючи логи доступу, електронні листи, журнали дій в системах безпеки.
Збереження доказівУникайте змін або видалення доказів. Всі дані повинні бути зафіксовані для подальшого аналізу або юридичних процедур.
РозслідуванняВстановіть, що саме сталося, як довго діяла загроза, яка інформація була доступна інсайдеру та чи було її витрачено або чи відбулися зловживання.

Розслідування інциденту

Якщо загроза підтверджена, необхідно провести повне розслідування інциденту. Це дозволить не тільки виявити, як саме сталася загроза, але й зрозуміти, чому вона відбулася, і що можна зробити для уникнення подібних інцидентів у майбутньому.
Визначення масштабу загрозиОцініть, які дані або ресурси були скомпрометовані, чи є витік конфіденційної інформації, і які наслідки можуть бути для організації.
Ідентифікація мотивівПроаналізуйте, чи була загроза зумовлена фінансовими чи особистими мотивами, чи йшлося про помсту за конфлікти на роботі, чи це була частина більшої схеми.
Розмови з працівникамиЯкщо це можливо, організуйте розмову з праціниками, щоб з’ясувати обставини події.

Відновлення і контроль після інциденту

Після того як інцидент буде підтверджено та розслідувано, потрібно відновити нормальну роботу організації та впровадити заходи для попередження подібних ситуацій у майбутньому.
Відновлення доступу до системПісля перевірки та виправлення можливих вразливостей, відновіть доступ до систем, але тільки для авторизованих користувачів.
Перегляд політики доступуПісля інциденту необхідно оновити політики доступу та безпеки, щоб мінімізувати ризик повторення.
Оцінка завданої шкодиОціните, чи були нанесені фінансові, репутаційні чи інші збитки організації. Якщо було порушено законодавство, розгляньте можливість юридичного переслідування.
Відновлення довіриВажливо відновити довіру серед співробітників і клієнтів організації. Це може включати відкриті комунікації про заходи, вжиті для попередження подібних інцидентів.

Юридичні та дисциплінарні наслідки

Якщо інсайдерська загроза є серйозною і має правові наслідки (наприклад, витік чутливої інформації, крадіжка інтелектуальної власності), можуть бути застосовані дисциплінарні або юридичні заходи.
Дисциплінарні заходиЗалежно від серйозності порушення, це може бути попередження, звільнення, переведення на іншу позицію або обмеження доступу до певних ресурсів.
Юридичні наслідкиУ разі серйозного порушення (крадіжка даних, нанесення шкоди компанії) може бути ініційовано кримінальне розслідування. Потрібно взаємодіяти з юридичними консультантами для визначення правових кроків.
Захист інтересів організаціїЯкщо є серйозні наслідки для бізнесу (наприклад, втрата клієнтських даних або витік корпоративної інформації), слід вжити заходів для захисту компанії від подальших витоків і репутаційних збитків.

Аналіз і вдосконалення заходів безпеки

Після інциденту важливо провести аналіз всіх заходів безпеки та внести зміни до існуючих політик і процедур для мінімізації ризиків у майбутньому.
Оцінка політики безпекиПерегляньте політики безпеки, щоб вони були актуальними і відповідали новим загрозам. Впровадьте більш суворі заходи контролю доступу та моніторингу.
Тренінги для персоналуПроведіть додаткові тренінги для співробітників щодо нових процедур безпеки і загроз.
Інвестування в технологіїОцініть необхідність удосконалення інструментів для моніторингу активності користувачів, таких як системи SIEM, DLP (Data Loss Prevention) та системи багатофакторної автентифікації (MFA).

Психологія інсайдерів

Психологія інсайдерів є важливою складовою в контексті кібербезпеки, оскільки мотивація співробітників, які вчиняють інсайдерські загрози, може варіюватися від особистих обставин до професійних розчарувань або бажання помститися організації. Розуміння психологічних аспектів дозволяє краще передбачити і запобігти потенційним загрозам зсередини.
1. Фінансові мотиви2. Професійні мотиви
3. Ідеологічні мотиви4. Особисті мотиви
5. Соціальний вплив і групова динаміка

Фінансові мотиви

КорисливістьДеякі інсайдери можуть бути зацікавлені в отриманні фінансової вигоди через крадіжку чутливих даних (наприклад, фінансових звітів, клієнтської бази) або через шахрайство (наприклад, маніпулювання системами для особистої вигоди).
Гроші як фактор тискуВнутрішні працівники можуть бути під впливом фінансових труднощів або боргів, що призводить їх до зловживання доступом до даних або ресурсів компанії.

