Как поймать инсайдеров — Контур.Эгида

В этой статье

Как поймать инсайдеров

29 сентября 2025

Менеджер скачал клиентскую базу перед увольнением, системный администратор установил майнер на корпоративные серверы, сотрудник зашифровал базу CRM из-за обиды. Инсайдеры наносят бизнесу не меньше вреда, чем внешние хакеры, но их сложнее выявить — они уже внутри периметра, у них есть доступы и понимание, как устроена компания. Разберемся, как защититься от внутренних угроз с помощью комплексного подхода.

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды

Проблема инсайдеров — не надуманная, а реальная

По данным InfoWatch, 75% утечек данных происходит из-за действий сотрудников компаний. При этом средний ущерб от одного инцидента составляет около 11 млн рублей.

Проблема а в том, что инсайдеры бывают разными:

  • Злоумышленники — действуют намеренно, из корыстных или идейных побуждений. Копируют базы, воруют разработки, сливают информацию конкурентам.
  • Растяпы — нарушают безопасность по незнанию или небрежности. Теряют рабочие ноутбуки, используют простые пароли, открывают подозрительные вложения.
  • Обиженные — мстят компании за реальные или мнимые обиды. Бывший сотрудник уносит клиентов, недовольный программист оставляет уязвимость в коде.

Традиционные методы защиты против них скорее всего не сработают. Антивирусы и файрволы остановят внешнего хакера, но не помогут, когда опасность исходит от человека с легальным доступом к вашим системам.

При этом нельзя просто заблокировать всё подряд — бизнес остановит свою работу. Люди должны работать и получать доступ к нужным данным. Нужен разумный баланс между безопасностью и удобством.

Как начать защищаться от инсайдеров

Многие компаний совершают три типичные ошибки в борьбе с инсайдерами:

  1. «У нас все свои». Владелец небольшой компании лично знает каждого сотрудника и доверяет всем. Но даже самые лояльные люди могут поддаться соблазну, допустить ошибку или или оказаться под манипулятивным воздействием внешнего злоумышленника.
  2. Упор только на технические средства. Компания устанавливает системы защиты, но забывает объяснить сотрудникам, зачем это нужно. В результате люди воспринимают ИБ как помеху работе и ищут обходные пути.
  3. «Настроили и забыли». Руководитель внедрил системы защиты, но никто не разбирается с отчетами и алертами, нет проактивной работы. Через полгода половина правил устаревает, а треть сотрудников снова получает избыточные доступы.

Для эффективной защиты от инсайдеров нужно действовать по правилу трех П: предотвратить, предупредить, поймать:

Предотвратить — создать барьеры, которые не позволят нанести ущерб. Ограничить доступ к критичным данным, запретить передачу файлов с критической информацией, блокировать подозрительные операции.

Предупредить — выстроить культуру безопасности. Обучить сотрудников правилам ИБ, объяснить, почему это важно, показать последствия нарушений.

Поймать — отследить подозрительную активность и оперативно среагировать. Логировать действия пользователей, анализировать аномалии, фиксировать доказательства.

Как это работает на практике? Через минимальные необходимые доступы, надежную аутентификацию и постоянный мониторинг.

Вместо того чтобы давать всем доступ ко всему, распределяйте права по принципу «только то, что нужно для работы». Защищайте учетные записи надежной аутентификацией. И следите за действиями пользователей в критичных системах и с информацией.

Как это сделать? Рассмотрим на примере продуктов Контур.Эгиды.

Как отследить инсайдеров

Защита клиентской базы

Проблема. Менеджер по продажам перед увольнением скопировал базу клиентов, чтобы использовать на новом месте работы.

Решение. Staffcop фиксирует подозрительную активность — массовое копирование контактов из CRM, снимки экранов с данными клиентов, отправку файлов на личную почту.

Результат. Компания обнаружила инцидент, а затем заблокировала передачу скопированных данных.

Защита коммерческой тайны

Проблема. Сотрудники подрядчика по доработкам в CRM имеют доступ внутрь компании извне. Но как быть уверенным что они работают только с CRM и по своим задачам?

Решение. PAM (Privileged Access Management) контролирует работу с критичными системами. Система управляет доступами учётных записей, фиксирует их действия. Сотрудники подрядчика имеют доступ только к тем АРМ, где находятся их объекты работы, и только по нужным каналам. Попытки доступа в нерабочее время или в другие объекты сети блокируются.

Результат. Не имея возможности выйти за пределы оговоренного для работы объекта сотрудники подрядчика не получат случайный или преднамеренный доступ к данным компании или другим объектам в сети.

Защита учетных записей

Проблема. Компания обнаружила, что кто-то все еще заходит в корпоративные сервисы под учётной записью уволенного системного администратора.

Решение. ID обеспечивает надежную защиту учетных записей. Двухфакторная аутентификация не даст войти даже при краже пароля. Централизованное управление доступами позволяет мгновенно отключить все учетные записи уволенного сотрудника.

Результат. Компания получила дополнительный контроль над доступами в корпоративные сервисы и защитилась от замаскированного проникновения коварных и бывших сотрудников.

Защита финансов

Проблема на примере кейса. Бухгалтер компании получила письмо от генерального директора с просьбой срочно оплатить услуги нового подрядчика по приложенным реквизитам.

Решение. В компании сотрудники проходили обучения по информационной безопасности, неоднократно проверяли знания в учениях. Бухгалтер сразу обнаружила признаки фишингового, хотя и выглядевшего довольно убедительно, письма. Сообщила в службу ИБ и приостановила выплаты другим контрагентом до перепроверки договоров и реквизитов.

Результат. Компания сохранила деньги.

Вместо заключения

Инсайдеры есть в каждой компании. Вопрос только в том, нашли вы их или нет. Пока вы не начнете контролировать внутренние процессы, вы не узнаете масштаб проблемы.

Контур.Эгида — это не просто набор продуктов, а комплексный подход к безопасности. ID защищает учетные записи, PAM контролирует привилегированных пользователей, Staffсop отслеживает подозрительную активность. Вместе они создают защиту, через которую сложно пробиться даже изнутри.

Начните с самого необходимого. Определите ценные данные, которые нужно защитить в первую очередь. Внедрите базовый мониторинг. Обучите сотрудников основам безопасности. Постепенно выстраивайте культуру ИБ в компании. А специалисты Контур.Эгиды помогут вам на каждом этапе — от аудита текущего состояния до настройки комплексной защиты.

Фотография Юрий Драченин Юрий Драченин Эксперт Контур.Эгиды
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться