Инсайдеры

Инсайдеры — это люди внутри организации: сотрудники, подрядчики или бывшие работники, которые используют свой доступ к системам во вред компании. Они могут красть данные, сливать их на сторону, саботировать процессы или помогать внешним злоумышленникам.

Кто такой инсайдер

Инсайдер — это человек, у которого есть легальный доступ к внутренним ресурсам: учётным записям, системам, документам, базам данных или помещениям. Опасность в том, что ему не нужно «взламывать периметр» — он уже внутри.

  • действовать сознательно: месть, деньги, давление извне;
  • или по неосторожности: отправить файл не тому адресату, ослабить пароль, игнорировать правила.
Опасность инсайдера — не в сверхтехнике, а в сочетании доверия и знания изнутри.

Цвет шляпы: чёрная

Если инсайдер намеренно нарушает правила, крадёт данные, сливает доступы или помогает внешним хакерам, он — чёрная шляпа.

Формально он может числиться в штате и иметь официальный доступ, но по сути действует как преступник изнутри.

Если внешний хакер — вор у двери, то инсайдер — сотрудник с ключами от офиса.

Мотивы инсайдеров

Частые мотивы:

  • месть и обида;
  • финансовая выгода: продажа баз данных, логинов, схем работы;
  • давление извне: шантаж, угрозы, вербовка;
  • идеология или несогласие с деятельностью компании;
  • личная выгода в карьере: перенос клиентской базы.
Большинство инсайдерских угроз рождаются на стыке обиды, жадности и возможности.

Характеристики инсайдера

  • знает, где лежат ценные данные и кто к ним имеет доступ;
  • понимает слабые места процессов;
  • имеет доверие системы: логин, почту, пропуск, доступ к чатам;
  • может маскировать действия под обычную работу;
  • часто знает людей, кто не задаёт лишних вопросов.

Методы, которые используют инсайдеры

  • копирует базы данных и отчёты на флешку, личную почту или облако;
  • выгружает CRM, списки клиентов, ценники, коммерческие предложения;
  • передаёт внешним злоумышленникам логины и VPN-доступы;
  • оставляет уязвимости: backdoor, слабые пароли, открытые порты;
  • удаляет или портит данные при уходе из компании;
  • маскирует следы внешней атаки.
Технически это может выглядеть как обычная работа: выгрузка отчёта, архивация данных, пересылка файлов.

Реальные кейсы инсайдеров

1

Waymo и бывший сотрудник
Бывший сотрудник скачал большое количество файлов с внутренними разработками и документацией.

2

Украденные секреты инженерной компании
Сотрудник скопировал секретную документацию и чертежи перед уходом к конкуренту.

Инсайдерская угроза — это не только базы клиентов, но и планы, чертежи, R&D, ноу-хау.

Как защититься от инсайдеров

Инсайдерскую угрозу невозможно убрать полностью, но её можно сильно уменьшить.

Технические меры

  • принцип минимальных привилегий;
  • разделение ролей: важные операции требуют нескольких участников;
  • журналирование и мониторинг действий;
  • DLP-системы и контроль выгрузок;
  • управление жизненным циклом доступа.

Организационные меры

  • прозрачные правила работы с данными;
  • проверка критичных сотрудников;
  • регулярная ревизия прав доступа;
  • корпоративная культура, снижающая обиды.

Обучение и коммуникация

  • обучать, что такое коммерческая тайна;
  • объяснять, что нельзя брать с собой;
  • создать канал для безопасного сообщения о подозрениях.
Если внешних воров отсекают забор и камеры, то от инсайдеров помогает сочетание доверия, проверок и правил.

Основные выводы

  • Инсайдер — это человек внутри организации с легальным доступом к системам.
  • Он может нанести ущерб сознательно или по неосторожности.
  • Главные мотивы: месть, деньги, давление извне, идеология, личная выгода.
  • Инсайдеры используют простые методы: копирование данных, передача доступов, саботаж.
  • Полностью исключить риск нельзя, но его можно уменьшить техническими и организационными мерами.

Мини-тест

Нажмите на вариант ответа, чтобы узнать, верный он или нет.

1Кто такой инсайдер?

2Цвет злонамеренного инсайдера?

3Что делает его опасным?

4Пример действия?

5Что важно для защиты?

6Что делать при подозрении?