Ты мне доверяешь? Напрасно

Всё начинается с доверия. Ключи от офиса. Доступ к почте. «Скинь пароль — я зайду и быстро гляну». Кажется, что всё под контролем, все свои. Но вот в чём проблема: свои — это тоже люди. А люди делают глупости. Или хитрости. Или просто ошибаются.

Почему доверие — не защита
В бизнесе любят слово «доверие». Типа оно создаёт культуру. Командный дух, все дела. Но когда речь о безопасности — доверие ломает всё. Система, в которую верят вслепую, начинает течь не снаружи, а изнутри.
Вот простой пример. Бухгалтер с доступом к платежам, которому никто не проверяет действия. Почему? Ну он же 10 лет работает. Это и есть ошибка. Не важно, сколько лет работает человек. Важно — что он делает и кто это видит.

Когда фрод ходит в офис в тапочках
Есть красивая иллюзия: фрод — это где-то там. В тени интернета, с ноутом и VPN. Но фрод носит бейджик. Сидит в опенспейсе. Ходит на пятничные пиццы.
Он не хакер. Он — сотрудник, который понял, где не смотрят.
Например:

• менеджер оформляет фиктивные бонусы клиентам
• айтишник выносит CRM-базу «на всякий случай»
• кассир два года скручивает сдачу и скрывает это корректировками в 1С
• И всё это — потому что система настроена так: «мы доверяем». Или: «мы не успеваем проверять». Что, в общем, одно и то же.

Кто рискует больше всех
Чем больше у сотрудника доступов — тем выше цена ошибки. Или предательства.
Самый вкусный набор:

• бухгалтерия
• IT
• отдел продаж

внутренние аудиторы (да-да, бывают и такие кейсы)
Проблема не в людях. Проблема в подходе: «проверять — значит, не доверять». А нужно наоборот: «хотим доверять — значит, будем проверять».

Не все злоумышленники делают это специально
Фрод — это не всегда план. Иногда это: «ну я просто взял шаблон прошлогодней заявки». Или «мне коллега скинул доступ, а я не знал, что нельзя». Или «я ушёл из компании, а пароль остался рабочим ещё два месяца».
Так рождаются утечки, махинации, сливы и срывы. Причём руками тех, кто даже не хотел навредить.

Что говорит статистика (и здравый смысл)
По разным оценкам, до 60% внутренних инцидентов вообще не фиксируются. Их просто не видно. Или видно, но никто не знает, как реагировать. А когда всплывают — бывает поздно.
Смотри:

• 1 сотрудник может унести базу клиентов за 5 минут
• 1 бухгалтер может провести липовую платёжку за 2 клика
• 1 менеджер может испортить отношения с ключевым партнёром, просто перенеся почту на личную

Как это реально происходит
Один из кейсов: менеджер проекта регулярно создавал копии клиентской базы в Google Docs — «на всякий случай, вдруг VPN упадёт». Через пару месяцев он ушёл. Док удалять не стал. Новый работодатель? Конкурент. Сюрприз.
Другой случай: айтишник ушёл на удалёнку, оставив у себя дома полный доступ к внутренним системам. Просто потому что никто не отозвал токен.
Третий пример: сотрудник отдела снабжения подписывал «свои» документы за других, используя общий сертификат. Потому что было быстрее. Пока не подписал лишнего. Очень лишнего.

Что с этим делать
Вот прямой список. Без воды:

• Разделение прав. Не давай всем всё. Чем меньше доступ — тем меньше ущерб.
• Логи и мониторинг. Смотри, кто делает нестандартные действия. Не после, а в процессе.
• Аудит доступа. Регулярно. Не «раз в год», а по расписанию. Уволили — удалили. Перевели — пересмотрели.
• DLP и поведенческий анализ. Не для галочки. Настрой, чтобы было видно: кто слил, кто распечатал, кто странно активен.
• Обучение. Люди не обязаны знать, что нельзя сохранять пароли в заметки. Объясни. Честно и просто.
• Подставные точки (honeytokens). Создай файл «Зарплаты_2024» и посмотри, кто в него полез. Очень быстро поймёшь, кому скучно.

Финал? Он простой
Доверие — это не стена. Это иллюзия. Если не проверяешь, что происходит внутри — ты ничего не контролируешь.
Ты мне доверяешь? Напрасно.
Лучше проверь, чем пожалей. Иначе однажды в 9:00 у тебя будет кофе, а в 9:01 — уже не будет клиентов.