Навчання обізнаності щодо внутрішніх загроз для працівників

Системний адміністратор у оборонному підряднику копіює секретні схеми на особисту USB-флешку протягом трьох місяців. Його перепустка працює. Його облікові дані дійсні. Він проходить ті самі перевірки безпеки, що й усі інші. Ніщо в журналах файрвола, системі виявлення вторгнень чи поштовому шлюзі нічого не фіксує.

Коли витік нарешті виявляють, це не тому, що інструмент подав сигнал. Колега помітив, що він заходить до проєктних папок, до яких не має стосунку, і згадав про це менеджеру. Та розмова, якою б некомфортною вона не була, запобігла місяцям додаткової ексфільтрації.

Зовнішнім зловмисникам потрібно прорватися всередину. Інсайдери вже всередині.

Внутрішня загроза — це будь-який поточний чи колишній працівник, підрядник або бізнес-партнер, який використовує свій авторизований доступ для завдання шкоди організації. Ця шкода може бути навмисною (крадіжка даних, саботаж, шпигунство) або ненавмисною (недбале поводження з даними, випадкове розкриття).

Розрізнення важливе, бо два типи вимагають різних реакцій.

Навмисні інсайдери діють свідомо. Вони крадуть інтелектуальну власність перед переходом до конкурента, ексфільтрують дані клієнтів для особистої вигоди або саботують системи після того, як їх обійшли з підвищенням. Ці випадки включають планування, намір обдурити та усвідомлення неправомірності дій.

Недбалі інсайдери завдають шкоди через необережність. Вони надсилають конфіденційні файли не тому отримувачу, залишають ноутбуки розблокованими в кав’ярнях або завантажують секретні документи до несхвалених хмарних сервісів. Зловмисного наміру немає, але шкода організації може бути такою ж серйозною. Звіт Ponemon Institute Cost of Insider Threats 2024 показав, що недбалі інсайдери становлять 55% усіх інцидентів від інсайдерів. Тіньове IT, де працівники впроваджують несанкціоновані інструменти та сервіси без схвалення IT, є однією з найпоширеніших форм ризику недбалого інсайдера.

Ця стаття зосереджена переважно на розпізнаванні навмисних внутрішніх загроз, бо саме в цих інцидентах обізнаність працівників має найбільше значення для раннього виявлення. Щодо випадкового витоку даних дивіться наш пост про запобігання витоку даних та безпеку електронної пошти та спробуйте нашу вправу з випадкової внутрішньої загрози.

Зовнішні атаки активують тривоги. Невдалі спроби входу, сигнатури шкідливого ПЗ, трафік із відомих шкідливих IP-адрес. Інструменти безпеки побудовані для виявлення аутсайдерів, що намагаються потрапити всередину.

Інсайдери не створюють жодного з цих сигналів. Вони входять з дійсними обліковими даними, у робочий час, з очікуваних місць. Вони отримують доступ до систем, до яких авторизовані. Завантажують файли через схвалені канали. Все виглядає нормально з технічної точки зору, бо це і є нормально, аж до моменту, коли дані покидають будівлю.

Це фундаментальна проблема виявлення: різниця між довіреним працівником, що виконує свою роботу, та довіреним працівником, що краде дані, часто виглядає ідентично в журналах.

Інсайдери розуміють, що моніториться, а що ні. Працівник, що працював у вашій організації два роки, знає, чи заблоковані USB-накопичувачі, чи сканують DLP-правила вихідну пошту та чи хтось переглядає журнали доступу. Вони планують обхід цих контролів способами, недоступними зовнішнім зловмисникам.

Інсайдери рідко миттєво перемикаються з “лояльного працівника” на “активну загрозу”. Поведінка змінюється поступово протягом тижнів або місяців. Кілька додаткових завантажень файлів тут. Доступ після робочого часу, що раніше був рідкістю, стає регулярним. Випадкові питання про проєкти поза їхньою компетенцією. Кожна окрема дія пояснима. Патерн — ось що має значення.

Коли поведінка колеги викликає занепокоєння, природний інстинкт — припустити найкраще. Можливо, він працює над міжкомандним проєктом, про який ви не знаєте. Можливо, у нього були особисті причини бути в офісі пізно. Соціальна ціна повідомлення про колегу, що виявляється невинним, здається високою, що означає, що багато ранніх попередніх ознак залишаються незафіксованими.

Жоден окремий індикатор не доводить зловмисного наміру. Люди працюють пізно. Люди завантажують файли. Люди ставлять питання поза своєю компетенцією. Але певні патерни, особливо коли вони кластеризуються або становлять зміну від базової поведінки людини, заслуговують на увагу.

