Кто такие «радикальные инсайдеры» и как ими становятся

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.736
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
Политическая обстановка в стране привела к росту киберинцидентов, спровоцированных «радикальными инсайдерами» — сознательными вредителями. Что ими движет и как с ними пытаются совладать, рассказали эксперты компании «Третья сторона»
Фото: Midjourney

Фото: Midjourney

События последнего года принесли бизнесу в России множество новых угроз в области информационной безопасности. Все чаще причиной успешных кибератак становятся собственные сотрудники компании. Причем не те, кого хакеры использовали вслепую, а те, что действуют осознанно и со злым умыслом. Такое поведение называют «радикальным инсайдом».

Классический инсайдер — это нелояльный сотрудник компании, которым движет жажда наживы. Его задача максимально долго «продавать» свои услуги злоумышленникам, а для этого ему необходимо оставаться незамеченным. «Радикальный инсайдер» вредит по другим причинам.

Кто такой «радикальный инсайдер»​

Ущерб компании — обычно лишь следствие деятельности «радикального инсайдера». Основная его цель — устроить диверсию по своим политическим мотивам и желание заявить о них. То есть нанести ущерб и как можно громче. Вопрос вознаграждения для такого человека тоже уходит на второй план.



А вот уйти от ответственности инсайдеру бывает несложно — обычно такие сотрудники заранее планируют отъезд из страны и уезжают сразу, как только совершили противоправные действия. Иногда они делают это из такси в аэропорт или из аэропорта. И даже самая оперативная реакции в компании, максимально быстро написанное заявление в МВД, не позволят перехватить экс-сотрудника на границе и любой потенциальный злоумышленник об этом прекрасно знает. Неформальные связи в силовых структурах тоже обычно не помогают

Последствия таких действий: потеря данных, ущерб инфраструктуре, репутационные издержки.

Наибольший урон наносят такие последствия диверсии:

  • приостановка деятельности компании, заметная для клиентов;
  • утечка данных пользователей;
  • техногенные аварии, произошедшие вследствие действий инсайдера;
  • публичная демонстрация политических лозунгов на ресурсах компании (угроза особенно актуальная для медийной сферы с большим количеством просмотров).

Почему традиционные способы защиты бессильны​

Злоумышленники редко выполняют что-то своими руками, чаще они сотрудничают с хакерами-активистами.

Тут возможны два варианта:

  • инсайдер передает хакерам необходимый доступ;
  • выполняет инструкции хакеров сам.
«Хактивисты» нередко готовы за это платить, а подобные объявления появляются в их телеграм-каналах. Суммы вознаграждения за «вставленную в нужном месте флешку» или «запущенный файл», фигурирующие в подобных объявлениях, стартуют от $5000 в криптовалюте.

О «радикальном инсайде» компании чаще всего узнают, расследуя уже произошедший инцидент. Крайне редко, благодаря оперативной реакции, действия «радикальных инсайдеров» удается предотвратить (здесь от компании потребуется проактивность).

Простого способа решить проблему не существует. Остановить злоумышленника получается, только если слаженно работают множество подразделений: HR, служба безопасности, департамент информационной безопасности.

Можно ли предотвратить вред​

Чтобы успешно предотвращать действия инсайдеров, нужно строить эшелонированную защиту. Она включает в себя такие рубежи:

  • скрининг на входе,
  • социальный мониторинг,
  • технический мониторинг,
  • реагирование.
1. Скрининг на входе.

Часто входные проверки СБ скатываются в крайности: или формальный «поиск по базам», или полиграф.

Парадоксально, но факт: обе крайности, напротив, скорее стимулируют «радикальный инсайд». В первом случае компания просто не знает, кто приходит к ним на работу. Во втором случае компания изначально настраивает против себя потенциальных сотрудников. Скажем проще: полиграф формирует неприязнь. Особенно если полиграфолог ведет себя непрофессионально: давит, задает неэтичные вопросы или запугивает кандидата.

Сама процедура «скрининга» утомительна: занимает от четырех часов и не делает сотрудника лояльнее. Кроме того, проверять человека «на все», без конкретных подозрений, на полиграфе обычно бессмысленно. Наибольшую эффективность этот метод показывает в работе над конкретными темами, связанными с расследованием конкретного инцидента.


