Более трети российских компаний обнаруживают ИБ-проблемы только после возникновения ущерба

Российские компании все чаще рассматривают внутренние угрозы как один из ключевых факторов риска наряду с внешними кибератаками. При этом большинство организаций сталкиваются с поздним выявлением инцидентов и нехваткой данных для расследований.

Под внутренними угрозами в исследовании понимаются как умышленные действия сотрудников и подрядчиков, так и ошибки, нарушения регламентов, передача доступов, злоупотребление правами, обход систем защиты и использование неподконтрольных внешних сервисов. Согласно результатам, 17% респондентов назвали внутренние угрозы главным риском для своей компании, еще 33% — одним из наиболее серьезных факторов риска. Лишь 6% участников опроса не считают эту проблему существенной для бизнеса.

Самыми критичными внутренними угрозами компании считают ошибки сотрудников из-за невнимательности — этот вариант выбрали 44% участников. Еще 42% опасаются утечек данных через сотрудников и подрядчиков, 39% — передачи корпоративных доступов посторонним, а 38% — умышленных действий работников, связанных со сливом информации. При этом 30% респондентов видят серьезную угрозу в сознательном нарушении сотрудниками внутренних регламентов ради удобства, 32% компаний опасаются использования неподконтрольных облачных сервисов и столько же — неконтролируемого применения ИИ внутри организации.

Исследование показало, что большинство организаций выявляют внутренние угрозы уже после появления негативных последствий. Только 24% респондентов сообщили, что обычно обнаруживают инциденты до возникновения ущерба. В остальных случаях проблема становится заметной уже в процессе развития ситуации или после нанесения ущерба бизнесу: 35% компаний выявляют угрозы во время инцидента, 22% — уже после ущерба, а 16% узнают о проблемах случайно или через жалобы сотрудников.

Одной из ключевых сложностей при расследовании остается необходимость отличить ошибку сотрудника от злонамеренных действий — об этом сообщили 33% участников. Еще 26% отметили слишком позднее выявление инцидентов, а 25% — недостаточную прозрачность действий пользователей внутри инфраструктуры.

Компании также сталкиваются с фрагментированностью систем безопасности и нехваткой данных для анализа событий. Так, 23% респондентов сообщили о недостатке логов и информации для расследований, а 21% указали на проблему использования нескольких несвязанных между собой систем защиты. Еще 26% участников отметили, что сотрудники обходят существующие механизмы безопасности, а 23% сообщили об использовании неподконтрольных внешних сервисов внутри компаний.

Несмотря на рост внимания к внутренним угрозам, процессы управления ими во многих организациях остаются несистемными. Только 44% участников исследования сообщили о наличии отдельного регламента и формализованного порядка работы с внутренними угрозами. Еще 46% отметили, что в компаниях существуют лишь отдельные элементы системы без единого подхода.

Среди факторов, мешающих эффективно снижать внутренние риски, компании чаще всего называли дефицит квалифицированных специалистов — 30% респондентов. Еще 26% сообщили о недостаточном понимании реального масштаба внутренних угроз, а 25% — о слабой культуре информационной безопасности внутри компании.

Для выявления внутренних угроз организации чаще всего используют анализ сетевого трафика (46%) и мониторинг активности сотрудников (45%). Еще 41% применяют анализ логов, а 35% — EDR-системы и собственные инструменты мониторинга. При этом компании рассматривают работу с внутренними угрозами не только как техническую задачу: обучение сотрудников и повышение осведомленности в сфере ИБ используют 46% участников, а проверки при найме проводят 42% организаций.

Среди используемых технологий наиболее распространены EDR-системы и собственные разработки (по 35% респондентов). Еще 32% компаний используют CASB-решения для контроля облачных сервисов, 30% — IAM-системы для управления доступом, 29% — SIEM-платформы, а 27% — UEBA-инструменты для анализа поведения пользователей. DLP-системы применяют 23% участников.

Эксперты отмечают, что внутренние угрозы постепенно выходят за рамки исключительно ИБ-повестки и становятся вопросом общей управляемости бизнеса. Компании работают с распределенной инфраструктурой, большим количеством учетных записей, подрядчиков и внешних сервисов. Проблема заключается уже не только в отсутствии отдельных инструментов защиты, а в нехватке связности между системами контроля, журналами событий и средствами расследования. Организации часто видят отдельные сигналы, но не всегда способны быстро восстановить полную цепочку действий внутри инфраструктуры и определить источник инцидента.

Источник: Контур.Эгида