Громкие скандалы в сфере кибербезопасности, в которых виновными были признаны сотрудники крупных компаний и госструктур, стали одной из главных тем последних трех лет. От утечек конфиденциальных данных до масштабных хакерских атак - во многих инцидентах ключевую роль сыграли инсайдеры, использовавшие свои служебные полномочия для нанесения вреда работодателям. Виновные найдены и наказаны, дело закрыто. Но так ли однозначно в этих делах обстоит вопрос вины? Можно ли найти закономерности в этих историях?

Действительно, статистика впечатляет: начиная от скандала с Anthem Inc., где 78 млн личных данных клиентов были похищены сотрудником IT-отдела, и заканчивая взломом систем российских органов власти, − во всех этих историях фигурируют виновные инсайдеры, приговоренные к внушительным срокам заключения.

Но при расследовании подобных дел нередко упускается из виду целый ряд факторов, которые могли повлиять на поведение сотрудника и в итоге спровоцировать его на противоправные действия. И, что самое главное, эти факторы, как правило, кроются внутри самих организаций: в их системах найма, контроля и мотивации персонала.

Станислав Карпович, заместитель директора департамента "Киберполигон" по развитию бизнеса, в новом материале постарался развеять несколько мифов о человеческом факторе в кибербезопасности.

Миф первый: «железо» важнее людей

По итогам 2023 года, общая сумма ущерба от инцидентов, связанных с нарушениями информационной безопасности, составил около 156 млрд рублей. Фактор внутреннего нарушителя превалирует в инцидентах, связанных с утечками информации из-за умышленных действий инсайдеров. Как показывают расследования киберинцидентов, во многих организациях отсутствует мониторинг активности своих работников, что позволяет инсайдерам годами красть данные, не опасаясь разоблачения. Средний ущерб от одной утечки информации  для российских организаций в 2023 году составил около 5,5 млн рублей, а таких инцидентов может быть несколько в течение года.

Чтобы снизить подобные риски, разработаны целые классы решений информационной безопасности.  В первую очередь, это DLP-системы, которые предотвращают риски утечек данных, решения класса IdM для управления учетными записями и правами доступа и PAM-системы для контроля привилегированных пользователей. Эти решения снижают риски по вине внутренних злоумышленников, но не способны противостоять методам социальной инженерии, которым подвержен обычный человек.

И когда такое «слабое звено» все же поддается на уловки хакеров, виновным объявляют именно его, хотя первопричина лежит глубже – недостаточный уровень киберграмотности сотрудников компаний и невысокий уровень инвестиций в программы Security Awareness и подготовку команд киберзащиты.

Вопрос не в том, смогут ли киберпреступники склонить на «темную» сторону сотрудника, смогут. Вопрос в количестве ресурсов, которые для этого потребуются и объеме потенциального ущерба, который они смогут причинить.

Компании легко выделяют миллиардные бюджеты на «железо» и софт, но избегают систематического подхода к развитию навыков своих сотрудников. И решений таких автоматизированных, практически, нет на рынке. Круг замкнулся. Что необходимо, что на рынке сформировался запрос на системы контроля и развития сотрудников, которые усилят меры информационной безопасности? 

Миф второй: мы всех досконально проверяем

Недавний кейс американской компании KnowBe4, которая случайно наняла хакера из Северной Кореи, довольно показателен. «Кандидат» успешно прошел четыре этапа собеседований по видеосвязи, кандидат не вызвал подозрений ни на одном из этапов. В первый же день, получив рабочий Mac, новый сотрудник начал загружать вредоносное ПО, эту манипуляцию пресек оперативный центр информационной безопасности (SOC).  Как показало дальнейшее расследование, «сотрудник» физически находился в Северной Корее и подключился к рабочему устройству через «ферму ноутбуков», используя виртуальную частную сеть.

Да, кейс подобного масштаба – это редкость, но в целом процесс найма остается одним из наиболее узких мест. Стремясь закрыть вакансии как можно быстрее, HR-службы порой пренебрегают тщательной проверкой биографии и послужного списка кандидатов. В результате на ключевые позиции могут выйти люди с компрометирующим прошлым, которые впоследствии становятся причиной серьезных инцидентов.

