Российские компании сталкиваются с проблемой позднего выявления внутренних угроз информационной безопасности

Российский корпоративный сектор пересматривает приоритеты в кибербезопасности: внутренние угрозы (инсайдерские риски) всё чаще рассматриваются как равнозначные внешним атакам. По данным исследования «Контур.Эгиды», в котором приняли участие 1,2 тысячи ИТ- и ИБ-специалистов из 12 отраслей экономики, половина организаций (50%) классифицируют внутренние инциденты как серьезную или ключевую угрозу для своего бизнеса. Только 6% респондентов не считают проблему значимой.

Классификация инсайдерских рисков

Под внутренними угрозами понимается широкий спектр событий: от преднамеренного вредительства до банальной некомпетентности. Сами специалисты выделяют несколько критических векторов. На первом месте — человеческий фактор: 44% опрошенных опасаются ошибок из-за невнимательности персонала. Далее следуют кража данных (42%), несанкционированная передача корпоративных доступов (39%) и целенаправленные утечки (38%).

Важным аспектом является операционная среда. Проще говоря, сотрудники часто нарушают регламенты просто для того, чтобы упростить себе рабочие процессы — это отмечают 30% участников. Отдельного внимания заслуживает неконтролируемое использование облачных сервисов (32%) и генеративного ИИ (32%), которые выходят за рамки привычного ИТ-периметра.

Проблемы оперативного реагирования

На практике это значит, что у большинства организаций существует серьезный разрыв между обнаружением инцидента и его нейтрализацией. Только 24% компаний способны среагировать до того, как инцидент приведет к реальному ущербу. Остальные узнают о нарушении либо в процессе развития инцидента (35%), либо уже по факту наступления негативных последствий (22%), либо вовсе случайно (16%).

При расследовании специалисты сталкиваются с рядом технических и структурных барьеров. В 33% случаев сложно провести грань между ошибкой пользователя и осознанной злонамеренной деятельностью. В 26% — инциденты детектируются слишком поздно, а 25% респондентов жалуются, что инфраструктура «прозрачна» лишь частично. Дополнительные сложности создают фрагментированность систем безопасности — использование нескольких разрозненных решений — и дефицит логов, что затрудняет проведение качественного форензика (расследования).

Технологический ландшафт и системный подход

Несмотря на осознание рисков, процесс управления ими сложно назвать системным. Единый регламент работы с внутренними угрозами существует лишь у 44% компаний, тогда как 46% полагаются на слабо связанные элементы защиты. Среди факторов, препятствующих улучшению ситуации, лидируют нехватка квалифицированных кадров (30%), слабое понимание реального масштаба угроз (26%) и недостаточная культура безопасности (25%).

Технический стек для борьбы с инсайдерами достаточно разнообразен. Для мониторинга чаще всего применяют анализ сетевого трафика (46%) и активности пользователей (45%). Непосредственно в инструментарии ИБ-департаментов лидируют EDR-системы и внутренние разработки (по 35%), за ними следуют CASB-решения (32%), IAM (30%), SIEM (29%) и UEBA (27%). Использование DLP-систем зафиксировано лишь у 23% респондентов.

Если коротко, положение выглядит следующим образом: организации располагают набором сигналов, но испытывают трудности с их корреляцией. Как отмечает Даниил Бориславский, эксперт по информационной безопасности «Контур.Эгиды», основная проблема заключается не столько в наличии конкретных средств защиты, сколько в отсутствии связности между системами контроля и журналами событий. В распределенной инфраструктуре с большим числом подрядчиков и внешних сервисов это делает процедуру восстановления цепочки действий крайне сложной задачей.