В современном бизнесе существует некий замкнутый круг: с одной стороны – бизнес без людей невозможен, с другой – эти люди постоянно представляют угрозу для бизнеса. Если вы спросите любого собственника бизнеса или руководителя, в чем его основная проблема на предприятии, ответ всегда будет один – это люди. С одной стороны, высококвалифицированных людей всегда не хватает, они нужны. С другой — от этих людей постоянные проблемы. И если в коллективе какие-то взаимоотношения могут быть урегулированы, то те проблемы, которые касаются разглашения инсайдерской информации, а, по сути, речь идет о коммерческой тайне и о разглашении конфиденциальной информации, безусловно, всегда приведут предприятие к убыткам.

Когда мы говорим об инсайдерских угрозах на предприятии, то у нас в Украине почему-то не принято заниматься этим вопросом. При этом в Европе и США этой проблеме уделяют достаточное внимание. И тому есть конкретные причины. Первая – отрасль промышленного шпионажа никто не отменял, она существует уже десятилетия и хорошо себя чувствует, в том числе и с финансовой точки зрения. С другой стороны, всегда есть конкуренты. И хотя во многих странах отмечают, что конкуренция должна быть честной и законной, на практике все происходит совсем иначе.

Западный подход

Несколько лет назад ученые Европейской Академии наук Украины провели исследование, чтобы понять, как Западный мир смотрит на инсайдерские угрозы. На Западе инсайдер — «лицо, которое на законных основаниях наделено правом доступа, представления или принятия решения по одному или нескольким активам структуры организации» просто как: физическое лицо, имеющее авторизованный доступ к ИТ-системе. То есть это некий человек с ноутбуком. При этом, угроза относится ко всему, что может нанести серьезный вред или повредить ИТ-системы или активы организации.

Согласно исследованию, Западный научный взгляд можно разделить на семь подкатегорий.

Insider IT Sabotage — атаки, в которых инсайдер использует свой опыт и знания в области IT с целью атаки на отдельное лицо или организацию.

Insider IT Fraud — инсайдер использует авторизованный доступ для личной выгоды. Это злоупотребление может принимать форму создания, изменения, удаления или, в некоторых случаях, продажи активов конфиденциальных данных.

Insider theft of intellectual property — инсайдер использует IT-инфраструктуру для шпионажа или кражи информации, созданной и принадлежащей организации, в которой он работает. Инсайдеры — похитители ИС — это, как правило, нынешние сотрудники или сотрудники, работающие в период уведомления об увольнении, работающие в офисе, у которых есть авторизованный доступ к ИС.

Insider social engineering — инсайдерская социальная инженерия — злонамеренные инсайдеры пытаются психологически манипулировать другим невиновным сотрудником без их ведома, чтобы раскрыть конфиденциальную информацию или выполнить действие, наносящее вред IT, сетевой инфраструктуре, приложениям или сервисам организации.

Unintentional insider threat incident — инцидент непреднамеренной внутренней угрозы — это инцидент, при котором авторизованный пользователь случайно выполняет действие, наносящее вред IT и сетевой инфраструктуре, приложениям или службам организации, без мотива или намерения организовать злонамеренную атаку.

Insider in cloud computing — инсайдеры в облачных вычислениях или инсайдеры-поставщики услуг — те, кто работает в среде компании-поставщика услуг и выполняет злонамеренные инсайдерские действия без ведома клиента, чтобы нанести ущерб конфиденциальности своих информационных активов. Однако нет никаких возможных способов обнаружения такой атаки во время, или даже после взлома, поскольку клиент не имеет контроля над инфраструктурой поставщика услуг или какими-либо эффективными методами и инструментами.

Insider national security — инсайдерские угрозы национальной безопасности (NS) предполагают использование инсайдером своего авторизованного доступа для представления угрозы или причинения вреда NS.  Эта угроза может включать нанесение ущерба стране в результате шпионажа, саботажа, раскрытия информации NS или в результате потери или ухудшения ведомственных ресурсов или возможностей.  Их основная цель — секретная информация NS.

