Идеальная модель инсайдерской угрозы формируется при совпадении трех ключевых факторов: доступ к критически важной информации, отсутствие э��фективного контроля за её использованием и личная заинтересованность сотрудника. История, которой поделился Виталий Петросян, эксперт группы анализа и методологии защиты данных ГК «Солар», – это наглядная иллюстрация такого «идеального шторма» в одной из фармацевтических компаний. Кейс актуален для бизнеса любой отрасли и любого масштаба.
Здесь вы найдете не просто отчёт об инциденте, а детальный разбор того, как уязвимости в процессах (от найма до контроля) превращают бизнес в лёгкую добычу для внутренних нарушителей. Главный вывод по итогам этого расследования касается в первую очередь не технологий, а корпоративной культуры управления рисками.
В юридической практике понятия «инсайдерская информация» и «инсайдер» обычно понимаются гораздо шире, чем это определено в Федеральном законе от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации». Они относятся к компаниям любых форм собственности и отраслей.
В современной экономике «инсайдерская информация» – это любая точная и конкретная информация, которая не была распространена или вовсе не подлежит распространению (например, коммерческая или банковская тайна, персональные данные клиента и др). «Инсайдер» – физическое лицо, имеющее доступ к инсайдерской информации на основании трудовых и (или) гражданско-правовых договоров.
Экономический успех любой компании во многом зависит от того, сможет ли она сохранить конфиденциальность инсайдерской информации. В 2023 году средний ущерб от одной утечки информации для организаций составляет 5,5 млн рублей. Эта оценка включает прямые финансовые издержки и не учитывает потенциальные репутационные потери, а также штрафные санкции со стороны регуляторов в том случае, когда оборот защищаемой информации законодательно урегулирован. С 30 мая 2025 года только размер оборотного штрафа для юридических лиц составляет от 3 млн рублей за первое нарушение без смягчающих оснований и не менее 20 млн рублей (или 1–3% от выручки компании за предшествующий календарный год) за повторную утечку.
Защита информации становится для бизнеса настоящим вызовом. Объём конфиденциальных и чувствительных данных растёт, а их утечка наносит существенный удар по финансовым показателям и репутации.
Рассмотрим в качестве примера случай в одной фармацевтической компании. Пример характерен для большинства организаций, которые занимаются оптовыми продажами.
Специалисты по информационной безопасности использовали решение Solar Dozor со встроенным модулем поведенческой аналитики — UBA (User behavior analytics) для мониторинга и контроля за утечками корпоративных и чувствительных данных на рабочих станциях сотрудников, а также для профилактики корпоративного мошенничества. В результате им удалось выявить незначительные признаки аномального поведения нескольких работников организации.
Анализ паттерна «Отсутствующие» в системе UBA показал подозрительное отсутствие внешней почтовой активности у менеджеров по продажам, что противоречило их должностным обязанностям. Служба безопасности выявила данную аномалию только среди нескольких наиболее опытных менеджеров, которые долго работали в компании. Нетипичное поведение отчетливо выделялось на фоне коллег, занимающих аналогичные должности.
Изначально данное отклонение можно было интерпретировать как применение более опытными менеджерами прогрессивных методов продаж. Однако углубленный анализ поведения пользователей на рабочей станции выявил признаки системных нарушений, реальный масштаб которых предстояло оценить.
Служба безопасности фармацевтической компании установила, что доступ к информации, составляющей коммерческую тайну, получали все менеджеры по продажам, а не узкий круг лиц. Чувствительные данные хранились в нескольких объемных Excel-файлах и включали:
· складские остатки и графики поставок;
· внутренние цены и запланированные изменения к ним;
· данные по дефицитным товарам, импортозамещению и параллельному импорту;
· анонсы акций и маркетинговых мероприятий;
· планы по списанию просроченных товаров и предполагаемые скидки на товары с оканчивающимся сроком годности.
Проверка нетипичного поведения группы менеджеров по продажам показала, что они использовали уязвимости бизнес-процессов компании в личных интересах. Инсайдеры сконцентрировались не на поиске новых заказчиков, а на взаимодействии со старыми контрагентами. Работники передавали таким «проверенным» клиентам чувствительные данные, которые потом применялись в закупочных процедурах. Таким образом, контрагенты получали возможность вытеснить с рынка конкурентов и других партнёров фармацевтической компании-поставщика, а также увеличить собственную прибыль.
ИБ-специалисты проанализировали график «Динамика внешней активности», чтобы выявить несанкционированную группу менеджеров. Анализ показал устойчивую тенденцию к снижению или полному отсутствию коммуникаций сотрудников с новыми контактами.
Схема долго оставалась в «тени», так как менеджеры по продажам изначально были исключены из-под мониторинга DLP-системы из-за множества ложных срабатываний. Разбор сотен подобных событий требовал значительных ресурсов от службы безопасности.
Кроме того, стандартная функциональность продукта не позволяла обнаружить более специфические и нестандартные кейсы поведения сотрудников. Поэтому служба безопасности дополнительно внедрила модуль поведенческой аналитики UBA в DLP-систему. Таким образом, специалистам по ИБ удалось выявить группу инсайдеров в отделе продаж.
Расследование показало, что длительное время сотрудники регулярно пересылали с корпоративной на личную почту инсайдерскую информацию и передавали ее выделенному пулу заказчиков. Далее эти заказчики маскировали полученные данные мелкими намеренными «ошибками» в закупках. В результате фармацевтическая компания не могла ранее распознать отлаженную противоправную схему мошенничества.
Масштаб компании (оборот, штат, объёмы коммуникаций) осложнял ситуацию с утечкой инсайдерской информации. Однако главная проблема заключалась в неправильно выстроенных бизнес-процессах: служба безопасности не получала доступа к самой конфиденциальной информации. Таким образом, чувствительные данные не были защищены.
Кроме того, конфиденциальная информация поступала менеджерам через рассылки со специально настроенных внутренних корпоративных систем. С точки зрения бизнес-практик, эти сервисы создавались для достижения общих целей, что изначально снижало критичность их восприятия как канала потенциальных утечек.
После проведения негласного расследования были выявлены менеджеры-инсайдеры, которые считались ценными сотрудниками. Они регулярно выполняли поставленные KPI и цели. Но при этом службе безопасности не удалось подтвердить прямых доказательств получения менеджерами денежного вознаграждения от контрагентов.
Помимо этого, фармацевтическая компания нанимала этих сотрудников-нарушителей по рекомендациям друг друга. Вследствие чего, при попытке привлечь к ответственности инсайдеры не признавали факт мошенничества. В результате примерная оценка ущерба по анализу архивов переписки составила для бизнеса десятки миллионов рублей.
Ключевые уроки и рекомендации по итогам инцидента:
· Чтобы эффективно контролировать оборот инсайдерской информации, нужно понимать, что ищем, разбираться в бизнес-процессах хотя бы поверхностно и использовать дополнительные аналитические инструменты (UBA);
· Чем выше должность сотрудника, тем выше вероятность, что он получает доступ к конфиденциальной информации. Поэтому стоит периодически проводить аудит прав доступа сотрудника, контактов, методов работы и практик, чтобы исключить риски утечек данных случайно или в результате действий инсайдеров.
В результате расследования были устранены ключевые факторы риска: уязвимый бизнес-процесс и группа сотрудников-нарушителей. Это не только обезопасило компанию, но и привело к пересмотру бизнес-практик для более эффективной работы персонала и всей организации в целом.
