АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Инсайдерские угрозы

Инсайдерские угрозы (англ. insider threat) — потенциальная угроза для организации, исходящая от лиц внутри самой организации, таких как сотрудники, бывшие сотрудники, подрядчики или деловые партнёры, обладающих внутренней информацией о мерах безопасности, данных и компьютерных системах организации. Такая угроза может включать мошенничество, хищение конфиденциальной или коммерчески ценной информации, интеллектуальной собственности либо саботаж компьютерных систем.

Обзор

Инсайдеры часто имеют учётные записи с легальным доступом к компьютерным системам, предоставленным им для выполнения служебных обязанностей; эти права могут быть использованы во вред организации. Инсайдеры, как правило, хорошо осведомлены о данных и интеллектуальной собственности организации, а также о методах их защиты, что облегчает обход любых защитных механизмов, о которых им известно. Физическая близость к данным позволяет инсайдеру не взламывать сеть через внешний периметр и межсетевые экраны — он уже находится в здании и зачастую имеет прямой доступ к внутренней сети организации. Инсайдерские угрозы труднее предотвратить, чем атаки извне, поскольку инсайдер уже обладает законным доступом к информации и ресурсам организации.

Инсайдер может попытаться похитить имущество или сведения с целью личной выгоды или для передачи другой организации или государству. Угроза может исходить и от вредоносного программного обеспечения, оставленного бывшими сотрудниками на системах компании — так называемой логической бомбы.

В условиях удалённой и гибридной работы основной вектор атак сместился с физического доступа на удалённый доступ к облачным ресурсам и корпоративным системам (в 2025 году 78 % инцидентов затрагивали облачные ресурсы)[1].

Исследования

Инсайдерские угрозы стоят в центре внимания академических и государственных исследований.

Координационный центр CERT при Университете Карнеги—Меллон поддерживает Центр по изучению инсайдерских угроз CERT, который включает базу данных, содержащую более 3000 инцидентов инсайдерских угроз, включая мошенничество, хищения и саботаж[2]; база используется для исследований и анализа[3]. Группа CERT по инсайдерским угрозам также ведёт информационный блог для помощи организациям и компаниям в защите от инсайдерских преступлений.

Threat Lab и Исследовательский центр кадровой и информационной безопасности Министерства обороны США (DOD PERSEREC) недавно стали национальным ресурсом в Соединённых Штатах. Threat Lab ежегодно проводит конференцию SBS Summit[4]. Также ими поддерживается сайт с материалами этой конференции. В дополнение к этим инициативам был создан подкаст Voices from the SBS Summit. В 2022 году Threat Lab основал междисциплинарный журнал Counter Insider Threat Research and Practice (CITRAP), публикующий исследования по обнаружению инсайдерских угроз.

Основные результаты исследований

В отчёте Data Breach Investigations Report (DBIR), опубликованном компанией Verizon в 2022 году, отмечается, что 82 % нарушений безопасности были связаны с человеческим фактором, и сотрудники продолжают играть ведущую роль в инцидентах и нарушениях кибербезопасности.

Согласно данным Британского управления по защите информации, в 2024—2025 годах было получено 12 412 сообщений об утечках данных, при этом в секторе образования значительная часть инсайдерских инцидентов была спровоцирована учащимися[5][6].

В докладе за 2018 год указано, что 53 % опрошенных компаний подтвердили инсайдерские атаки на свою организацию за последние 12 месяцев, а 27 % отмечают, что такие атаки становятся более частыми.

Согласно отчётам за 2024—2025 годы, финансовый сектор остаётся одной из главных мишеней для инсайдерских угроз и несёт самые высокие финансовые потери по сравнению с другими отраслями, составляющие в среднем 20,68 млн долларов США[7].

Министерство обороны США опубликовало отчёт, описывающий методы выявления инсайдерских угроз. Ранее были опубликованы десять кейс-стади инсайдерских атак, совершённых специалистами по информационным технологиям.

Эксперты по кибербезопасности считают, что 38 % неосторожных инсайдеров становятся жертвами фишинга — атаки, при которой они получают электронное письмо от, казалось бы, легитимного источника, например, компании. Подобные письма обычно содержат вредоносное программное обеспечение в виде гиперссылок[8].

