Политизация инсайдеров может стать угрозой для кибербезопасности
Тема противодействие инсайдерам стала терять свою популярность несколько лет назад. Однако сейчас она проявила себя в новых условиях, обнажив новые риски и угрозы, масштабы последствий которых осознают в полной мере далеко не все.
Смещение фокуса внимания
Понятие insider иностранного происхождения, и словарями трактуется как свой, непосторонний человек; член организации. Однако область кибербезопасности сильно зарегламентирована, а потому неудивительно, что понятие инсайдерства пришло к нам с рынка ценных бумаг в виде федерального закона «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком...». Этот закон касался профессиональных участников рынка ценных бумаг и иных лиц, осуществляющих в интересах клиентов операции с финансовыми инструментами, — федеральных органов исполнительной власти (ФОИВ), региональных органов исполнительной власти (РОИВ), органов местного самоуправления, компаний, размещающих средства в финансовые инструменты, публично-правовых компаний, Банка России. Поэтому, чтобы расширить понятие инсайдерства и противостоять утечкам, под ним стали часто понимать коммерческую тайну. Неудивительно, что подобный взгляд на проблему еще сильнее ограничил понимание инсайда.
Невидимые угрозы: почему сотрудники могут стать киберриском
Во-первых, сам по себе закон изначально не выглядел серьезным (всего три страницы текста). Более того, год от года у этого закона отменяют все больше норм и остается все меньше и меньше актуальных статей. На сегодняшний день уже пять из шестнадцати статей закона утратили свою силу. Во-вторых, для защиты коммерческой тайны необходимо установить режим коммерческой тайны в организации. Это дополнительно ограничивает определение понятия коммерческой тайны, поскольку только в том случае, если информация специально помечена, лицо, ознакомившееся с ней, осознает, что имеет дело именно с коммерческой тайной.
Таким образом, когда все эти процедуры соответствия законодательству выполнены, консультанты, работающие над проектами, отправляются отдыхать на дорогие курорты, а компания вдруг понимает, что важная информация защищается преимущественно от собственных сотрудников и партнеров. Как в таком случае оценивать уровень защиты ценной бизнес-информации? Или сформулируем вопрос иначе: каким образом специалисты по конкурентной разведке могут добыть конфиденциальные сведения или документы?
Во-первых, вся информация, которую вы защитили грифом «Коммерческая тайна», утрачивает всякий смысл сразу, как только представители госорганов запрашивают те или иные сведения. Отказать им невозможно, сказав «это коммерческая тайна», — придется раскрывать всю необходимую информацию. Нельзя исключить и добрые, дружеские отношения представителей госструктур с органами конкурентной разведки третьих сторон.
Однако если вам кажется, что предыдущий сценарий похож на параноидальную фантазию, то следующий сценарий выглядит куда более реалистично. Статья 3 закона о коммерческой тайне гласит, что является тайной любая информация производственного, технического, экономического, организационного и иного характера, включая результаты интеллектуальной деятельности в научно-технической области, а также способы ведения профессиональной деятельности, имеющие реальную или потенциальную коммерческую ценность вследствие своей неизвестности третьим лицам, доступ к которой третьими лицами ограничен законом. Иными словами, эта информация не подлежит разглашению!
Но проблема заключается в том, что такие сведения зачастую требуют представить сами контрагенты. К примеру, чтобы определить, возможно ли доверить строительство конкретного объекта, они хотят убедиться, располагаете ли вы необходимым числом квалифицированных специалистов и нужными компетенциями, позволяющими завершить работы вовремя, согласно закону и соответствующего качества. Тогда какая тут речь пойдет о коммерческой тайне?
Что бы мог написать Ицхак Адизес про кибербезопасность современного предприятия
Именно эти обстоятельства и являются причиной того, почему тема противодействия инсайдерам вначале лишилась четких очертаний и ориентиров, стала размытой, а впоследствии оказалась вообще забыта. Тем не менее ситуация существенно изменилась после 2022 года.
По сути, мы прекрасно понимаем, что реальных инсайдеров намного больше, чем предусмотрено статьями закона. Закон выступает скорее как учебное пособие, а те, кто действительно занимается вопросами инсайда, обязаны расширить свое профессиональное восприятие и выйти за пределы узкого понимания правовых норм.
Кто такие инсайдеры?
В теории управления кадрами можно встретить обоснование правила «10–80–10». Примерно 10% сотрудников компании будут всегда лояльны и не совершат никаких должностных преступлений. Примерно у 10% кандидатов на стадии собеседования можно выявить склонность к высокому риску и авантюризму. Эти кандидаты изначально настроены на нарушение законов, и от них лучше своевременно избавиться. Остаются 80% сотрудников, чье поведение может изменяться. Именно они заслуживают особого внимания.
