Исследование
Российский бизнес все чаще приравнивает внутренние риски по значимости к внешним кибератакам. Однако главная беда — систематическое запаздывание с выявлением инцидентов и острый дефицит данных для их расследования. К таким результатам пришли аналитики «Контур.Эгиды», опросив 1,2 тыс. ИТ- и ИБ-специалистов из 12 отраслей экономики.
Под «внутренними угрозами» исследователи понимают широкий спектр действий: умышленные нарушения со стороны штатных сотрудников и подрядчиков, случайные ошибки, несоблюдение регламентов, передачу доступа третьим лицам, злоупотребление полномочиями, попытки обойти системы защиты, а также бесконтрольное использование внешних веб-сервисов.
17% опрошенных назвали такие угрозы главным риском для своей организации, еще 33% — одним из наиболее серьезных. И лишь 6% участников заявили, что не видят здесь существенной проблемы для бизнеса.
Самым критичным источником угроз признаны ошибки персонала по невнимательности — так ответили 44% респондентов. 42% опасаются утечек данных через сотрудников и подрядчиков, 39% — передачи корпоративных учетных записей посторонним, а 38% — преднамеренных действий персонала, ведущих к сливу информации.
Проблема не ограничивается прямыми нарушениями. 30% участников считают серьезным риском сознательное игнорирование внутренних регламентов ради личного удобства. Еще 32% компаний тревожит использование сотрудниками неавторизованных облачных сервисов, и столько же (32%) — применение искусственного интеллекта без контроля со стороны организации.
Исследование показало, что большинство компаний сталкиваются с внутренними инцидентами уже после того, как негативные последствия начались или наступили. Лишь 24% респондентов заявили, что обычно выявляют такие угрозы до возникновения ущерба. В остальных случаях проблема становится очевидной либо в процессе развития инцидента (35% компаний), либо уже после причиненного вреда (22%). Еще 16% узнают о происшествии случайно или через жалобы сотрудников.
Главная трудность при разборе внутренних инцидентов — отличить случайную ошибку от злого умысла. На это указали 33% опрошенных. 26% жалуются на слишком позднее обнаружение, а 25% — на отсутствие прозрачности действий пользователей внутри инфраструктуры.
Кроме того, компании страдают от фрагментарности систем безопасности и дефицита данных для анализа. 23% респондентов сообщили о нехватке логов и других сведений для расследований, 21% — о разрозненных, не связанных между собой средствах защиты. 26% участников отметили, что сотрудники успешно обходят существующие системы контроля, а 23% — что внутри организации активно используются неподконтрольные внешние сервисы.
Главными препятствиями для снижения внутренних рисков названы: дефицит квалифицированных кадров (30% ответов), отсутствие понимания реального масштаба угроз (26%) и недостаточная культура информационной безопасности внутри организации (25%).
Для выявления внутренних угроз компании чаще всего применяют анализ сетевого трафика (46%) и мониторинг активности сотрудников (45%). Еще 41% используют анализ логов, по 35% — EDR-системы и собственные разработки.
При этом бизнес рассматривает проблему не только как техническую. 46% опрошенных внедряют обучение сотрудников и повышают их осведомленность в области ИБ. 42% практикуют проверку кандидатов при найме.
Среди технологических решений популярны: CASB-решения для контроля облачных сервисов (32%), IAM-системы управления доступом (30%), SIEM-платформы (29%), UEBA-инструменты анализа поведения пользователей (27%). DLP-системы используют 23% участников.
Даниил Бориславский, эксперт по информационной безопасности «Контур.Эгиды»:
«Внутренние угрозы постепенно выходят за пределы узкой ИБ-повестки и становятся вопросом управляемости бизнеса. Компании работают с распределенной инфраструктурой, большим количеством учетных записей, подрядчиков и внешних сервисов. При этом проблема уже не только в отсутствии отдельных средств защиты, а в нехватке связности между системами контроля, журналами событий и инструментами расследования. Организации могут видеть отдельные сигналы, но не всегда способны быстро восстановить полную цепочку действий внутри инфраструктуры и определить источник инцидента».