Угроза со стороны инсайдеров снова на подъеме

Угрозы со стороны инсайдеров возвращаются, приобретая серьезные масштабы.

Согласно отчету State of Human Risk Report от Mimecast, 42% организаций за последний год столкнулись с ростом числа инцидентов, вызванных злонамеренными инсайдерами, при этом 42% также впервые сообщили о росте инцидентов по неосторожности.

В отчете также установлено, что организации сталкивались в среднем с шестью инцидентами, вызванными инсайдерами, в месяц, при этом предполагаемая стоимость одного инцидента составила 13,1 млн долларов США. Кроме того, 66% из 2500 опрошенных специалистов по ИТ-безопасности и лиц, принимающих ИТ-решения, ожидают увеличения потерь данных, связанных с инсайдерами, в течение следующих 12 месяцев.

«Риск со стороны инсайдеров стал одной из самых серьезных и недооцененных угроз, с которыми сегодня сталкиваются организации, и не только из-за потерь данных, которые он вызывает, но и потому, что злоумышленники все чаще используют инсайдеров в качестве преднамеренной точки входа для полного обхода периметра защиты», — заявил технический директор по информационной безопасности (CISO) Mimecast Лесли Нильсен, объявляя о результатах исследований его компании.

«Данные показывают, что инциденты вызваны в равной степени как неосторожными ошибками, так и преднамеренными действиями», — добавил он. «Вместо того чтобы пытаться управлять поведением людей, организациям необходимы адаптивные средства контроля, которые выявляют действия с высоким уровнем риска и корректируют защиту в режиме реального времени, создавая препятствия, когда кто-то получает доступ к данным, к которым не должен иметь доступа, независимо от наличия у него действительных учетных данных. Поскольку ИИ упрощает инсайдерам возможность масштабной эксфильтрации данных, безопасность должна встречаться с пользователями в точке возникновения риска».

Состояние угроз со стороны инсайдеров сегодня по мере эволюции технологий, тактик и мотиваций

Угрозы со стороны инсайдеров по-прежнему делятся на две широкие категории. С одной стороны — злонамеренный инсайдер, который сознательно действует с намерением нанести вред. С другой стороны — сотрудник организации, чьи действия могут быть случайными или неосторожными, или в некоторых случаях он может быть манипулирован злонамеренным внешним лицом.

Согласно исследованию Forrester Security Survey 2025 года, 22% утечек данных за предыдущие 12 месяцев стали результатом внутренних инцидентов. Около 47% были вызваны злоупотреблением или злонамеренным умыслом, 32% — непреднамеренным неправильным использованием или случайностью, и 21% включали оба аспекта.

Эти категории охватывают широкий спектр действий, говорит Джозеф Бланкеншип, вице-президент и директор по исследованиям в Forrester. Например, незлонамеренный инсайдер может случайно отправить защищенные данные по электронной почте лицу, не уполномоченному их получать, или по ошибке предоставить публичный доступ к базе данных. Недовольный сотрудник может активно обходить средства контроля безопасности, чтобы украсть конфиденциальную информацию и опубликовать ее с целью опозорить организацию.

Хотя такие сценарии существуют уже много лет, появляются новые технологии, тактики и мотивации, которые стимулируют, манипулируют и дают возможности инсайдерам, говорят эксперты по безопасности.

«Мой опыт связан с разведывательным сообществом, где мы изучали угрозы со стороны инсайдеров через устоявшуюся призму: эго, идеология и экономика. Эти мотивы не изменились. Изменилась операционная среда и то, кто/что квалифицируется как инсайдер», — говорит Крис Кокран, полевой CISO и вице-президент по безопасности ИИ в Институте SANS.

«Это уже не только сотрудники. Это подрядчики, мошеннические наемные работники, получившие доступ посредством мошенничества с личностью, а теперь и агенты ИИ, действующие с постоянным привилегированным доступом», — говорит он. «Неправильно настроенный агент — это суперпользователь, который никогда не спит. Скомпрометированный агент — это противник с законными учетными данными, действующий со скоростью машины. Если у него есть доверенный доступ и он может работать с данными, это инсайдер, сознательный или несознательный».

Кокран добавляет, что переход на удаленную работу также устранил физические и психологические барьеры для рисков со стороны инсайдеров. «Загрузка данных на личное устройство не ощущается как шпионаж, и эта тривиализация и есть риск», — говорит он. «Добавьте экономическое давление: пока компании замораживают найм и сдерживают повышение зарплат, у вас есть рецепт для сознательной инсайдерской угрозы в масштабе».

Нил Харпер, исполнительный коуч и стратегический советник в Octave Digital, а также член совета управляющей ассоциации ISACA, указывает на рост социальных сетей как на еще один фактор, стимулирующий инсайдерские угрозы сегодня.

По его словам, платформы социальных сетей предоставляют внешним злоумышленникам информацию, которую они могут использовать для подкупа, обмана или соблазнения инсайдеров для выполнения их поручений. «Они предоставляют сокровищницу информации для злоумышленников, и коллектив угроз может легко проводить разведку по открытым источникам, чтобы понять, кто восприимчив к шантажу или превращению в наемника», — объясняет он.

В таких инцидентах, по словам Бланкеншипа, злоумышленники часто инструктируют инсайдеров, как обойти средства контроля безопасности и избежать обнаружения.

Эксперты говорят, что сегодня сотрудники также более подкованы в технологическом плане и имеют больший доступ к мощным цифровым инструментам, включая ИИ, и, следовательно, более способны находить способы обхода средств контроля безопасности.

