Внутренние угрозы
Внутренняя угроза - это сотрудник, пользователь или другой внутренний ресурс, действия которого могут намеренно или случайно нанести вред организации.
Незадачливый сотрудник, у которого нет цели выполнять злонамеренные действия, но который открывает фишинговое письмо и заражает свою рабочую станцию вредоносным ПО, является внутренней угрозой, хоть и не знает этого. А недовольный работник, целенаправленно распространяющий в организации вирус как по своей инициативе, так и от имени злоумышленника, представляет собой преднамеренную внутреннюю угрозу. Поскольку внутренние угрозы - это легальные авторизованные пользователи с аутентификацией, привилегиями и доступом к информационным системам и данным, они представляют собой очень сложную проблему кибербезопасности, которую требуется сгладить.
Многие организации задействуют средства технического контроля и обнаружения, чтобы как можно раньше определить внутренние угрозы. Технические методы обнаружения - это, например, поведенческая эвристика, которая позволяет выявлять потенциальные внутренние угрозы. ИБ-специалисты могут более внимательно присматриваться к пользователям, совершающим нехарактерные или не подходящие к ситуации действия, например загрузку всех файлов на внешний носитель, поиск конфиденциальных данных, не связанных с их непосредственными обязанностями, вход в систему для выполнения неприоритетной работы в выходные или праздничные дни, запрос файлов с ограниченным доступом, загрузку и использование хакерских инструментов для выполнения действий, выходящих за рамки их служебных обязанностей.
Но технические меры контроля - это лишь часть надежной стратегии защиты даже в сформировавшихся организациях. Работодатель может проверять информацию о работнике и его биографию, криминальную и финансовую историю, выполнять обследование на употребление наркотиков. Это помогает убедиться, что на сотрудника трудно повлиять. Отдел кадров играет ключевую роль в выявлении потенциальных внутренних угроз. Некоторые отделы кадров проводят ежегодные опросы сотрудников с целью определения потенциальных проблем, а иногда и вовсе заблаговременно увольняют ненадежных сотрудников или рекомендуют аннулировать их права доступа в случае каких-либо сомнений. К сожалению, организации обычно принимают минимум мер предосторожности. Многие попросту доверяют своим сотрудникам, другие игнорируют проблемы, а третьи готовы пойти на риск внутренних угроз, чтобы не нарушать бесперебойную работу бизнеса.
Организации, которые активнее других борются с инсайдерскими угрозами, например компании, работающие в оборонной промышленности, и разведывательные организации, внедряют передовые меры обнаружения внутренних врагов - полиграфы, стандартные проверки допуска, программы контрразведки, раздельные помещения для сотрудников, суровые наказания за нарушения, и все это наряду с передовыми техническими мерами. Но даже такие способы контроля не могут гарантировать предотвращения всех возможных атак и внутренних угроз, особенно если противник умен. К тому же у подобных средств есть недостатки, связанные с их внедрением и эксплуатацией.
