Что, если главный риск безопасности вашей организации уже имеет пропуск сотрудника, легитимно авторизован и прекрасно знает все внутренние процессы? Этот вопрос неудобен, но он знаменует собой отправную точку давно назревшей дискуссии об угрозах со стороны инсайдеров.
Угрозы со стороны инсайдеров — слепое пятно
Будь то на отраслевых конференциях или внутренних совещаниях: когда речь заходит о рисках безопасности, взгляд почти всегда рефлекторно устремляется вовне. На хакерские группы и киберпреступников, на иностранные спецслужбы, на сторонников политических или религиозных движений и на экономических конкурентов. Собственные сотрудники как группа злоумышленников в этом обзоре почти не рассматриваются. Внутренние угрозы во многих организациях до сих пор остаются табуированной темой, их считают лишь побочным явлением или единичными «паршивыми овцами». Такое предположение удобно — и одновременно крайне опасно. Ведь оно мешает увидеть риск, который носит структурный, многогранный и высокоэффективный характер.
Эмпирические данные подтверждают, что угрозы со стороны инсайдеров являются систематическим риском безопасности. В опросе Bitkom за 2025 год 48 процентов немецких компаний сообщили о случаях кражи данных, промышленного шпионажа или саботажа, совершенных их собственными сотрудниками. В 25 процентах случаев это были непреднамеренные действия (бывших) сотрудников, а в 23 процентах — умышленные действия (бывших) сотрудников. Таким образом, после атак организованной преступности и банд (68 процентов) инсайдерские правонарушения являются вторыми по частоте инцидентами. Другая статистика показывает, что уже 61 процент организаций по всему миру выявили инциденты с участием инсайдеров, и в 29 процентах случаев это привело к инциденту безопасности.
Эти цифры ясно дают понять: стратегия безопасности, сосредоточенная исключительно на внешних угрозах, опасно неполноценна. Риски со стороны инсайдеров — это релевантная часть ландшафта угроз, и их необходимо систематически учитывать в анализе рисков.
Опасность инсайдеров недооценивается
Социальная организация — фундаментальная черта человеческой эволюции. Люди с древних времен объединялись в группы для совместной охоты, обмена знаниями и защиты от угроз. Принадлежность к группе обеспечивала защиту от внешних опасностей и могла гарантировать выживание. Основой всего этого было взаимное доверие внутри коллектива.
И сегодня доверие лежит в основе функционирования любой организации. Оно является отправной точкой для конструктивного, эффективного и успешного сотрудничества. Для выполнения своих рабочих задач сотрудники нуждаются в доступе на территорию компании, в базы данных и системы заказов, а также в информации о продуктах, процессах, поставщиках, подрядчиках и клиентах. Работодатели предоставляют сотрудникам необходимые полномочия и, в свою очередь, рассчитывают на лояльность и добросовестность персонала. Для многих людей мысль о том, что кто-то может сознательно и преднамеренно выступить против собственной организации, просто невообразима и морально предосудительна. Следствие: опасность игнорируется. Однако слепое доверие делает организации уязвимыми.
Угрозы со стороны инсайдеров опасны
Инсайдеры обладают легитимными полномочиями и глубокими знаниями об инфраструктуре, системах, процессах и заинтересованных сторонах. В то же время они прекрасно видят слабые места организации. Они знают критически важные активы, расположение конфиденциальных данных и то, какие процессы наиболее уязвимы. Инсайдеры также осведомлены о существующих и отсутствующих механизмах контроля. И они знают, как использовать уязвимости и обходить меры защиты. Это структурное преимущество любого инсайдера.
Но только неправомерное использование полномочий превращает инсайдера в злоумышленника. Однако выявить это сложно, поскольку их действия выглядят незаметными и легитимными. Доступы осуществляются с использованием действительных разрешений, процессы формально соблюдаются, а аномалии — едва уловимы. Классические механизмы безопасности здесь часто не срабатывают.
Таким образом, инсайдеры могут действовать в течение длительного времени, оставаясь незамеченными. Типичные преднамеренные формы атак изнутри включают мошенничество, кражу информации и физических активов, шпионаж, саботаж и насилие. Причины этих действий разнообразны и варьируются от эмоциональных и ситуативных стрессов, неудовлетворенности и фрустрации, оппортунизма, финансовых интересов до конфликтов лояльности. Помимо таких нелояльных инсайдеров, существуют также профессионально внедренные злоумышленники, действующие, например, по заказу иностранной спецслужбы.