«Среднестатистический сотрудник теперь может стать очень опасным злоумышленником», — говорит Харпер, который также является директором по доверию в Hugo и бывшим CISO, в том числе в международной полицейской организации Интерпол.

Более того, сам ИИ может стать инсайдерской угрозой, добавляет Харпер, объясняя, что агенты могут выйти из-под контроля или быть запрограммированы на это. «Таким образом, ИИ изменил парадигму, когда речь идет об инсайдерских угрозах», — добавляет он.

Между тем, современная рабочая среда создала новые сценарии, которые увеличивают риск инсайдерских угроз, говорит Харпер.

Например, он отмечает, что рост использования подрядчиков и аутсорсинговых поставщиков, а также людей, работающих на нескольких работах, может увеличить возможности как для злонамеренных, так и для незлонамеренных инцидентов, как и удаленная работа, отчасти из-за распределенного характера цифрового доступа для таких работников.

Харпер также добавляет, что хактивизм против компаний, поляризация, идеологические разногласия, экономическое давление и страх потерять работу сегодня способствуют росту рисков со стороны инсайдеров.

Некоторые из этих факторов позволили злоумышленникам устроиться на работу в компании, чтобы затем стать инсайдерскими угрозами, говорит Эррол Вайс, CSO в Health-ISAC. Эти злоумышленники, часто из Северной Кореи, скрывают свою личность и местоположение, чтобы их могли нанять на законные должности, как правило, в сфере ИТ. Общий метод заключается в том, чтобы работать как можно дольше, чтобы заработать деньги для отправки в Северную Корею, одновременно закладывая основу для запуска некоторого рода атаки, когда их работодатели раскроют их истинную личность. «Они монетизируют свой уход, крадя данные или вымогая деньги у своих работодателей на выходе», — объясняет Вайс.

Кроме того, злоумышленники становятся все более агрессивными в своих попытках заставить инсайдеров выполнять грязную работу, говорит Лина Дабит, исполнительный директор офиса CISO в Optiv Canada. Они платят вознаграждения людям, готовым преследовать намеченных лиц или предоставлять личную информацию, такую как личная электронная почта или имена членов семьи. И они создают ловушки, например, романтические аферы, чтобы получить рычаги влияния на инсайдеров.

«У нас всегда были злонамеренные инсайдеры, но теперь у нас есть принуждаемые инсайдеры», — говорит Дабит. «Я думаю, это лишь вопрос времени, когда злоумышленник появится у кого-то дома или в школе у кого-то из детей».

В то же время технологии упростили содействие такой незаконной деятельности, говорят она и другие. Помимо того, что злоумышленники используют социальные сети и другие онлайн-источники для сбора данных, которые они могут использовать для соблазнения или принуждения инсайдеров, они также используют даркнет для связи с инсайдерами, готовыми помочь. В исполнительном резюме Accenture Cyber Intelligence за 2026 год под названием «Растущий риск со стороны инсайдеров, использующих даркнет» отмечен рост на 69% инсайдеров, предлагающих свой доступ хакерам в 2025 году по сравнению с 2024 годом, и всплеск на 127% хакеров, вербующих инсайдеров, по сравнению с 2022 годом.

«Мир отличается и более опасен, чем когда-либо прежде», — предупреждает Дабит, бывший командир подразделения следственной группы по киберпреступлениям Королевской канадской конной полиции. «Не делайте предположений, что группы злоумышленников будут вписываться в аккуратные маленькие категории, такие как государственные субъекты, организованная преступность, хактивизм и т. д. Сотрудничество между государственными субъектами и организованными угрозами, будь то преднамеренное или просто оппортунистическое, [происходит, и происходит] размывание границ между организованной преступностью, государственными субъектами и хактивизмом. Новые группы не придерживаются репутационных норм, [и среда угроз] стала подходом без ограничений, и ничто не исключается».

Переход к проактивной защите

Организации должны быть начеку в отношении угроз со стороны инсайдеров, советуют Дабит и другие.

«И у вас должны быть механизмы для их поиска», — говорит Бланкеншип, подчеркивая различные технологии безопасности, которые могут обнаруживать такое поведение, как необычные или несанкционированные попытки доступа к данным и системам, которые могут указывать на инсайдерскую угрозу. Они, конечно, дополняют все средства контроля безопасности и защиты данных, которые сегодня считаются стандартными, добавляет он.

Дабит также советует руководителям служб безопасности иметь план реагирования на случай, если они заподозрят или поймают инсайдера, непреднамеренно или злонамеренно причиняющего вред.

И он советует CISO работать с главным юрисконсультом и руководителем отдела кадров для выявления сотрудников, которые могут представлять инсайдерскую угрозу — например, тех, кого собираются уволить, или тех, кто недоволен.

Харпер рекомендует регулярные проверки биографических данных сотрудников, причем более строгие — для руководителей и сотрудников, имеющих доступ к конфиденциальной информации или системам.

Кокран говорит, что большинству групп безопасности предстоит проделать работу, чтобы соответствовать существующим сегодня инсайдерским угрозам.

«Многие CISO, с которыми я общаюсь, не очень уверены, что смогут обнаружить инсайдерскую угрозу до того, как произойдет серьезный ущерб», — говорит он. «Необходимо изменить подход: перейти от реактивных, технически ориентированных программ к интегрированным, которые объединяют поведенческие сигналы с технической телеметрией, и, что критически важно, организациям необходимо распространить рамки оценки рисков инсайдеров на нечеловеческие/агентские идентификаторы с той же строгостью, которую они применяют к сотруднику-человеку».