В ближайшее время кризис на рынке труда будет только нарастать. Уже сейчас мы наблюдаем тенденцию «оффер за один день» с мотивацией: «если мы не вышлем предложение, то его вышлют другие, а эта позиция у нас не закрыта уже полгода». Поэтому вряд ли проверка в актуальном формате останется эффективным барьером для ненадежных кандидатов.

Миф третий: всегда виноват «стрелочник»

Наконец, нельзя сбрасывать со счетов и личные мотивы инсайдеров - от финансовых затруднений до мести работодателю. Одним из мотивов может быть и банальное выгорание, неудовлетворенность текущими задачами, атмосферой в компании, личные конфликты с сотрудниками на схожих позициях или топ-менеджментом.

Так, трое бывших сотрудников Министерства внутренней безопасности США похитили ПДн сотен тысяч госслужащих. Мурали Венката, Чарльз Эдвардс и Сонал Патель осуждены за сговор с целью кражи. Согласно данным следствия, под угрозу попали данные более 200 тыс. человек. Кроме того, преступники собирались разработать свою коммерческую систему, чтобы продать её обратно федералам, для этого они похитили государственное ПО.

Однако и здесь вопрос заключается в том, почему сотрудники оказался в таком положении и почему организация не смогла его вовремя выявить и предотвратить?  Безусловно, есть способы, как снизить число таких инцидентов по вине сотрудника, но намного важнее, чтобы люди сами верно оценивали собственные риски и потенциальный урон от своих действий.

Миф четвертый: наш ИБ-отдел неуязвим

C 2022 года мы проводим регулярные киберучения для инженеров ИБ, аналитиков SOC-центров, экспертов по реагированию на инциденты. Спрос на них ежегодно растет, как и требования к их квалификации на входе и в процессе работы.

До 2022 года для оценки навыков кандидатов и сотрудников очень значимыми были системы международных сертификатов, а после ухода международных сертификационных центров из России возможность практической проверки компетенций на подобном уровне не сложилась.  Но даже система сертификации не давала понимания о том, какими актуальными знаниями и навыками обладает сотрудник, так как требования к квалификации постоянно растут и растут они нелинейно, а всплесками. 

С 2020 года мы провели более 300 киберучений для 5000 сотрудников компаний и государственных организаций. И можем выделить две тенденции, которые наблюдаем в профессиональном сообществе.

Во-первых, пришло понимание, что уровень компетенций «бумажных» ИБ-специалистов недостаточен для реагирования на инциденты. Во-вторых, приобретать опыт непосредственно во время инцидента – слишком дорого для компании, которая в моменте реагирует на кибератаку.

Можно привести аналогию с подготовкой пожарных, которые поддерживают свои навыки в ходе тренировок, чтобы в нужный момент сделать все правильно и быстро. Еще один пример – это подготовка пилота гоночного болида, который отработает виражи на виртуальной трассе 100 раз, прежде чем сесть за руль в Монте-Карло. Аналогично и экипаж самолета перед каждым вылетом прорабатывает все возможные негативные сценарии.

Поэтому в ИБ процесс развития компетенций должен стать такой же неотъемлемой частью рабочего процесса, как заполнение отчета о пилоте или отслеживание срока действия лицензий.

Миф пятый: обучение сотрудников – дело рук самих сотрудников

Стремление HR и руководителей компаний привлечь готовых кандидатов, обладающих всеми компетенциями, понятно и логично. При этом команда киберзащиты, как и пилоты Формулы 1, должна регулярно участвовать в киберучениях, чтобы прокачивать навыки практического реагирования на атаки. Преступники постоянно совершенствуют тактики и техники взломов, значит, и ИБ-команде важно быть если не впереди, то наравне.

Поэтому для команд киберзащиты разрабатываются программы киберучений, которые проходят на платформах киберполигонов. В идеале лучше регулярно проводить командно-штабные тренировки по отработке различных инцидентов. А далее на основе метрик SLA определить, какие компетенции и каким сотрудникам важно прокачать.

Следующий шаг – составить план развития каждого сотрудника киберзащиты, или Blue Team, с подтверждением приобретаемых навыков. Людей, от которых зависит успех в отражении кибератаки и минимизации ущерба, важно знать в лицо. Например, матрица компетенций – это наглядный способ понять, от какого типа и от какого уровня атак защищена компании, и при каком сценарии шансов не будет.

Ни один профильный семинар не сделает из вашего ИБ-специалиста Нео в Матрице.  Только практика, постоянная отработка навыков по защите различных отраслевых инфраструктур и работа в команде. 