• Доступ до файлів, баз даних або систем за межами звичайних робочих обов’язків
• Вхід у незвичні години без робочого обгрунтування (пізня ніч, вихідні, свята)
• Доступ до обсягів даних, значно більших за потреби їхньої ролі
• Продовження доступу до систем після повідомлення про зміну ролі, переведення або звільнення

Ключове слово — “зміна”. Інженер, що завжди працював на вихідних, не є підозрілим через вхід у суботу. Бухгалтер, що раптово починає входити опівночі після трьох років роботи з 9 до 17, заслуговує уваги.

• Завантаження великих обсягів файлів на локальне сховище або особисті пристрої
• Надсилання документів на особисті поштові скриньки
• Використання несанкціонованих USB-накопичувачів, особливо в середовищах з обмеженнями на знімні носії
• Друк незвично великих обсягів конфіденційних документів
• Завантаження файлів до особистих хмарних сервісів

Ці поведінки перетинаються з індикаторами витоку даних. Різниця — у наміру. Недбале поводження з даними зазвичай спорадичне та необережне. Навмисна ексфільтрація зазвичай систематична та цілеспрямована.

• Вираження сильного невдоволення організацією, керівництвом або компенсацією, особливо якщо раптове або наростаюче
• Обговорення звільнення або можливостей у конкурентів під час доступу до конфіденційних файлів
• Незвичний інтерес до проєктів, клієнтів або даних поза їхньою роллю
• Прохання до колег про їхні облікові дані або доступ до систем, якими вони зазвичай не користуються
• Спротив або обхід політик безпеки, яких раніше дотримувались

Ці сигнали найважче оцінити, бо невдоволення на роботі поширене і зазвичай нешкідливе. Контекст має величезне значення. Засмучений працівник, що скаржиться на погану оцінку ефективності, це не те саме, що засмучений працівник, що скаржиться на погану оцінку, одночасно копіюючи базу клієнтів на USB.

Період між рішенням про звільнення та фактичним поданням заяви є вікном найвищого ризику для крадіжки даних інсайдером. Дослідження Securonix показало, що 56% інцидентів від інсайдерів відбуваються протягом 90 днів після заяви працівника на звільнення.

Попереджувальні ознаки в цей період включають:

• Масове завантаження файлів, які працівник створив або до яких долучався, особливо при спробі “забрати свою роботу із собою”
• Доступ до старих проєктів або архівних даних, до яких не зверталися місяцями
• Очищення історії браузера, видалення локальних файлів або стирання комунікацій за патерном, що більше нагадує приховування, ніж рутинне очищення
• Пересилання контактних списків, інформації клієнтів або власних документів на особисті акаунти

Частина зі звітуванням — це де більшість людей вагаються. Ніхто не хоче помилково звинуватити колегу. Дискомфорт легітимний. Але раннє звітування — це не звинувачення. Це надання інформації, щоб навчені фахівці могли оцінити, чи потрібне подальше розслідування.

Повідомляйте конкретні спостереження, а не висновки. “Я помітив, що Олексій завантажував файли з R&D сховища о 23:00 три ночі поспіль” — це корисно. “Я думаю, що Олексій краде наші торгові секрети” — це висновок, який може бути правильним або ні. Тримайтесь того, що бачили, коли бачили і чому це вам впало в очі.

Більшість організацій мають визначений канал для занепокоєнь щодо внутрішніх загроз. Це може бути:

• Ваш безпосередній керівник (якщо він не є об’єктом занепокоєння)
• Команда безпеки або офіс CISO
• Анонімна гаряча лінія етики або відповідності
• HR, якщо занепокоєння стосується працівника, що звільняється

Якщо не впевнені, який канал використовувати, команда безпеки повинна бути за замовчуванням. Вони навчені обробляти такі звіти конфіденційно та оцінювати необхідність подальших дій.

Тут організації часто зазнають невдачі. Якщо працівники повідомляють про занепокоєння і ніколи нічого не чують у відповідь, вони перестають повідомляти. Здорова культура звітування замикає цикл. Ви можете не дізнатися деталей розслідування (і не повинні, в більшості випадків), але повинні почути, що ваш звіт отримано, сприйнято серйозно та на нього відреагували.

Наша вправа з внутрішньої загрози проводить через реалістичні сценарії, де ви практикуєте прийняття рішень про звітування та документування спостережень без поспішних висновків.

Звіт Ponemon 2024 показав, що організації мають у середньому 5,4 інциденти від інсайдерів на рік. Розмір компанії, галузь та задоволеність працівників впливають на рівень, але жодна організація не є імунною. Внутрішні загрози — це статистична реальність, а не відображення того, наскільки хороша ваша корпоративна культура.

