«Проблема инсайдеров в России, это не проблема найма злоумышленников, а результат системных ошибок внутри компаний. Инсайдером становятся не из-за жадности, а из-за вынужденного выживания в корпоративной среде, где выполнить план и соблюсти регламенты ИБ одновременно невозможно. Пока угрозу видят в человеке, а не в сломанных процессах, инсайдеры будут появляться снова.»
Почему система создаёт инсайдеров, а не находит их
Классический профиль инсайдера — набор нарушений: ночные сессии, массовый экспорт, использование запрещённых устройств. Это лишь следствие. Причина — контекст, где подобные действия становятся логичным выходом из ситуации. Инсайдер — сотрудник, который адаптировался к неработающим процессам. Его поведение формируется не из-за изначальной склонности к нарушению, а как ответ на требования системы, которая ставит его перед выбором: выполнить задачу или соблюсти все формальные правила.
В реальности российских компаний часто сосуществуют два контура работы. Формальный: корпоративная почта, 1С, утверждённые регламенты. Именно он проверяется аудиторами. Реальный: чаты, личные облачные диски, файлы в мессенджерах. Здесь задачи решаются ежедневно, здесь же данные покидают защищённую среду. Сотрудник, использующий второй контур, может формально не нарушать узко сформулированные запреты, но суть инцидента уже произошла — данные ушли без контроля.
Эта двойственность порождает избирательность. В организациях с высоким риском утечек всегда есть те, кто «над системой»: ключевые специалисты, ветераны, лица с особыми связями. Их доступы не пересматриваются, их действия мониторятся менее жёстко. Когда они хранят критичные данные на личном ноутбуке, это воспринимается не как нарушение, а как особенность работы. Такая практика становится негласным стандартом для отдела. Культура безопасности подменяется культурой статуса.
Zero Trust в российском корпоративном контексте
Философия Zero Trust, основанная на принципе «никому не доверяй, проверяй всегда», на бумаге выглядит как внедрение строгой аутентификации и сегментации. На практике в российской среде она вырождается в систему избирательного контроля. Правила ужесточаются для рядовых сотрудников и игнорируются для руководства. Вместо нулевого доверия ко всем возникает особое доверие к избранным. Это прямое следствие управленческой культуры, где доступ к информации, это символ власти, а не рабочий инструмент.
Запросы на доступ часто исходят не из функциональной необходимости, а из желания подтвердить статус. Отозвать такие привилегии социально сложно, это трактуется как демотивация и недоверие. Внедрение технических средств Zero Trust вроде контроля доступа на основе атрибутов становится бессмысленным: система построена на равенстве условий, а организационная культура требует иерархии.
Проверки обычно фокусируются на операционных сотрудниках: кассирах, менеджерах. По их действиям пишутся предписания. Руководители подразделений могут годами не проходить анализ своих действий с данными. Когда сотрудник видит, что коллегу наказали за отправку файла на личную почту, а начальник свободно переносит базы клиентов на флешке, формируется чувство несправедливости. Правила воспринимаются как инструмент давления, а не защиты. Ответственность за данные исчезает.
Технологические системы как генераторы рисков
Основной драйвер небезопасного поведения — не злой умысел, а неудобные или неработающие корпоративные системы. Ключевые бизнес-процессы часто завязаны на 1С или специализированные CRM, интерфейсы которых не учитывают реальные потребности.
- 1С-Бухгалтерия и отчётность: Формирование отчёта может требовать многоэтапного согласования. Чтобы уложиться в срок, бухгалтер выгружает сырые данные в Excel, дорабатывает их и лишь потом вносит итоговую цифру в систему. Исходные данные с персональной информацией остаются в неконтролируемом файле.
- CRM для отдела продаж: При отсутствии гибких фильтров менеджер будет выгружать всю базу клиентов в Excel для анализа. Это рутинная операция для выполнения плана. Каждый такой файл — копия коммерчески ценной информации за пределами защищённого контура.
- Системы документооборота: Сложный процесс согласования или ограничения на размер файлов вынуждают сотрудников использовать сторонние сервисы для обмена чертежами или макетами.
Когда служба ИБ в ответ ужесточает контроль — блокирует USB-порты или запрещает экспорт,, это лишь усугубляет проблему. Сотрудник воспринимает меры как саботаж своей работы. Появляются более изощрённые методы обхода: личные облака через браузер, передача через скриншоты. Zero Trust, наложенный поверх проблемных процессов, не устраняет риски, а загоняет их вглубь, создавая «теневую ИТ-инфраструктуру».
Доступ как символ статуса: конфликт политик ИБ с культурой
В западных моделях доступ к данным — ресурс, который выдают по принципу минимальной необходимости. В российской практике доступ, это прежде всего признак статуса. Повышение в должности часто автоматически влечёт расширение прав во всех системах, без анализа реальных потребностей. Новый руководитель получает доступ «ко всему, что было у предшественника».
Процедуры предоставления и отзыва доступов часто не формализованы. Решения принимаются устно, что приводит к системным проблемам:
- Наследование избыточных прав: Сотрудник получает доступы «в нагрузку» просто потому, что они были у его предшественника. Аудит необходимости не проводится.
