Как исключить утечки данных, не увольняя сотрудников

Большинство организаций ежегодно фиксируют у себя утечки информации по вине сотрудников, и этот риск обходится им все дороже.

Эксперты обращают внимание на растущую сложность ИТ-инфраструктуры, которая становится одной из причин повышенной уязвимости компании к инсайдерским рискам, а также на то, что это повторяющийся операционный риск и им необходимо управлять.

Предупредить нежелательные действия инсайдеров компании позволяют в том числе DLP-системы. Об этом подробнее и поговорим.

Чужой среди своих

Недавнее исследование DeepStrike показало, что во всем мире до 83% организаций за последний год сталкивались с инсайдерскими атаками. И это не только преднамеренные действия сотрудников, совершаемые со злым умыслом, но и непреднамеренные ошибки, которые, тем не менее, могут обернуться для компании репутационными и финансовыми потерями. На западе инсайдерские атаки уже признаны самым дорогостоящим типом атак: согласно отчету IBM, один взлом, инициированный злонамеренным инсайдером в 2025 году, стоил бизнесу в среднем пять миллионов долларов.

Как показывает практика, внутренний нарушитель, готовый за вознаграждение собрать и передать на сторону, например, персональные данные клиентов, абонентов, пациентов и не только их, зачастую не задумывается о грозящих ему последствиях: испорченной репутации, немалых штрафах и уголовной ответственности. По данным одного из российских вендоров DLP, в 38% случаев увольняющиеся сотрудники предпринимают попытки скачать базы данных клиентов или партнеров.

Чему нас учат инциденты c инсайдерами?

Начну с двух показательных историй. Этим летом программист Intel, узнав о своем внезапном сокращении, перед уходом ухитрился похитить у компании около 18 тыс. файлов с конфиденциальной информацией.

Кража стала возможной из-за того, что в Intel не была должным образом настроена DLP-система: средства безопасности обнаружили и блокировали первую попытку инсайдера, но не отреагировали на вторую. Потери компания оценила в $250 тыс., что в десятки раз превысило стоимость самой DLP. На виновника Intel выйти не смогла, тот скрылся, и ей ничего не оставалось как подать против него иск на сумму обозначенных потерь.

Другой пример: в 2022 году по неосторожности несколько сотрудников Microsoft случайно раскрыли активные учетные данные для входа в частную инфраструктуру GitHub компании, что потенциально предоставило злоумышленникам доступ к серверам Azure.

Уроки, которые из этого случая можно извлечь:

• любые компании уязвимы к простым человеческим ошибкам,
• важно использовать автоматизированные средства контроля безопасности.

Автоматизация — наше все

В защите от инсайдерских угроз решающее значение имеет упреждающее обнаружение и все более быстрое реагирование на инциденты. Все это невозможно без автоматизации критических процессов управления безопасностью и проведения непрерывного мониторинга и корреляции событий в реальном времени.

Сегодня эффективная DLP-система способна вести мониторинг каналов передачи данных, точно настраиваться и отслеживать доступ к чувствительным данным. Так, она распознает камеру, поднесенную к экрану монитора для снятия с него информации, и сразу уведомит ИБ-службу о такой попытке, моментально пресечет отправку из компании запароленного архива с конфиденциальной информацией и не только это.

Слепое пятно DLP

Если в вашей компании сотрудники не имеют привычки отправлять своим контрагентам запароленные архивные файлы, что сложно представить, возможно, дальнейшая информация и не для вас. Мы же своей стороны видим, что такие архивы выручают сотрудников отделов продаж и не только их, когда необходимо переслать большие объемы данных, например, обходя корпоративные ограничения на размер вложений в почте. И все бы ничего, если бы сотрудники не сливали порой через запароленные архивы чувствительные для компании сведения, что делает такие архивы одним из распространенных каналов утечки информации из компаний.

Дело в том, что обычная DLP не способна автоматически проверить, не содержит ли запароленный архив конфиденциальную информацию. Подобные файлы специалистам службы информационной безопасности приходится проверять вручную, что задерживает отправку сообщений, не исключает ошибок и, конечно, не позволяет использовать ресурсы службы ИБ более эффективно.

Стандартные DLP-системы не могут заглянуть внутрь запароленного архива и проанализировать его содержимое в реальном времени из-за высоких требований к вычислительным ресурсам и скорости обработки данных.

Для решения этой задачи может быть использован архиватор ARZip. При его интеграции с DLP-системой последняя получает способность автоматически проверять содержимое архивов в соответствии с заданными политиками безопасности. Правда, для обеспечения данной функциональности ARZip должен стать для организации единственным корпоративным архиватором.

Будущее защиты от инсайдеров

Если говорить о рыночной тенденции, то, конечно, самой модной темой 2025 года стал ИИ. Производители практически всех DLP-систем продолжат отдавать ИИ часть функционала, что позволит облегчить пользование решением, либо будут внедрять новый функционал, не усложняя работу администраторов.

В России в этом году с ужесточением наказания за утечки персональных данных и введением оборотных штрафов вырос спрос на DLP, у отдельных вендоров он составил 35-40%, но в целом по рынку по итогам года ожидается на уровне 15 %.

Мировой рынок DLP-систем в 2025 году готов показать 26,2% рост и сохранит высокие темпы роста в перспективе пяти лет (+27,5% ежегодно), что может скорректировать рост российского рынка в большую сторону, так как, несмотря на все ограничения, Россия остается частью мирового рынка информационных систем, и вызовы, с которыми будут сталкиваться компании повсеместно, для нас также будут актуальны.

Сегодня выстраивать защиту в первую очередь только от внешних угроз, не уделяя должного внимания защите от инсайдеров — заведомо проигрышная стратегия. 

Инсайдерские угрозы становятся все более сложными и дорогостоящими, нередко злоумышленники внутри и вне компании действуют сообща, а значит, спрос на DLP, которые также дают возможность лучше контролировать загруженность сотрудников и понимать их эффективность, PAM-решения, позволяющие ограничить риски, связанные с привилегированными пользователями, а также системы класса IRM, с которыми не теряется контроль над документами после их публикации, будет только расти.