В отличие от этих двух групп, существует третья категория сотрудников: это те, кто, например, в спешке повседневной работы кликает по ссылке в фишинговом письме, по неосторожности отправляет электронное письмо не тому адресату или использует не допущенные компанией инструменты ИИ для экономии рабочего времени. Каждая организация должна сама для себя определить, можно ли и нужно ли называть и рассматривать как инсайдеров эту последнюю группу, которая действует без злого умысла и криминальных намерений.
Масштаб ущерба от внутренних атак может быть колоссальным. Ущерб от действий инсайдеров часто оказывается более долгосрочным, чем от внешних атак — как в финансовом, репутационном, так и в организационном плане. В зависимости от тяжести атаки может возникнуть и организационная травма, например, после акта насилия.
Классических мер безопасности недостаточно
Технические системы вносят важный вклад в выявление рисков со стороны инсайдеров, однако они имеют четкие ограничения. Такие инструменты, как управление идентификацией и доступом (IAM), предотвращение утечек данных (DLP) или аналитика поведения пользователей и сущностей (UEBA) могут выявлять аномалии и отклонения, но не лежащие в их основе эмоции, мотивы или намерения. Таким образом, техника может предоставить подсказки и сделать симптомы видимыми, но значительная часть угроз со стороны инсайдеров остается невидимой для технических систем. Вспомните кражу бумажных документов, установку мини-камер для наблюдения за экранами компьютеров или саботаж физической инфраструктуры. Угрозы со стороны инсайдеров сложны и ни в коем случае не являются чисто IT-вопросом. Другие отделы, такие как служба корпоративной безопасности, HR, комплаенс, юридический отдел, внутренняя коммуникация и менеджмент, также являются релевантными заинтересованными сторонами.
Еще одна центральная проблема — отсутствие четкого владельца рисков (Risk Ownership) для угроз со стороны инсайдеров. В то время как защита от внешних атак во многих организациях прочно закреплена — часто с выделенными отделами, четко определенными обязанностями и отлаженными процессами, — аналогичного механизма для угроз изнутри часто не существует вовсе. Без ясной ответственности риски со стороны инсайдеров невозможно ни систематически оценивать, ни превентивно контролировать.
Результатом фиксации на технологиях, мышления в рамках изолированных «колодцев» (silos) и отсутствия ответственности становятся точечные, разрозненные меры, такие как ужесточение прав доступа, дополнительные проверки и новые инструменты. Эти меры не ошибочны, но они представляют собой лишь изолированный фрагмент систематического риск-менеджмента.
Что означает современный подход к угрозам со стороны инсайдеров
Неопределенность в работе с угрозами со стороны инсайдеров также отражается в опросах: в то время как среди экспертов по кибербезопасности наблюдается явный рост обеспокоенности по поводу злонамеренных инсайдеров — с 60 процентов в 2019 году до 74 процентов в 2024 году, — только 29 процентов респондентов считают, что располагают правильными инструментами для защиты своей организации. Часто не хватает комплексной перспективы: какие риски для нас действительно критичны? Как эта тема вписывается в существующие структуры управления рисками, корпоративного управления и процессов? Кто несет ответственность?
Современное взаимодействие с угрозами со стороны инсайдеров начинается не с недоверия, а с осознания рисков. Речь идет не о тотальном подозрении в отношении сотрудников, а о систематическом понимании рисков и ответственном управлении ими.
Ключевым моментом является смена перспективы: от реакции к предотвращению, от отдельных случаев к структурам, от технологий к организации. Современный подход объединяет культуру, структуру и ответственность. Он укрепляет доверие и комплаенс путем создания четких правил и процессов. Кроме того, он обеспечивает устойчивую отказоустойчивость, а не просто реагирование на инциденты. Призыв очевиден: бездействие увеличивает риск. Внимательность порождает способность действовать.
Вывод: почему действовать нужно сейчас
Управление инсайдерами — это не продукт и не режим тотального контроля. Это клиентоориентированный подход к управлению, который защищает доверие, делая риски прозрачными и целенаправленно устраняя их. В связи с европейскими директивами NIS2 и CER управление рисками выходит на первый план. Безопасность по-прежнему часто воспринимается как некая внешняя оборона. При этом часто упускается из виду: значительная часть рисков возникает внутри самих организаций.
Таким образом, управление инсайдерами — это уже не дополнительная опция, а часть ответственного корпоративного управления. Главный вопрос заключается не в том, существуют ли риски со стороны инсайдеров, а в том, готовы ли организации сознательно ими управлять. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Susann Bartels