Проблема инсайдерских угроз на Западе – это открытый вопрос. На данный момент отсутствует методология и технологии противодействия инсайдерским угрозам. Еще проблема западного взгляда заключается в том, что это не работает на территории стран в постсоветском пространстве. Это связано с тем, что на Западе в большей степени имеют дело с технологической проблемой и используют одноименный подход для разрешения вопроса, а в Украине главной проблемой являются – люди.

Украинские реалии

Существует восемь видов инсайдерских угроз, которые можно встретить в Украине. Основных из них — четыре: физическая угроза, ключевая угроза, «пионерская» угроза и техническая угроза.

Физическая угроза: Самая большая угроза – это всегда человек. Как это происходит? Например, работника компании склонили к сотрудничеству (доверенное лицо, агент) или в компанию внедрили лицо, которое сотрудничает с конкурентами, правоохранительными органами. Как бороться с физическими угрозами? Во-первых, не брать на работу кого попало.  Необходим качественный профотбор, который включает в себя: проверку лица на профпригодность, проверку лица на толерантность его окружения и проверку лица на психологическую пригодность.

Ключевая угроза — самая распространённая. Логическая цепочка возникновения ключевой угрозы: сотрудник — обидели; ушёл; будет мстить уже извне. Как бороться с ключевой угрозой? Необходимы регламенты, нужна постоянная работа с кадрами, нужно крайне тщательно относиться к увольнению (либо увольнение «без зла», либо с массой, не позволяющей предпринимать попытки вредить предприятию). Но здесь главная ошибка — профотбор. У нас руководители предпочитают брать тех, кто нравится, а не тех, кто нужен.

«Пионерская» угроза – это ключевые фигуры в компании и их родственники, врачи, друзья, «гадалки» и т.д. Как бороться с «пионерскими» угрозами? Воспитывать личный состав.

Техническая угроза — ведёт к дискредитации вашей бизнес-деятельности. Дискредитация в сети Интернет, используя ваших сотрудников. Рекомендация: желательно интересоваться, чем ваши сотрудники занимаются в свободное время. Как бороться с техническими угрозами? Отладить работу в департаменте PR (компетентные кадры), необходим свой отдел журналистики, плюс экспертный технический отдел.

Сегодня в Украине есть тенденция к борьбе с подобного рода проявлениями. Многие предприятия пошли путем подписания инсайдерских соглашений. Одни бизнесмены считают, что таким образом это будут «клинящие» действия, которые остановят сотрудника, другие — что этим соглашением, если что-то случится, можно будет все урегулировать. Конечно, каких-то сотрудников подписание договора остановит, но если человек изначально пришел на предприятие «подслушивать» и «подсматривать», то его это не остановит. Если говорить о последствиях в случае нарушения договора, а там в качестве наказания, например, штраф, то вам придется тратиться на судебные расходы и доказывать потом в суде, что это сделал именно этот человек. И даже если вы это докажете, то что если у этого человека нет денег, ему их просто негде взять? В итоге вы ничего не получите. Если пойти другим путем и написать заявление в полицию, то в 90% случаев это заявление попадет «в стол», никто этим заниматься не будет, практики подобного рода расследований дел в Украине практически не существует.

Что же делать в таких случаях? Безусловно, лучшим вариантом является профессиональный профотбор, в основе которого находятся прикладные знания психодиагностики, психологии и, главное — проективных тестов (Сонди, Роршаха, Ахтниха, Тат и др.). То есть не ликвидировать последствия, а не допускать, чтобы что-то подобное на вашем предприятии произошло. Если же говорить про инсайдерские соглашения, то хорошее соглашение на предприятии должно быть, это будет клином для тех людей, которые сомневаются или халатно относятся к своим обязанностям, их это остановит в какой-то момент времени. Но глобально соглашение проблему не решит. В любом случае, нужно всегда помнить, что именно человек генерирует самые большие проблемы для бизнеса.

