Типовые сценарии угроз

Кейсы и угрозы — как утекают данные и как это выявить

8 обобщённых сценариев из практики ИБ-аутсорсинга: ситуация, как её выявила система и какой результат. Разбираем, какие модули закрывают каждый тип угрозы.

Оценить свой риск →

Партнёр SearchInform · Лицензия ФСБ № 0103461 · Работаем по 152-ФЗ · Перезвоним в рабочее время

«Это не про меня»

Истории, которые начинались с этой фразы

Так чаще всего и звучит — пока система не показывает, что происходило на самом деле. Рассказы от первого лица руководителя; детали изменены.

Д Директор, оптовая торговля

«Я думал, у нас такого не бывает, пока менеджер за неделю до увольнения не слил всю базу клиентов на флешку. Раньше мы бы даже не узнали».

✓ Контроль USB поймал копирование — база осталась в компании.

Ф Владелец, производство

«Был уверен, что закупки в порядке. Оказалось, снабженец годами вёл сделки через свои фирмы-боковики и переплачивал из нашего кармана».

✓ Поиск по смыслу в переписке + FileAuditor — схема вскрыта.

Г Главбух, услуги

«Сотрудник уходил спокойно, без конфликтов. А потом мы увидели, что перед уходом он удалил рабочие папки с документами — будто и не было».

✓ Теневые копии FileAuditor — файлы восстановлены за минуты.

67% инцидентов — случайные: ошибки и незнание сотрудников. Средний ущерб от одной утечки оценивают примерно в 11,5 млн ₽.

8 типовых кейсов

Ситуация → как выявил → результат

Обобщённые сценарии. Имена, отрасли и детали изменены — это типовые ситуации, а не описания конкретных клиентов.

Увольнение с базой

Слив базы перед увольнением

Сотрудник массово копировал договоры и контакты на флешку за неделю до ухода.

✓ DeviceController + AlertCenter — заблокировано

Откаты

Откаты через фирмы-боковики

Закупщик проводил сделки через подконтрольные компании по завышенным ценам.

✓ Контроль почты и мессенджеров + поиск по смыслу + FileAuditor — схема вскрыта

Личная почта

Утечка через личную почту

Конфиденциальный документ пытались переслать в обход корпоративной почты.

✓ MailController + цифровые отпечатки — перехвачено

Фото экрана

Фото чертежа в мессенджер

Сотрудник сфотографировал конструкторскую документацию прямо с экрана.

✓ MonitorController + IMController + OCR — зафиксировано

Чужая учётка

Вход под чужой учётной записью

Действия в системе выполнялись под учёткой другого сотрудника, чтобы скрыть следы.

✓ SIEM, правило «одна учётка на нескольких ПК» — найден реальный нарушитель

Саботаж

Удаление рабочих файлов

Перед конфликтным уходом сотрудник массово удалял важные документы.

✓ FileAuditor, теневые копии — данные восстановлены

Облако

Кража исходников в облако

Попытка выгрузить исходный код и документацию во внешнее облачное хранилище.

✓ CloudController + HTTPController — остановлено

Тихий инсайдер

Сотрудник в группе риска

Поведенческие признаки указывали на готовящийся слив информации.

✓ ProfileCenter, группа риска — предотвращено на подготовке

Все кейсы — типовые сценарии угроз, приведены для иллюстрации возможностей систем. Не являются описанием конкретных заказчиков.

Статистика угроз

Цифры боли: почему это касается всех

российских компаний столкнулись с утечками по вине сотрудников в 2024

SearchInform, опрос 1000+ ИБ-спецов

инцидентов — случайные: ошибки и незнание

anti-malware.ru

компаний МСБ пережили 6+ инцидентов за год

ict.moscow

средний ущерб от одной утечки (оценочно)

оценка рынка ИБ

Кто чаще виновник

Рядовые сотрудники (в Москве — 73%), линейные руководители 27%, руководители отделов 22%, подрядчики 15%, контрагенты 14%, топ-менеджмент 10%.

Что чаще утекает

Данные о клиентах и сделках — 47%, персональные данные — 41%, финансовая документация — 35%.

Последствия

Каждая вторая компания Москвы увольняла сотрудников после ИБ-инцидентов. Дефицит ИБ-кадров — у ~74% компаний.

Чем закрываем

Под каждый сценарий — свой инструмент

DLP КИБ

Слив через почту, мессенджеры, USB, печать, облака, фото экрана.

Подробнее →

FileAuditor

Саботаж файлов, избыточные права доступа, схемы с документами.

Подробнее →

SIEM

Вход под чужой учёткой, аномалии в инфраструктуре, корреляция событий.

Подробнее →

Вопросы и ответы

Частые вопросы об угрозах и утечках

Что такое система предотвращения утечек данных?

Система предотвращения утечек данных (DLP) — это ПО, которое контролирует все каналы передачи информации и блокирует выход защищённых данных наружу. Она ловит слив базы клиентов, пересылку договоров на личную почту, копирование на флешку и фото документа. Мы ведём такую DLP-систему на аутсорсинге.

Как понять, что в компании идёт утечка?

Тревожные сигналы: рост пересылок на личную почту перед увольнениями, массовое копирование на USB, обращения клиентов от «новых» поставщиков по вашим ценам, утечка прайсов конкурентам. Точно покажет DLP-система — она фиксирует факт и канал. Скачайте чек-лист «10 признаков утечки».

Кто чаще всего виноват в утечках?

По данным опросов, утечки в 2024 году были у 48% российских компаний по вине сотрудников, и около 67% инцидентов — случайные: ошибки и незнание. Чаще утекают клиентские базы и сделки (47%), персональные данные (41%) и финансовая документация (35%).

Можно ли вычислить мошенничество и откаты?

Да. DLP-система с поиском по смыслу анализирует переписку и документы, а FileAuditor — операции с файлами. Так вскрываются откаты, сговоры, фирмы-боковики и саботаж: на ключевые сценарии у нас есть готовые политики и доказательная база для расследования.

Под вашу специфику

Получите разбор для своей отрасли

Покажем, какие угрозы характерны именно для вашей сферы и как мы их закрываем. Без обязательств.

Сначала оценить риск →