По данным исследований 2025 года, 77 % организаций столкнулись со случаями потери данных, связанными с внутренними угрозами[9]. При этом только 12 % организаций используют зрелые модели предиктивной аналитики для выявления инсайдерских угроз[10].

Типология и онтологии

Существует несколько классификаций и онтологий для деления инсайдерских угроз[11].

Традиционные модели выделяют три основные категории инсайдерских угроз:

  • Злонамеренные инсайдеры — лица, сознательно использующие свой доступ с целью причинения вреда организации;
  • Неосторожные инсайдеры — лица, допускающие ошибки и игнорирующие политики безопасности, подвергая свои организации риску;
  • Инфильтраторы — внешние злоумышленники, незаконно получившие легитимные учётные данные.

В условиях удалённой работы риски от непреднамеренных инсайдеров возрастают из-за использования личных устройств (BYOD) и «теневого ИИ», а деятельность злонамеренных инсайдеров становится менее заметной для контроля[12]

Методы обнаружения и предотвращения

Современные подходы к защите от инсайдерских угроз опираются на проактивное обнаружение и использование интеллектуальных систем. Ключевым инструментом являются системы предотвращения утечек данных (DLP), интегрированные с технологиями искусственного интеллекта и машинного обучения. Такие решения осуществляют глубокий контекстный анализ, позволяя не только фильтровать передаваемую информацию, но и понимать условия работы с ней, что снижает количество ложных срабатываний и помогает автоматически классифицировать конфиденциальные данные. Для выявления аномалий и превентивного обнаружения угроз применяется аналитика поведения пользователей и сущностей (UEBA). Алгоритмы машинного обучения формируют базовую модель нормального поведения для каждого сотрудника и устройства в сети, учитывая время активности, геолокацию, объёмы передаваемых данных и специфику доступа к ресурсам. Любые значимые отклонения от этой нормы (например, массовое скачивание файлов в нерабочее время или доступ с нетипичного IP-адреса) расцениваются как потенциальная угроза, что позволяет службам безопасности реагировать на инциденты до нанесения ущерба[13][14]. Для выявления аномалий и превентивного обнаружения угроз применяется аналитика поведения пользователей и сущностей (UEBA). Алгоритмы машинного обучения формируют базовую модель нормального поведения для каждого сотрудника и устройства в сети, учитывая время активности, геолокацию, объёмы передаваемых данных и специфику доступа к ресурсам. Любые значимые отклонения от этой нормы (например, массовое скачивание файлов в нерабочее время или доступ с нетипичного IP-адреса) расцениваются как потенциальная угроза, что позволяет службам безопасности реагировать на инциденты до нанесения ущерба. Несмотря на эффективность предиктивной аналитики, внутренние нарушители могут обходить системы на базе искусственного интеллекта. Для этого применяются атаки на модели машинного обучения (Adversarial Attacks), включая отравление обучающих выборок и атаки уклонения. В частности, злоумышленники могут использовать тактику медленных, низкоинтенсивных атак, постепенно изменяя характер своей активности. В результате система поведенческого анализа адаптируется к этим изменениям, ошибочно принимая вредоносные действия за новую норму. Несмотря на эффективность предиктивной аналитики, внутренние нарушители могут обходить системы на базе искусственного интеллекта. Для этого применяются атаки на модели машинного обучения (Adversarial Attacks), включая отравление обучающих выборок и атаки уклонения. В частности, злоумышленники могут использовать тактику медленных, низкоинтенсивных атак, постепенно изменяя характер своей активности. В результате система поведенческого анализа адаптируется к этим изменениям, ошибочно принимая вредоносные действия за новую норму.

Критика

Исследования в области инсайдерских угроз подвергаются критике[15].

  • Критики отмечают, что термин «инсайдерская угроза» недостаточно чётко определён[16].
  • Криминалистическое расследование инсайдерского хищения данных обычно чрезвычайно затруднено и требует внедрения новых методов, например, стохастической криминалистики.
  • Данные по инсайдерским угрозам зачастую представляют собой собственность компаний (например, зашифрованные данные).
  • Теоретические/концептуальные модели строятся на весьма свободном толковании работ в области поведенческих и социальных наук, зачастую используя только «дедуктивные принципы и интуицию экспертов».