Професійні мотиви

Невдоволення роботоюСпівробітники, які почуваються недооціненими чи зневаженими. Невдоволення може виникати через несправедливе ставлення, занижену зарплату, відсутність кар’єрного зростання або конфлікти з керівництвом.
Бажання змінити ситуаціюІнсайдер може прагнути до змін у компанії, йому здається, що його дії допоможуть покращити ситуацію, навіть якщо це буде на шкоду репутації організації. Але з іншого боку замовчування проблеми може призвести до значно гірших наслідків.

Ідеологічні мотиви

Протест проти політики компаніїДеякі інсайдери можуть бути мотивовані ідеологічними переконаннями або соціальними поглядами (наприклад, протест проти корупції в компанії).
Політичні мотивиУ деяких випадках співробітники можуть мати політичні мотиви, пов’язані з протестом проти певної політики компанії або навіть впливу компанії на державу чи суспільство.

Особисті мотиви

ПомстаУ разі конфліктів з колегами, керівниками або іншими співробітниками, інсайдери можуть вчинити злочин з бажання помститися за особисті образи чи непорозуміння.
Стрес та емоційне вигоранняДовготривалі стреси, емоційне вигорання або нещасливі особисті ситуації можуть спонукати співробітника до ризикованих вчинків, у тому числі до дій, які загрожують компанії.

Соціальний вплив і групова динаміка

Вплив колегСпівробітник може стати частиною групи або середовища, де інсайдерські загрози стають нормою, або де є тиск на нього з боку колег чи керівників.
«Тиск групи»Іноді співробітники можуть діяти в рамках групової динаміки, коли їх мотивує не лише особистий інтерес, а й бажання належати до певної групи або піддатися впливу інших.

Психологічні стратегії для запобігання інсайдерським загрозам

Розуміння мотивації співробітниківСтворення сприятливого психологічного клімату в організації допомагає мінімізувати ризики, пов’язані з професійними та особистими мотивами інсайдерів. Це може включати підтримку, розвиток, навчання і кар’єрне зростання для співробітників.
Мотивація і заохочення чесностіСправедливе ставлення до працівників, встановлення відкритої та прозорої комунікації, заохочення чесної поведінки можуть допомогти запобігти зловживанням та розчаруванню, яке може призвести до зловживань.
Навчання співробітниківРегулярне навчання співробітників щодо етики поведінки, цінностей компанії та наслідків для організації при порушенні політик безпеки може змінити їхнє сприйняття ситуації і зменшити ймовірність негативних дій.
Виявлення ранніх ознак психологічного стресуСпостереження за рівнем стресу, емоційного вигорання та змінами в поведінці співробітників допомагає вчасно виявити потенційно небезпечних інсайдерів і надати їм необхідну підтримку.

Короткі підсумки

Тип інсайдераМетаРеакція
Шкідливий інсайдерОсобиста вигода чи недбалість Викрадення, пошкодження чи знищенння данихПротидія, запобігання
Нешкідливий інсайдерНамагається повідомити про істотну проблему, щоб убезпечити організацію чи компанію від потенційно суттєвих репутаційних чи фінансових втратМаксимальне сприяння, реагування на звернення, щоб інформація про проблеми знаходила відгук і відпадала необхідність розголошувати інформацію.

Короткий кейс

СитуаціяКерівництво компанії А приймає рішення відправити групу співробітників на проєкт, який розташований в безпосередній близькості від зони боєвих дій, задля покращення річних фінансових результатів. В ході планування представники керівництва повідомляють обраним співробітникам неправидиву інформацію про те, що у разі отримання поранень чи загибелі офіційна страховка буде діяти і співробітники чи їхні родичі отримають щедрі компенсації.
Опція 1Один із співробітників, якого планують відправити в це відрядження, звернувся до страхової компанії за роз’ясненнями і отримав офіційну відповідь від страхової компанії, що в місцевості, де буде проєкт жодні страховки діяти не будуть через занадто високі ризики для життя, тому жодних виплат у разі форс-мажору ніхто не отримає. В ході спілкування з керівництвом жодних дій, розуміння чи пояснень отримано не було. Тому співробітник написав і оприлюднив відкритий лист, поінформувавши тим самим всіх співробітників про ситуацію. В результаті розголосу відрядження було скасовано.
Опція 2Співробітники без зайвих питань і заперечень поїхали у відрядження.

В цьому відео поговоримо про:
00:00 Існайдерська загроза
03:08 Типи інсайдерів
22:49 Доступ до інформації
40:01 Ідентифікація загрози
50:08 Методи запобігання
01:07:36 Реакція на загрозу
01:20:30 Психологія інсайдерів
01:33:52 Короткі підсумки

Leave a Reply

Your email address will not be published. Required fields are marked *