Бизнесмен, генеральный директор логистической компании SEA GATE и акционер одесского Young Business Club – Евгений Соловьев, в своей многолетней бизнес-практике не раз сталкивался с инсайдерскими угрозами, и на эту тему провел уже несколько семинаров, делясь данной проблематикой и кейсами. По его словам, существует масса случаев, когда на предприятие конкурентов внедрялся определенный человек, который занимался нехорошими делами. В конечном итоге предприятие терпело убытки или вовсе закрывалось. Еще есть такой абстрагированный фактор, который предусмотреть сложно, но он присутствует – даже те люди, которые не приходили вредить вашему предприятию в определенный момент времени могут сыграть против предприятия. Что это может быть? Это может быть, например, сотрудничество с правоохранительными органами или криминалом, которое стало следствием каких-то неприятностей этого человека. А есть люди, которых предприятие и руководство само переставляет на противоположную сторону.

«Можно привести в пример сотрудников, которые увлекаются азартными играми. Когда такой человек проигрывается, то, соответственно, попадает под влияние определенных людей, которые вытрясут из него эти долги, используя и шантаж, и избиения, и все, что угодно. Соответственно, куда этот человек «пойдет» за деньгами? В компанию, в которой работает. Он начинает сотрудничать, начинает сливать информацию, а потом чудесным образом начинают пропадать деньги. Я уже молчу о таких, казалось бы, мелких пакостях, как человек банально не прошел испытательный срок, но поработал в компании какое-то время, и его увольняют. Он с этим не согласен и начинает вредить: писать какие-то комментарии под бизнес-страницами компании или запишет видео в процессе совещания, потом делает нарезку видео в «интересном» формате, накладывает музыку, спецэффекты и выкладывает в Сеть. Таким образом создает компании и ее руководителю определенную негативную репутацию. Еще пример: база клиентов крупнейшего в Украине почтового оператора продавалась не только в Даркнете, но и на главной торговой площадке страны. Больше года «гуляла» точно. И это типичная инсайдерская угроза, кто-то просто украл эту базу и выложил ее. Скорее всего, это был какой-то обиженный айтишник, и мы об этом, конечно же, вряд ли узнаем», — уверен эксперт.

По словам Евгения Соловьева, случаев инсайдерских угроз в Украине действительно много. Ведь инсайдеры — это люди, а не компьютеры. Отношение к инсайдерам, как к технологической проблеме, игнорирует человеческие аспекты мотивации и поведения. А обнаружение инсайдеров требует определенного процесса и целенаправленной команды в дополнение к технологиям обнаружения. «Был случай в Херсоне, в одной компании уволили коммерческого директора, который был в нтересных взаимоотношениях с генеральным директором. И этот коммерческий директор (женщина) продолжила эти взаимоотношения. И, естественно, затаила обиду и злость, решила отомстить собственникам компании, которые ее уволили. Она подговорила генерального директора открыть новую компанию в Киеве и потихоньку забрать все заказы, что они, собственно говоря, успешно сделали. И когда собственники узнали о том, что произошло, было уже поздно. Уже порядка 55% оборота было переведено на новосозданную компанию. В городе Днепр один человек занимался выполнением особых поручений, перевозил документы и деньги. В один прекрасный момент  происходит так, что его останавливают, избивают и забирают все деньги. Как раз у него оказывается крупная сумма денег. Все сожалеют, сотрудник лежит в больнице. Но собственник решил проверить эту ситуацию, не пожалев денег и наняв специалистов. Они выяснили, что в кругу этого сотрудника были криминальные элементы, с которыми он периодически общался. Как позже выяснилось, уже в ходе расследования, это был сговор, и для правдоподобности его даже избили. В итоге пришлось все вернуть, чтобы не сесть в тюрьму. Но факт остается фактом, собственник компании понес убытки, потому что ему пришлось потратиться на службу безопасности, на специалистов, плюс было потеряно драгоценное время. Но можно было этого не допустить, нужно было проверить окружение, этих людей. Если вы доверяете человеку крупные суммы денег, то вы должны понимать, кому вы их доверяете».