Это связано с экономической нестабильностью и текучестью кадров в ИТ-секторе. Одновременно ФСТЭК России ввела новую методику оценки защищенности информационных систем через коэффициент КЗИ, который требует пересмотра политик контроля доступа в организациях.
Профиль инсайдера 2026:
-
Мотивация — экономическая (продажа конфиденциальных данных за деньги), личная (месть), политическая (утечка санкционных данных)
-
Средства — скопировать данные на личное устройство, утечка через облачные сервисы, продажа доступов в darknet
-
Время — часто происходит при увольнении или в период нестабильности в компании
Что изменилось с введением методики ФСТЭК:
Новая методика КЗИ требует от организаций оценки защищенности по четырем ключевым направлениям, включая контроль над правами доступа. Это означает:
-
Периодическое переобучение сотрудников о политике информационной безопасности
-
Мониторинг действий привилегированных пользователей (PAM) с логированием всех операций
-
Ограничение прав по принципу наименьших привилегий — сотрудник должен иметь доступ только к данным, необходимым для его работы
-
Проверка истории увольняющихся сотрудников на предмет несанкционированного скопирования данных
-
Кадровые проверки для выявления потенциально недобросовестных кандидатов
Технологические решения:
-
DLP (Data Loss Prevention) — системы, блокирующие попытки скопировать конфиденциальные данные на внешние устройства
-
EDR (Endpoint Detection and Response) — мониторинг процессов на рабочих станциях и серверах
-
PAM (Privileged Access Management) — централизованное управление доступом администраторов с полным логированием
-
Behavioral Analytics — ИИ-системы для выявления аномальной активности сотрудников (например, скачивание больших объемов данных перед увольнением)
Кейс из практики:
По данным исследователей, в 2025 году компании обнаружили инсайдерские инциденты в среднем через 40–60 дней после того, как произошла утечка. Это означает, что компрометированные данные уже успели быть проданы, скопированы или опубликованы. Организациям нужно переходить на непрерывный мониторинг, а не на реактивные проверки после факта.