У каждой компании свои рецепты «золотой середины». Зачастую хороший HR вместе с будущим руководителем сами могут многое понять о кандидате и выявить подозрительное поведение. Принимая сотрудников на «критичные» для бизнес-процессов должности, помимо стандартных проверок службы безопасности стоит как минимум собрать информацию о кандидате по открытым источникам. Самое главное, чтобы всю собранную информацию по кандидату и мнение СБ получил HR и руководитель. Если возникают вопросы, то имеет смысл аккуратно провести дополнительную беседу с кандидатом, не афишируя сам факт сбора информации. В крайних случаях можно использовать полиграф — как мы уже говорили выше, при наличии конкретных вопросов он дает лучшие результаты.

2. Социальный мониторинг.

Социальный мониторинг — задача в первую очередь руководителей и сотрудников HR. Именно они наблюдают за моральным состоянием своих подчиненных или коллег, отслеживают их ожидания и возможные признаки нелояльности.

Даже в условиях полной удаленки сотрудники редко работают в вакууме, так что информация о личной жизни, политических взглядах или планах по переезду в другую страну рано или поздно может всплыть на поверхность.

Что должно насторожить руководителя или сотрудника HR?

  • Сотрудник стал радикален по политическим или религиозным мотивам, часто обсуждает их в коллективе.
  • Сотрудник не настроен на развитие в компании, игнорирует далекоидущие планы и будущие задачи.
  • Говорит о смене места жительства, но не уточняет сроки и место релокации.
  • Стал излишне скрытен и необщителен.
Главное — не перегнуть палку. Важно понимать, что такое поведение совсем не обязательно говорит о том, что сотрудник готов к радикальному инсайду. Возможно он переживает тяжелый период в жизни, выгорел, или его что-то не устраивает в компании и он просто ищет новую работу.

Но комбинация всех (или почти всех) приведенных выше факторов должна насторожить. Как минимум, стоит еще раз собрать данные из открытых источников, а также вести более пристальный социальный и технический мониторинг. Важно, чтобы руководители и HR понимали, что их вклад в защиту компании на этом этапе так же значим, как и вклад сотрудников ИБ или СБ.

3. Технический мониторинг.

В России довольно распространены системы контроля утечек (DLP). Если их использовать, то это значительно повышает шансы обнаружить радикальный инсайд. Наблюдая за действиями сотрудника в Сети, можно обнаружить и приготовления к подобной акции, и попытки выйти на контакт с «хактивистами».

Системы мониторинга привилегированных пользователей могут позволить даже определить подозрительные действия сотрудников и их готовность нанести ущерб компании. Например, такие:

  • создание в обход регламента привилегированных учетных записей,
  • открытие портов на внешнем периметре компании,
  • установка прочих бекдоров.
Однако, если для множества пользователей мониторинга устанавливать режиме блокировки block при подозрительных действиях, это может крайне негативно сказаться на бизнес-процессах компании и лояльности сотрудников. Разумнее для массового мониторинга ставить лишь режим уведомлений alert о подозрительных событиях, и уже потом анализировать полученные результаты.

Внедрение подобных средств защиты может быть довольно дорогим, но в ряде случаев в компании можно обойтись и более простыми решениями.

Если появляются сигналы на этапе социального мониторинга, то всегда есть смысл изучить логи действий сотрудников на предмет необычной активности, даже если средства защиты не срабатывали.

Реакция компании​

Допустим, сотрудник попал под подозрение. Либо социальный или технический мониторинг выдает тревожные сигналы.

Как можно подтвердить или опровергнуть гипотезу о подготовке к радикальному инсайду?

  • Беседа. Стоит поговорить с сотрудником и попробовать выслушать объяснения его поведения и действий.
  • Технический контроль. Установка систем мониторинга для сотрудника с режима уведомлений alert, на режим блокировки block. В этом случае не так сложно заблокировать лишний раз, раз уж человек попал под обоснованное подозрение.
  • Полиграф. Здесь его применение оправдано, ведь есть вопросы, которые сотруднику нужно задать. Стоит тщательно подойти к выбору специалиста. Но точечная проверка сотрудника, уже имеющего негатив к компании, принесет больше пользы, чем вреда.
  • Снижение уровней доступа и минимизация ущерба. Стоит считать, что каждый, попавший под обоснованное подозрение, виновен. Но не относиться к человеку как к виновному, а отталкиваться от того, как можно минимизировать возможный урон и принять меры, которые позволят снизить его влияние на критичные бизнес-процессы компании.
 
  • Теги
    статьи
  • Сверху Снизу