Громкие скандалы в сфере кибербезопасности, в которых виновными были признаны сотрудники крупных компаний и госструктур, стали одной из главных тем последних трех лет. От утечек конфиденциальных данных до масштабных хакерских атак - во многих инцидентах ключевую роль сыграли инсайдеры, использовавшие свои служебные полномочия для нанесения вреда работодателям. Виновные найдены и наказаны, дело закрыто. Но так ли однозначно в этих делах обстоит вопрос вины? Можно ли найти закономерности в этих историях?

Действительно, статистика впечатляет: начиная от скандала с Anthem Inc., где 78 млн личных данных клиентов были похищены сотрудником IT-отдела, и заканчивая взломом систем российских органов власти, − во всех этих историях фигурируют виновные инсайдеры, приговоренные к внушительным срокам заключения.

Но при расследовании подобных дел нередко упускается из виду целый ряд факторов, которые могли повлиять на поведение сотрудника и в итоге спровоцировать его на противоправные действия. И, что самое главное, эти факторы, как правило, кроются внутри самих организаций: в их системах найма, контроля и мотивации персонала.

Станислав Карпович, заместитель директора департамента "Киберполигон" по развитию бизнеса, в новом материале постарался развеять несколько мифов о человеческом факторе в кибербезопасности.

Миф первый: «железо» важнее людей

По итогам 2023 года, общая сумма ущерба от инцидентов, связанных с нарушениями информационной безопасности, составил около 156 млрд рублей. Фактор внутреннего нарушителя превалирует в инцидентах, связанных с утечками информации из-за умышленных действий инсайдеров. Как показывают расследования киберинцидентов, во многих организациях отсутствует мониторинг активности своих работников, что позволяет инсайдерам годами красть данные, не опасаясь разоблачения. Средний ущерб от одной утечки информации  для российских организаций в 2023 году составил около 5,5 млн рублей, а таких инцидентов может быть несколько в течение года.

Чтобы снизить подобные риски, разработаны целые классы решений информационной безопасности.  В первую очередь, это DLP-системы, которые предотвращают риски утечек данных, решения класса IdM для управления учетными записями и правами доступа и PAM-системы для контроля привилегированных пользователей. Эти решения снижают риски по вине внутренних злоумышленников, но не способны противостоять методам социальной инженерии, которым подвержен обычный человек.

И когда такое «слабое звено» все же поддается на уловки хакеров, виновным объявляют именно его, хотя первопричина лежит глубже – недостаточный уровень киберграмотности сотрудников компаний и невысокий уровень инвестиций в программы Security Awareness и подготовку команд киберзащиты.

Вопрос не в том, смогут ли киберпреступники склонить на «темную» сторону сотрудника, смогут. Вопрос в количестве ресурсов, которые для этого потребуются и объеме потенциального ущерба, который они смогут причинить.

Компании легко выделяют миллиардные бюджеты на «железо» и софт, но избегают систематического подхода к развитию навыков своих сотрудников. И решений таких автоматизированных, практически, нет на рынке. Круг замкнулся. Что необходимо, что на рынке сформировался запрос на системы контроля и развития сотрудников, которые усилят меры информационной безопасности? 

Миф второй: мы всех досконально проверяем

Недавний кейс американской компании KnowBe4, которая случайно наняла хакера из Северной Кореи, довольно показателен. «Кандидат» успешно прошел четыре этапа собеседований по видеосвязи, кандидат не вызвал подозрений ни на одном из этапов. В первый же день, получив рабочий Mac, новый сотрудник начал загружать вредоносное ПО, эту манипуляцию пресек оперативный центр информационной безопасности (SOC).  Как показало дальнейшее расследование, «сотрудник» физически находился в Северной Корее и подключился к рабочему устройству через «ферму ноутбуков», используя виртуальную частную сеть.

Да, кейс подобного масштаба – это редкость, но в целом процесс найма остается одним из наиболее узких мест. Стремясь закрыть вакансии как можно быстрее, HR-службы порой пренебрегают тщательной проверкой биографии и послужного списка кандидатов. В результате на ключевые позиции могут выйти люди с компрометирующим прошлым, которые впоследствии становятся причиной серьезных инцидентов.

В ближайшее время кризис на рынке труда будет только нарастать. Уже сейчас мы наблюдаем тенденцию «оффер за один день» с мотивацией: «если мы не вышлем предложение, то его вышлют другие, а эта позиция у нас не закрыта уже полгода». Поэтому вряд ли проверка в актуальном формате останется эффективным барьером для ненадежных кандидатов.