- Сложность отзыва: Инициатива по отзыву прав требует согласований и воспринимается как недоверие. В итоге доступы остаются навсегда.
- Непрозрачность: Сотрудники не знают, кто в компании имеет доступ к каким данным. Это порождает слухи. Данные становятся инструментом влияния.
В такой культуре идея Zero Trust сталкивается с фундаментальным противоречием. Требование постоянных проверок и минимальных привилегий вступает в конфликт с иерархией, где широкий доступ — привилегия высших уровней. Без изменения этого кода любые технические внедрения будут встречать сопротивление.
Неочевидные поведенческие маркеры: на что смотреть до DLP
Стандартные системы защиты (DLP, SIEM) настроены на явные индикаторы: массовое копирование, отправка на внешние адреса. Однако профиль будущего инсайдера начинает формироваться задолго до этих действий. Существуют менее заметные поведенческие паттерны, которые часто остаются вне поля зрения.
| Маркер | Описание | Почему это риск |
|---|---|---|
| Активный сбор исторических данных | За 1-2 месяца до увольнения сотрудник массово просматривает (не скачивая) отчёты за прошлые периоды, архивы переписки. | Этап разведки и оценки ценности информации. Данные не покидают систему, поэтому DLP молчит, но формируется готовность к последующему экспорту. |
| Миграция рабочих данных в личные облака | В рабочих чатах появляются ссылки на Яндекс.Диск или аналоги для обмена служебными файлами. | Косвенный признак, что корпоративные средства обмена не справляются. Данные уходят в неконтролируемую среду. |
| Смена каналов для критичных обсуждений | Обсуждение ключевых контрактов или кадровых решений уходит из корпоративной почты в личные мессенджеры. | Создаётся параллельная, неаудируемая система коммуникации. Исчезает документальная история принятия решений. |
| Создание локальных «копилок» данных | Отдел начинает вести дублирующий учёт в локальных Excel-файлах «для надёжности и скорости». | Эти файлы становятся единой точкой утечки. Они редко шифруются и часто копируются на личные устройства. |
Выявление этих маркеров требует не столько сложных технических средств, сколько аналитики поведения и понимания бизнес-контекста. Фокус должен сместиться с поимки нарушителя на диагностику сломанных процессов.
Практические шаги: от культуры контроля к ответственности
Ужесточение контроля — тупиковый путь. Эффективная стратегия заключается в изменении среды, порождающей угрозы. Это последовательность шагов по внедрению принципов Zero Trust через эволюцию процессов.
1. Диагностика «рабочих болей» и легализация процессов
Первое действие — изучить обходные манёвры, а не бороться с ними. Проведите анонимные опросы или интервью. Спросите: «Какую регулярную задачу сложнее всего выполнить с помощью наших корпоративных систем? Где вы вынуждены использовать Excel или сторонние сервисы?» Цель — составление карты реальных бизнес-процессов без угрозы наказания.
На основе этой карты — легализуйте и обезопасьте необходимые процессы. Если отдел живёт в Excel, разверните защищённое сетевое хранилище с шаблонами. Если нужен быстрый обмен файлами — внедрите корпоративный аналог облачного диска с логированием. Ключевой принцип: честный путь должен быть удобнее обходного.
2. Визуализация и самоуправление доступом
Одна из причин накопления избыточных прав — их невидимость. Доступы скрыты в Active Directory. Создайте для каждого сотрудника простой персональный портал, где в понятном виде перечислены все системы и ресурсы, к которым у него есть права.
Добавьте функционал самообслуживания: кнопку «Запросить отзыв доступа» с краткой формой. Это не только снижает риски за счёт своевременной очистки прав, но и формирует у сотрудника чувство ответственности за свой цифровой след.
3. Интеграция безопасности в систему мотивации
Перестаньте строить взаимодействие только на штрафах. Введите позитивные KPI, связанные с ИБ, для руководителей и сотрудников. Примеры таких показателей:
- Процент рабочих файлов, хранящихся в санкционированных системах.
- Количество своевременно отозванных увольняющимися сотрудниками доступов.
- Регулярность участия в тренингах по ИБ.
- Использование защищённых каналов для коммуникации по критичным темам.
Когда безопасность становится частью показателей эффективности, руководители начинают обсуждать её на оперативках. Это меняет корпоративную культуру быстрее любых предписаний.
4. Проведение «амнистии» данных
Перед введением строгих новых правил объявите период «амнистии» на 2-4 недели. В это время сотрудники могут без последствий перенести рабочие файлы из личных облаков и почт в корпоративные защищённые хранилища. Подготовьте чёткие инструкции: куда загружать, как именовать.
Эта мера решает две задачи. Она ликвидирует накопленный «хвост» неконтролируемых данных, снижая текущие риски. Она также создаёт психологически чёткую границу. После окончания амнистии новые нарушения уже не могут быть оправданы незнанием, это будет осознанный выбор.
Профиль инсайдера, это не приговор сотруднику, а диагноз системе управления. Борьба с ним начинается не с покупки новой DLP, а с честного ответа на вопрос: что в ваших процессах заставляет людей нарушать правила, чтобы просто сделать свою работу? Zero Trust, это в первую очередь про культуру доверия к намерениям сотрудника и недоверия к устаревшим, неудобным и опасным практикам, которые компания терпит годами.