Інструменти запобігання витоку даних важливі, але мають сліпі зони. Вони налаштовані для виявлення відомих патернів: номерів кредитних карток у email, номерів соціального страхування у завантаженнях. Працівник, що експортує стратегічний документ, список контактів клієнтів або власний алгоритм, може не активувати жодне DLP-правило, бо контент не відповідає попередньо визначеним патернам. Людське спостереження ловить те, що автоматизовані інструменти пропускають.

Команди безпеки не можуть моніторити кожну взаємодію між кожним працівником. Їм бракує контекстної обізнаності, яку мають колеги. Ви знаєте, як виглядає нормальний робочий патерн вашого колеги. Ви помічаєте, коли хтось починає поводитися інакше. Команда безпеки бачить події входу та передачі файлів. Ви бачите людину за ними. Обидві перспективи потрібні.

Це найпоширеніший бар’єр для ефективних програм щодо внутрішніх загроз. Подача має значення. Звітування — це не про наглядання за колегами. Це про захист організації, її клієнтів та людей, що там працюють. Якщо колега краде дані, наслідки падають на всіх: регуляторні штрафи, втрачені контракти, репутаційна шкода, скорочення.

Звітування також захищає невинних. Коли команда безпеки розслідує рано, вона може зняти підозри з когось, чия поведінка мала легітимне пояснення, до того, як підозра ескалюється.

Навчання обізнаності щодо внутрішніх загроз працює найкраще, коли є частиною ширшого організаційного підходу, якому працівники довіряють.

Працівники повинні знати, що моніториться і чому. Організації, що таємно розгортають моніторинг активності користувачів, створюють саме ту недовіру, що підриває культуру звітування. Коли політики моніторингу чіткі та послідовно застосовуються, працівники з більшою ймовірністю сприймають їх як захисні, а не інвазивні.

Якщо ті самі політики доступу стосуються керівників та стажерів однаково, працівники ставляться до них серйозно. Якщо вищі керівники регулярно обходять контролі безпеки, всі отримують сигнал, що правила опціональні. Програми щодо внутрішніх загроз втрачають довіру миттю, коли виглядають вибірковими.

Те, як організація обробляє повідомлені занепокоєння, безпосередньо впливає на майбутнє звітування. Якщо звіт призводить до дискретного, професійного розслідування, працівники повідомлятимуть знову. Якщо він призводить до публічної конфронтації, пліток або репресій проти ініціатора звіту, ніхто більше нічого не повідомить.

Навчання, що просто перелічує поведінкові індикатори та каже людям повідомляти про них, пропускає найважливішу частину: чому це важливо для людини, яку навчають. Крадіжка даних інсайдером може призвести до регуляторних штрафів, що впливають на бонуси, втрати контрактів, що запускають скорочення, та репутаційної шкоди, що ускладнює роботу кожного. Коли працівники розуміють особисті ставки, мотивація до звітування стає внутрішньою, а не нав’язаною.

Ризик внутрішньої загрози зростає, коли контролі доступу нечіткі. Працівник не може ексфільтрувати дані, до яких не може дістатися. Належна класифікація даних є основою: без чітких міток того, що є конфіденційним, а що внутрішнім, DLP-інструментам нічого застосовувати, а перевіркам доступу немає стандарту для оцінки. Організації, що дотримуються принципу найменших привілеїв, надаючи лише мінімальний доступ, необхідний для кожної ролі, зменшують потенційну шкоду від будь-якого окремого інсайдера.

Три пов’язані звички безпеки ускладнюють виконання внутрішніх загроз:

• Регулярні перевірки доступу виявляють осиротілі дозволи від старих ролей. Якщо працівник перейшов з фінансів у маркетинг шість місяців тому і все ще має доступ до фінансових систем, це одночасно прогалина відповідності та можливість для внутрішньої загрози.
• Доступ точно вчасно надає підвищені дозволи для конкретних завдань з автоматичним закінченням. Відсутність постійного адміністраторського доступу означає менше можливостей для зловживання.
• Розподіл обов’язків гарантує, що жодна людина не може самостійно виконати високоризикову дію. Якщо крадіжка даних вимагає доступу як до бази даних, так і до інструменту експорту, контрольованого різними командами, планка для одиночного інсайдера вища.

Практикуйте виявлення попередніх ознак внутрішніх загроз до того, як зіткнетеся з реальною. Спробуйте нашу безкоштовну вправу з внутрішньої загрози та пройдіть реалістичні робочі сценарії, де поведінка колеги починає піднімати тихі червоні прапорці. Ознайомтеся з повним каталогом навчання кібербезпекової обізнаності для вправ із запобігання витоку даних, культури звітування та управління доступом.