Бизнес больше всего боится внешней атаки — кибератаки, взлома, хакеров за периметром. На деле удар часто приходит оттуда, откуда не ждёшь — изнутри компании, от человека с обычным рабочим доступом. Такую угрозу можно не замечать месяцами.
Мы в Aiston регулярно проводим аудиты и обследования информационной безопасности и любим эту часть работы больше всего — она показывает, что на самом деле происходит внутри компании, и помогает превентивно закрыть риски до инцидента.
В этой статье делимся наблюдениями и разбираем, что такое инсайдерская угроза, как на самом деле происходят внутренние утечки, по каким признакам их можно выявить и как обезопасить свой бизнес.
Что такое инсайдерская угроза и кто её создаёт
Инсайдер — это любой человек с легитимным доступом к ресурсам компании: сотрудник или бывший работник, чьи права вовремя не отозвали. Сюда же относятся подрядчики и партнёры с доступами к части ИТ-систем.

Причиной инсайдерской угрозы является не сам факт выдачи доступа, а то, что этот доступ используют не по назначению — умышленно или случайно.
- Умышленная угроза — осознанное решение навредить компании: скопировать базу клиентов перед увольнением, слить данные конкуренту, отомстить за несостоявшееся повышение.
- Неумышленная угроза — непреднамеренное создание риска по невнимательности или незнанию: сотрудник отправил письмо не туда, стал жертвой фишинга, оставил рабочий ноутбук без присмотра.
Разделение на типы не случайно: от мотива зависит, какая мера будет работать в пользу информационной безопасности компании. От умышленного инсайдера защищаются ограничением доступа и контролем, от неумышленного — обучением и понятными процедурами. Смешивать эти две меры бессмысленно: жёсткий контроль не остановит человека, который просто не знал, что нельзя пересылать таблицу с персональными данными в мессенджер. |
Как сотрудники сливают данные: реальные сценарии

Если в популярных шпионских фильмах кража данных — это целая история, то в реальных сценариях внутренних утечек всё гораздо прозаичнее. Например:
- Сотрудник пересылает рабочий файл на личную почту, чтобы доделать отчёт дома.
- Уволенный менеджер сохраняет контакты клиентов в своём телефоне ещё до того, как HR оформит увольнение.
- Кто-то теряет флешку с базой данных или выносит документы на бумаге, не считая это чем-то серьёзным.
- Сотрудник по ошибке отправляет письмо с конфиденциальным вложением не тому адресату, переходит по фишинговой ссылке или открывает заражённый файл.
Иногда это уже не халатность, а прямой умысел. Известен случай, когда в 2024 году сотрудник «Озон Банка» продавал персональные данные клиентов.
Похожая история произошла и в Tesla: в 2018 году инженер производственного подразделения слил конфиденциальные данные о процессе производства третьим лицам и внёс изменения в исходный код внутренней системы. Компании пришлось судиться, чтобы установить масштаб ущерба.
ИИ как новый канал угрозы
Появился и новый канал, массовое использование которого началось не так давно — рабочее использование ИИ-инструментов. Например, сотрудник вставляет фрагмент договора в чат-бота, чтобы тот помог сформулировать пункт, или загружает таблицу с клиентской базой в сервис для анализа данных.
Это не кража в привычном смысле: человек просто ищет удобный способ сделать работу быстрее. Сотрудник часто даже не осознаёт, что нарушил что-либо. Но по факту конфиденциальная информация покидает периметр компании и оказывается вне её контроля.
Признаки, которые выдают инсайдера
Полностью предотвратить инсайдерскую угрозу невозможно, но его можно поймать на раннем этапе, если уметь распознавать признаки.
Технические признаки:
- сотрудник скачивает или копирует объём данных, который явно не нужен ему для текущих задач;
- заходит в систему в нетипичное время (ночью, в выходные, в отпуске);
- обращается к файлам и базам за пределами своей зоны ответственности;
- массово пересылает документы на внешние почтовые адреса или в личные облачные хранилища;
- пытается получить доступ к системам после того, как уведомил об увольнении, или уже после ухода из компании.
Поведенческие сигналы заметить проще руководителю, чем системе мониторинга:
- подчёркнутое недовольство — открытые разговоры о несправедливости, обиде на отсутствие повышения или премии;
- конфликт — с руководством или коллегами;
- резкая смена поведения — любопытство и вопросы о процессах и данных вне своей зоны ответственности;
- увольнение — наращивание активности работы с данными у сотрудника, который явно готовится уйти из компании.
Ни один из этих признаков сам по себе не доказывает злого умысла: сотрудник может просто засидеться допоздна из-за дедлайна или расстроиться из-за премии без всякого намерения навредить. Но это то самое окно, в которое стоит смотреть внимательнее, особенно, если совпадают и поведенческие, и технические сигналы.
Как выстроить защиту от утечек изнутри компании

