Одна из основных причин почему сотрудники могут целенаправленно начать действовать во вред компании — это финансовая выгода. Инсайдеры крадут конфиденциальную информацию, чтобы продать ее сторонним лицам, например, конкурентам, или выставить на продажу в даркнет. Еще одна распространённая причина — месть, например, после ухода из компании. Уволившийся или уволенный сотрудник может прибегать к помощи бывших коллег, но хуже — если у него осталась возможность удалённо входить в свой рабочий аккаунт, потому что организация не закрыла ему доступ к системам. Третья возможная причина — недовольство текущей позицией, желание «отомстить» работодателю, который, например, не дал ожидаемого повышения. Еще один сценарий — когда сотрудники компаний сотрудничают со злоумышленниками и помогают им в осуществлении различных видов атак на компанию.
Эксперты отмечают среди главных опасностей инсайдерских атак – осведомленность, легкий доступ к корпоративной сети, помощь коллег под воздействием социальной инженерии и серьезная мотивация навредить компании.
«От действий инсайдеров не застрахован ни крупный, ни малый бизнес. Для защиты от такого типа угрозы компаниям необходимо создать устойчивую систему кибербезопасности, которая будет объединять продуманную и безопасную архитектуру ИТ-систем; программы обучения как для подразделения ИТ, так и для остальных сотрудников; и, конечно, эффективные технические защитные меры. Например, наше решение Kaspersky Endpoint Detection and Response Optimum содержит функцию расширенного контроля аномалий, который помогает обнаружить и предотвратить подозрительные и потенциально опасные действия как инсайдера, работающего в компании, так и сторонних лиц извне», — комментирует Алексей Вовк, руководитель управления информационной безопасности «Лаборатории Касперского».
«Хочу отметить ещё один важный момент – частое явление в современном даркнете – это поиск инсайдеров внутри крупных компаний с целью подкупа. Казалось бы, очевидный способ предотвращения инсайдерских утечек – использование DLP системы, DCAP и подобных систем мониторинга действий сотрудника. Но эти системы могут работать, как эффективно, так и «вхолостую», особенно DLP. Гораздо большую эффективность показала работа связки IDM+DCAP/DAG+DLP. Из сложных примеров – при наличии доступа к данным 1-го, или 2-го уровня конфиденциальности (классификацию IDM получает из DCAP) – информация о необходимости повышенного контроля передаются в DLP. Можно привести ещё более простой пример – передача инсайдером доступа к его личной учетке и последующее повышение привилегий атакующим (уязвимость CVE-2022–26923) – это пресечёт IDM без каких-либо дополнительных средств. Например, у Ankey IDM обнаружение изменения привилегий выполняется в реальном времени (livesynс)», — говорит Иван Корешков, менеджер по продукту Ankey IDM компании «Газинформсервис».