Миф третий: всегда виноват «стрелочник»

Наконец, нельзя сбрасывать со счетов и личные мотивы инсайдеров - от финансовых затруднений до мести работодателю. Одним из мотивов может быть и банальное выгорание, неудовлетворенность текущими задачами, атмосферой в компании, личные конфликты с сотрудниками на схожих позициях или топ-менеджментом.

Так, трое бывших сотрудников Министерства внутренней безопасности США похитили ПДн сотен тысяч госслужащих. Мурали Венката, Чарльз Эдвардс и Сонал Патель осуждены за сговор с целью кражи. Согласно данным следствия, под угрозу попали данные более 200 тыс. человек. Кроме того, преступники собирались разработать свою коммерческую систему, чтобы продать её обратно федералам, для этого они похитили государственное ПО.

Однако и здесь вопрос заключается в том, почему сотрудники оказался в таком положении и почему организация не смогла его вовремя выявить и предотвратить?  Безусловно, есть способы, как снизить число таких инцидентов по вине сотрудника, но намного важнее, чтобы люди сами верно оценивали собственные риски и потенциальный урон от своих действий.

Миф четвертый: наш ИБ-отдел неуязвим

C 2022 года мы проводим регулярные киберучения для инженеров ИБ, аналитиков SOC-центров, экспертов по реагированию на инциденты. Спрос на них ежегодно растет, как и требования к их квалификации на входе и в процессе работы.

До 2022 года для оценки навыков кандидатов и сотрудников очень значимыми были системы международных сертификатов, а после ухода международных сертификационных центров из России возможность практической проверки компетенций на подобном уровне не сложилась.  Но даже система сертификации не давала понимания о том, какими актуальными знаниями и навыками обладает сотрудник, так как требования к квалификации постоянно растут и растут они нелинейно, а всплесками. 

С 2020 года мы провели более 300 киберучений для 5000 сотрудников компаний и государственных организаций. И можем выделить две тенденции, которые наблюдаем в профессиональном сообществе.

Во-первых, пришло понимание, что уровень компетенций «бумажных» ИБ-специалистов недостаточен для реагирования на инциденты. Во-вторых, приобретать опыт непосредственно во время инцидента – слишком дорого для компании, которая в моменте реагирует на кибератаку.

Можно привести аналогию с подготовкой пожарных, которые поддерживают свои навыки в ходе тренировок, чтобы в нужный момент сделать все правильно и быстро. Еще один пример – это подготовка пилота гоночного болида, который отработает виражи на виртуальной трассе 100 раз, прежде чем сесть за руль в Монте-Карло. Аналогично и экипаж самолета перед каждым вылетом прорабатывает все возможные негативные сценарии.

Поэтому в ИБ процесс развития компетенций должен стать такой же неотъемлемой частью рабочего процесса, как заполнение отчета о пилоте или отслеживание срока действия лицензий.

Миф пятый: обучение сотрудников – дело рук самих сотрудников

Стремление HR и руководителей компаний привлечь готовых кандидатов, обладающих всеми компетенциями, понятно и логично. При этом команда киберзащиты, как и пилоты Формулы 1, должна регулярно участвовать в киберучениях, чтобы прокачивать навыки практического реагирования на атаки. Преступники постоянно совершенствуют тактики и техники взломов, значит, и ИБ-команде важно быть если не впереди, то наравне.

Поэтому для команд киберзащиты разрабатываются программы киберучений, которые проходят на платформах киберполигонов. В идеале лучше регулярно проводить командно-штабные тренировки по отработке различных инцидентов. А далее на основе метрик SLA определить, какие компетенции и каким сотрудникам важно прокачать.

Следующий шаг – составить план развития каждого сотрудника киберзащиты, или Blue Team, с подтверждением приобретаемых навыков. Людей, от которых зависит успех в отражении кибератаки и минимизации ущерба, важно знать в лицо. Например, матрица компетенций – это наглядный способ понять, от какого типа и от какого уровня атак защищена компании, и при каком сценарии шансов не будет.

Ни один профильный семинар не сделает из вашего ИБ-специалиста Нео в Матрице.  Только практика, постоянная отработка навыков по защите различных отраслевых инфраструктур и работа в команде. 

В определенной степени этот процесс потребует пересмотра стратегии подготовки кадров в информационной безопасности, поднимет на поверхность вопрос адаптации команды к форс-мажорам. В этом случае проблема «Васи», или стрелочника, определенно будет не столь острой для российского бизнеса и госорганизаций.