Базовый набор мер защиты складывается из нескольких элементов, и работают они только вместе:
- Разграничение прав доступа по принципу минимальной достаточности — сотрудник видит только то, что нужно для его задач, а не всю систему целиком.
- Регулярный пересмотр этих прав — особенно важно вовремя отзывать доступ при увольнении или смене должности: именно в момент перехода риск утечки изнутри компании резко растёт.
- Обучение сотрудников — понятные правила: что можно пересылать, куда, через какие каналы.
- Мониторинг активности — технические средства, которые фиксируют отклонения от обычного поведения пользователей. Обычно это DLP-системы, которые отслеживают движение данных и блокируют их утечку по известным каналам; SIEM, который собирает и анализирует события безопасности со всей инфраструктуры; UEBA для выявления аномального поведения конкретных пользователей на фоне их обычных паттернов работы.
Для небольшой компании это может быть простой регламент и ручной контроль доступа. Для среднего и крупного бизнеса — уже системный процесс с выделенным ответственным и регулярным аудитом прав.
Если такого процесса пока нет, начать логичнее не с покупки инструментов, а с обследования. Речь не сразу о полном аудите, потому что есть более лёгкий и дешёвый первый шаг — обследование ИТ. Мы в Aiston, например, проводим такое обследование, чтобы у бизнеса появилось понимание, как выстраивать безопасность и какие инструменты нужны именно вам.
Типичные ошибки в стратегии защиты от внутренних утечек
Самая главная ошибка — это полагание только на систему. DLP, SIEM, UEBA — каждая хорошо решает свою узкую задачу: отслеживает движение данных, собирает события безопасности, ловит аномальное поведение пользователей. Но система фиксирует симптом, а не устраняет причину, и если ей не заниматься системно, разрыв всё равно остаётся.
Эта ошибка — частный случай более общей проблемы: без управляемости ИТ ни один инструмент не будет работать эффективно. Если права доступа не пересматриваются, доступ не отзывается вовремя, а правила безопасности существуют только ради формальности, — не поможет ни одна система, сколько бы она ни стоила. За всем этим должны стоять процессы и конкретный ответственный.
Об управляемости ИТ читайте в отдельном материале.
Что делать, если утечка уже произошла
Если инцидент случился, важна скорость и порядок действий:
- Зафиксировать масштаб — что именно утекло, к каким системам и данным был доступ у причастного сотрудника, когда это произошло.
- Немедленно отозвать все доступы, которые могли использоваться, не дожидаясь завершения разбирательства.
- Оценить необходимость уведомления — пострадавших клиентов или регулятора, если утекли персональные данные.
- Разобрать инцидент — что позволило ему произойти: избыточные права, отсутствие мониторинга, пробел в регламенте увольнения.
Если инцидент оказался умышленным (сотрудник намеренно ворует данные), то задача не только закрыть конкретную дыру, но и разобраться, почему у одного человека вообще была возможность нанести такой ущерб незамеченным. Если инцидент уже случился и непонятно, с чего начинать, стоит обратиться к специалистам — при выборе смотрите на скорость реагирования и на реальный опыт. Наш, например, можно почитать в разделе с кейсами.
Если инцидент оказался неумышленным, то не стоит останавливаться на поиске виноватого. Ошибка обычно указывает на проблему в самом процессе, и здесь стоит провести обследование (внешнее или внутреннее), чтобы понять причину этой проблемы и принять меры.