Российские компании все чаще рассматривают внутренние угрозы как один из ключевых факторов риска наряду с внешними кибератаками. При этом большинство организаций сталкиваются с проблемой позднего выявления внутренних инцидентов и нехватки данных для расследований. К таким выводам пришли аналитики Контур.Эгиды по итогам исследования среди 1200 ИТ- и ИБ-специалистов российских компаний из 12 отраслей экономики.
Под внутренними угрозами в исследовании понимаются как умышленные действия сотрудников и подрядчиков, так и ошибки, нарушение регламентов, передача доступов, злоупотребление правами, обход средств защиты и неконтролируемое использование внешних сервисов.
Согласно результатам исследования, 17% респондентов назвали внутренние угрозы главным риском для своей компании, еще 33% — одним из самых серьезных рисков. При этом только 6% участников опроса заявили, что не считают внутренние угрозы существенной проблемой для бизнеса.
Наиболее критичными внутренними угрозами компании считают ошибки сотрудников из-за невнимательности — этот вариант выбрали 44% участников исследования. Еще 42% опасаются утечек данных через сотрудников и подрядчиков, 39% — передачи корпоративных доступов посторонним, а 38% — умышленных действий сотрудников, связанных со сливом данных.
При этом проблема связана не только с прямыми нарушениями. 30% респондентов сообщили, что считают серьезным риском сознательное нарушение сотрудниками внутренних регламентов для удобства. Кроме того, 32% компаний считают угрозой использование сотрудниками несанкционированных облачных сервисов, еще 32% — использование ИИ без контроля со стороны компании.
Исследование показало, что большинство компаний обнаруживают внутренние угрозы уже после появления негативных последствий. Только 24% респондентов сообщили, что обычно выявляют внутренние инциденты до возникновения ущерба. В остальных случаях проблема становится заметной уже в процессе развития инцидента или после нанесения ущерба бизнесу. Так, 35% компаний выявляют угрозы уже в процессе инцидента, 22% — только после ущерба, а 16% — случайно или через жалобы сотрудников.
Одной из главных проблем при расследовании внутренних инцидентов компании называют сложность отличить ошибку сотрудника от злонамеренных действий. Об этом сообщили 33% участников исследования. Еще 26% отметили, что инциденты выявляются слишком поздно, а 25% — что внутри инфраструктуры не хватает прозрачности действий пользователей.
Кроме того, компании сталкиваются с фрагментированностью инфраструктуры безопасности и нехваткой информации для анализа событий. 23% респондентов сообщили о недостатке логов и данных для расследований, еще 21% указали на проблему использования нескольких несвязанных между собой систем безопасности. Еще 26% участников исследования сообщили, что сотрудники обходят существующие средства защиты, а 23% указали на использование неподконтрольных внешних сервисов внутри компании.
Несмотря на рост внимания к внутренним угрозам, процессы управления ими остаются несистемными. Только 44% участников исследования сообщили, что в их компании есть отдельный регламент и порядок работы с внутренними угрозами. Еще 46% отметили наличие только отдельных элементов системы без единого подхода.
Среди основных причин, мешающих эффективно снижать внутренние риски, компании чаще всего называли дефицит квалифицированных специалистов — этот вариант выбрали 30% респондентов. Еще 26% сообщили об отсутствии понимания реального масштаба внутренних рисков, 25% — о недостаточной культуре информационной безопасности внутри компании.
Для выявления внутренних угроз компании чаще всего используют анализ сетевого трафика и мониторинг активности сотрудников — эти подходы применяют 46% и 45% участников исследования соответственно. Еще 41% используют анализ логов, а 35% — EDR-системы и собственные инструменты мониторинга.
При этом компании рассматривают работу с внутренними угрозами не только как техническую задачу. Одними из самых распространенных практик стали обучение сотрудников и повышение осведомленности в области ИБ — этот подход используют 46% участников исследования. Еще 42% компаний сообщили, что используют проверку сотрудников при найме.
Среди используемых технологий наиболее распространены EDR-системы и собственные разработки — их используют по 35% респондентов. Еще 32% компаний применяют CASB-решения для контроля облачных сервисов, 30% — IAM-системы для управления доступом, 29% — SIEM-платформы, а 27% — UEBA-инструменты для анализа поведения пользователей. При этом DLP-системы используют 23% участников исследования.
Даниил Бориславский, эксперт по информационной безопасности Контур.Эгиды: «Внутренние угрозы постепенно выходят за пределы узкой ИБ-повестки и становятся вопросом управляемости бизнеса. Компании работают с распределенной инфраструктурой, большим количеством учетных записей, подрядчиков и внешних сервисов. При этом проблема уже не только в отсутствии отдельных средств защиты, а в нехватке связности между системами контроля, журналами событий и инструментами расследования. Организации могут видеть отдельные сигналы, но не всегда способны быстро восстановить полную цепочку действий внутри инфраструктуры и определить источник инцидента».
Источник: Пресс-служба компании СКБ Контур