В идеале «плохой парень» не должен попадать в компанию. Служба кадров не допустит такого кандидата, служба безопасности откажет в утверждении, а коллеги почувствуют интуитивно, что такому сотруднику здесь не место. Но люди не роботы, и изменения возможны под влиянием различных факторов. Причины изменений могут быть внутренними или внешними. Внутренние факторы включают чувство несправедливости на рабочем месте, грубое отношение начальства, пропущенное повышение или премию. Внешние причины — внезапные расходы на лечение, ипотека, личные проблемы и прочие ситуации. Однако в 2022 году сотрудники столкнулись одновременно и с внутренними, и с внешними факторами давления. Неведомые риски, угроза увольнения, политизация семейных и рабочих отношений — все это заставляет людей совершать поступки, ранее им несвойственные. Позже приходит осознание, что нельзя работать в компании и действовать ей во вред одновременно. Такое противоречивое поведение ведет к затяжным депрессиям, обострениям хронических болезней и стрессу. Но осознание этого наступает позднее. Сегодня мир разделен крайностями, и время стало жестоким.
Инструменты защиты бизнеса от киберугроз
Ранее группы риска можно было выделить четырьмя типичными инсайдерскими профилями: должники, люди, ведущие образ жизни, не соответствующий доходам, азартные игроки и условные террористы. Для привлечения инсайдеров конкуренты использовали фальшивые предложения вакансий (фейковые офферы). Бывший сотрудник мог передать новым работодателям имена ключевых специалистов и их настроения внутри компании. Затем потенциальных сотрудников приглашали на собеседование якобы от имени работодателя, используя нейтральные помещения, такие как вестибюль крупного бизнес-центра типа «Москва-Сити». Люди соглашались встретиться там, уверенные, что смогут остаться незамеченными, даже если реального офиса компании нет. Во время встреч сотрудникам предлагалось обсуждать высокую должность и значительно повышенную заработную плату. Желая продемонстрировать свою заинтересованность в таком заманчивом предложении, некоторые работники делились секретной информацией. Другие, понимая, что скоро покинут компанию, могли передавать документацию своим будущим работодателям. Даже если позже они получали письмо с отказом вроде «Мы остановили выбор на другом кандидате», ущерб уже был нанесен.
Так происходило раньше. Теперь же сотрудники под воздействием обстоятельств могут самостоятельно искать аналогичные предложения. Инсайдерские группы риска пополнились категориями релокантов и агентов влияния. То, что раньше считалось обычным поведением сотрудника, теперь вызывает подозрения со стороны правоохранителей. Значит, необходимо заново проверять тех работников, которые давно доказали свою добросовестность и неоднократно проходили проверку.
Разумеется, никто не хочет тратить ресурсы на дополнительные проверки. Однако помимо традиционных угроз, исходящих от инсайдеров, возникли новые риски, о которых раньше можно было не задумываться.
Новые риски инсайдерства
Сегодня в новостных лентах регулярно появляется информация о соучастниках противоправных действий. Одни были добровольными сообщниками, других принудили путем шантажа и угроз, а некоторых использовали втемную. Такие люди либо сами не осознавали своего участия в преступлении (например, водитель грузовика), либо искренне полагали, что действуют благородно (например, передали пакет по просьбе другого человека). Раньше подобное можно было объяснить случайностью или неблагоприятными обстоятельствами, однако сегодня последствия могут оказаться весьма серьезными.
Нет сомнений, что многие виды деятельности подлежат обязательному лицензированию. Особенно строгие требования предъявляются к особо опасным видам деятельности, таким как транспортировка, переработка и хранение опасных веществ и нефтепродуктов. Каждое действие стараются заранее застраховать. Так, если при перевозке произойдет утечка вещества, приведшая к экологическому загрязнению, штрафные санкции и затраты на устранение ущерба окружающей среде могут превысить финансовые возможности предприятия. В такой ситуации в суд обязательно привлекается третья сторона — страховщик, обязанный возместить убытки пострадавшим сторонам. Здесь начинаются самые интересные моменты...
В современных реалиях, когда угрозы диверсионных атак и терроризма достигли значительных масштабов, страховым компаниям приходится устанавливать высокие тарифы, чтобы избежать обязательств по выплате компенсаций в случаях, связанных с террористическими актами. Это означает следующее: если в результате происшествия на предприятии выяснится участие инсайдера, которого признали пособником террористов, то рассчитывать на получение страховой выплаты не придется.
Принимая во внимание сложившуюся ситуацию, борьба с инсайдерами приобретает новое значение, становится критически важной задачей. Она требует новых подходов от подразделений кибербезопасности, способных выявлять отклонения в поведении сотрудников, но при этом важно избегать необоснованных обвинений и репрессивных мер. Главная цель — защитить честных сотрудников, оказавшихся под давлением сложных жизненных обстоятельств, от необдуманных шагов.