В определенной степени этот процесс потребует пересмотра стратегии подготовки кадров в информационной безопасности, поднимет на поверхность вопрос адаптации команды к форс-мажорам. В этом случае проблема «Васи», или стрелочника, определенно будет не столь острой для российского бизнеса и госорганизаций.

Комментарии (11)


  1. muxa_ru
    12.09.2024 15:33
    +1

    отсутствует мониторинг активности своих работников

    Потому, что кто-то этим не озаботился.

    Стремясь закрыть вакансии как можно быстрее, HR-службы порой пренебрегают тщательной проверкой биографии и послужного списка кандидатов.

    И это косяк кого-то из HR.

    почему сотрудники оказался в таком положении и почему организация не смогла его вовремя выявить и предотвратить?

    Не организация, а кто-то в чьи обязанности это входит.

    инженеров ИБ, аналитиков SOC-центров, экспертов по реагированию на инциденты

    И это тоже тот самый "человеческий фактор".

    Стремление HR и руководителей компаний

    Опять проблема с людьми.

    Получается, что все приведённые примеры подтверждают изначальную идею о человеческом факторе.


    1. Shaman_RSHU
      12.09.2024 15:33
      +1

      Просто в компании не выстроены зрелые процессы ИБ. Но вот пойдут ли сотрудники работать в компанию, где зрело выстроены процессы ИБ со всеми этими слежками, контролями рабочего времени, закручиванием гаек и прочим? Тем более, что при равных условиях рядом есть компании, где всё гораздо проще (я сейчас про выбор усредненного сотрудника конечно же).


      1. muxa_ru
        12.09.2024 15:33

        И даже в Вашем варианте во всём виноваты люди. :)


        1. Shaman_RSHU
          12.09.2024 15:33

          Человек становится виноватым после доказательства факта нарушения.

          Это как в детстве: не "Ингуршка сломалась", а "Я сломал игрушку" :)


    1. randomsimplenumber
      12.09.2024 15:33

      И это косяк кого-то из HR

      У них нет технической и юридической возможности чего то проверить. Кроме документов.


  1. OlegZH
    12.09.2024 15:33

    А почему никто из безопасников не задаётся вопросом о том, какова роль в обеспечении безопасности самой инфраструктуры?

    Почему, вообще, можно получить какой-то доступ чему-то? Ведь, если Вы делаете систему, то Вы закладываете в неё определённые роли пользователей и соответствующие этим ролям действия. Как можно что-то похитить?

    Хоть бы раз объяснили, чтобы стало понятно.


    1. Shaman_RSHU
      12.09.2024 15:33

      Если есть механизм ограничения доступа к чему-то, то есть хотя бы один человек, которому необходим этот доступ по своим обязанностям. Если такому сотруднику выдан доступ, значит компания доверяет этому сотруднику такие полномочия. Но что творится в голове самого сотрудника неизвестно и никакая предварительная проверка этого не выявит.

      А идеальной защиты не бывает, тут баланс между стоимостью защищаемой информации и стоимостью её защиты.


      1. OlegZH
        12.09.2024 15:33

        Мой вопрос другого рода. Предположим, я — бухгалтер (это не так, это я ситуацию описываю). Что я могу сделать в системе? Выписать платёжку и отправить в банк. Правда, нужен документ, на основании которого это должно произойти. А кто Ваш сотрудник? Администратор сайта? Программист? Администратор хочет скопировать базу данных? А что случилось? В рамках какого санкционированного процесса? Просто так открыть файловую оболочку/FTP? А зачем программисту данные? Простите, но здесь вопрос в самой организации процесса. А её, получается, нет. Этой самой организации. была бы организация, то не было бы никакой возможности куда-то зайти и что-то эдакое сделать. Не было бы кнопки "скачать". Например.


        1. Shaman_RSHU
          12.09.2024 15:33

          Программист не должен работать с БД, содержащей "боевые данные". Для этого делают ландшафты DEV / QA / PrePROD / PROD.


          1. OlegZH
            12.09.2024 15:33

            А как же утечки происходят?


            1. Shaman_RSHU
              12.09.2024 15:33

              Я описал идеальный вариант. На практике в большинстве компаний используют кусок боевой базы или вообще ее копию (и не надо говорить, что у вас это не так. Как опычно, быстрее, быстрее, оп, оп и в релиз :)