Принимая социотехнический подход, исследователи утверждают, что инсайдерские угрозы следует анализировать с позиций социальных систем. Джордан Шёнхерр[17] отмечает, что «надзор требует понимания того, как устроены системы санкций, как работники реагируют на надзор, какие нормы поведения считаются релевантными и что означает “отклонение” — например, отклонение от оправданной нормы организации или отказ следовать организационной норме, противоречащей общепринятым общественным ценностям». Рассматривая всех работников как потенциальных инсайдерских злоумышленников, организация может породить условия для возникновения этих самых угроз.

Тотальный мониторинг сотрудников, включающий снимки экрана и отслеживание нажатий клавиш, вызывает серьёзные этические проблемы, связанные с нарушением приватности и снижением уровня доверия в коллективе. Постоянное наблюдение негативно сказывается на моральном духе работников, а также создаёт риск ложных срабатываний, когда автоматизированные системы неверно интерпретируют легитимные действия как подозрительные[18]. В ответ на эту критику наметился переход к «открытому» мониторингу и адаптивной модели безопасности. Вместо скрытого тотального контроля внедряются системы, которые объясняют сотрудникам причины ограничений, а защита настраивается в зависимости от контекста и поведения пользователя, смещая акцент с жёстких запретов на проактивное выявление реальных угроз.

Примечания

  1. 2026 Insider Threat Report. Cyber Strategy Institute. Дата обращения: 28 мая 2026.
  2. CERT Insider Threat Center. Software Engineering Institute. Carnegie Mellon University. Дата обращения: 28 мая 2026.
  3. CERT Insider Threat Center. Cert.org. Дата обращения: 28 мая 2026. Архивировано 20 июля 2006 года.
  4. Insider Threat Blog. ThreatLab. Дата обращения: 28 мая 2026. Архивировано 6 сентября 2025 года.
  5. The ICO’s Annual Report 2024/25: Key insights. Burges Salmon. Дата обращения: 28 мая 2026.
  6. Insider threat of students leading to increasing number of cyber attacks in schools. ICO (11 сентября 2025). Дата обращения: 28 мая 2026.
  7. Insider Threat Statistics. Teramind. Дата обращения: 28 мая 2026.
  8. Insider threat report (англ.). Fortinet. Дата обращения: 28 мая 2026. Архивировано 3 сентября 2025 года.
  9. Insider incidents hit 77% of organizations, survey finds. SC World. Дата обращения: 28 мая 2026.
  10. 2025 Insider Risk Report: The Shift to Predictive, Whole-Person Insider Risk Management. Cybersecurity Insiders. Дата обращения: 28 мая 2026.
  11. Шёнхерр, Джордан Ричард. Multiple Approach Paths to Insider Threat (MAP-IT): Intentional, Ambivalent, and Unintentional Pathways to Insider Threats // Counter Insider Threat Research and Practice : [англ.] / Джордан Ричард Шёнхерр, Кристофер Лилья-Лолакс, Дэвид Джо. — 2022.
  12. Угрозы информационной безопасности в 2025 году: как избежать? OBIT (2025). Дата обращения: 28 мая 2026.
  13. What is User Entity Behavior Analytics (UEBA)? Palo Alto Networks. Дата обращения: 28 мая 2026.
  14. Методы обнаружения инсайдерских признаков в больших данных. APNI. Дата обращения: 28 мая 2026.
  15. Шёнхерр, Джордан; Томмсон, Роберт (2020). “Insider Threat Detection: A Solution in Search of a Problem”. 2020 International Conference on Cyber Security and Protection of Digital Services (Cyber Security) [англ.]. 2020 International Conference on Cyber Security and Protection of Digital Services (Cyber Security): 1—7. DOI:10.1109/CyberSecurity49315.2020.9138862. ISBN 978-1-7281-6428-1. S2CID 220606121.
  16. Колз-Кемп, Лиззи. Insider threat and information security management. In Insider threats in cyber security (pp. 45-71) : [англ.] / Лиззи Колз-Кемп, Марианти Теохариду. — Springer, Boston, 2010.
  17. Шёнхерр, Джордан Understanding Surveillance Societies: Social Cognition and the Adoption of Surveillance Technologies (англ.). IEEE ISTAS 2020 (2020). Дата обращения: 28 мая 2026.
  18. Инсайдер РФ: честный обзор системы мониторинга. SprutMonitor. Дата обращения: 28 мая 2026.

Ссылки

Категории