Инсайдер как главная угроза: почему 89% роста утечек не случайность

Масштаб проблемы

Когда речь заходит об утечках данных, в сознании обычно возникает образ хакера, взламывающего сервер из темного угла. Однако статистика говорит об обратном: основным каналом утечек информации остаются сами сотрудники. Электронная почта стабильно лидирует среди каналов утечки данных — на нее приходится 52% всех сливов. При этом 38% утечек связаны с бывшими сотрудниками, а основным каналом являются мессенджеры.

В 2025 году, по данным Threat Intelligence F6, на андеграундных форумах и в тематических Telegram-каналах появилось 250 новых случаев публикации баз данных компаний СНГ, из них 230 относятся к российским организациям. При этом суммарный объем утечек за 2025 год превысил 767 млн строк с данными российских пользователей — против 457 млн строк в 2024 году.

Почему инсайдеры действуют

Инсайдеры действуют по трем основным причинам:

1. Корысть. Реальный случай из судебной практики: инженер-программист производителя тахографов на протяжении нескольких лет передавал конкурентам конфиденциальную коммерческую информацию: данные о поставщиках, конструкторскую документацию, исходный код ПО. Когда аппетиты выросли, он начал со своего рабочего аккаунта заказывать комплектующие от имени работодателя, собирать их самостоятельно и сдавать на реализацию конкурентам. Общий ущерб составил 12 млн рублей.
2. Обида и месть. Уволенные сотрудники нередко забирают с собой базы клиентов или, что еще хуже, уничтожают рабочие данные. В одном из недавних громких дел бывших сотрудников обвинили в попытке украсть и уничтожить данные трех федеральных ведомств — буквально через несколько минут после увольнения.
3. Уверенность в праве собственности на данные. Опрос, проведенный среди сотрудников отделов продаж и менеджеров по работе с клиентами крупных российских компаний, показал: 92% респондентов считают базу данных клиентов своей личной собственностью. В финансовых организациях ситуация наиболее неблагополучная, а в целом 76% опрошенных полагают, что использование чужих клиентских баз — это нормальный инструмент ведения бизнеса.

Кейс: как малый бизнес теряет миллионы

Компания «А» — производитель устройств для автомобилей — столкнулась с резким падением продаж. Причина выяснилась в ходе служебной проверки: на рынок вышли предприятия-конкуренты, предлагавшие продукцию, практически идентичную изделиям компании «А». Источником информации стал собственный инженер-программист. В компании не применялись технические средства защиты информации, поэтому руководство заподозрило утечку только тогда, когда убытки стали очевидны.

Этот кейс показателен: отсутствие базовых средств контроля информации привело к тому, что инцидент оставался незамеченным годами.

Как защититься: практические шаги

Эффективная защита от инсайдеров требует комплексного подхода:

1. Принцип минимальных привилегий. Сотрудник должен иметь доступ только к тем данным, которые необходимы для выполнения его непосредственных обязанностей.
2. Регулярная инвентаризация данных. Невозможно защитить то, о существовании чего вы не знаете. Требуется постоянный аудит того, какие данные хранятся, где и кто имеет к ним доступ.
3. Разделение критических операций. Крупные контракты и чувствительные операции должны требовать двойного согласования.
4. DLP-системы как ядро защиты. Современные DLP-решения контролируют потоки данных по всем каналам — почта, мессенджеры, USB-накопители, облачные сервисы — и позволяют не только фиксировать утечки, но и предотвращать их в реальном времени.