Проблема: Утечка данных, саботаж или компрометация инфраструктуры действиями сотрудников, подрядчиков или партнеров с легитимным доступом. Доказано, что 60–70% инцидентов вызваны инсайдерами (Verizon DBIR). Стоимость одной утечки для среднего бизнеса РФ — от 5 млн руб. (штрафы, репутация, простой, расследование).

Причины:
1. Ограниченность периметровой защиты (FW, NGFW, антивирус): Не видят шифрованный трафик (HTTPS, VPN), передачу данных на личные облака (Яндекс.Диск, Google Drive) или через мессенджеры (Telegram, WhatsApp).
2. Отсутствие профилирования поведения (UEBA): Невозможно отличить случайную ошибку от целевого эксфильтратора. SIEM без UEBA генерирует >10 000 ложных срабатываний в день.
3. Недостаток контроля привилегированных учеток (PAM): 80% утечек происходят через компрометацию админских прав. Внутренний злоумышленник с правами DBadmin удаляет базу или выгружает биллинг бесконтрольно.
4. Юридическая несостоятельность: Отсутствие детекции и цепочки хранения логов (Chain of Custody) делает невозможным привлечение сотрудника к ответственности по ст. 272, 273, 183 УК РФ.

Решение:
Внедрение системы класса DLP + UBA + PAM (например, Solar Dozor, InfoWatch Traffic Monitor, SearchInform, или комбинация Wazuh + Zeek + Velociraptor для Open Source в нерегулируемых сегментах).

Блокировка каналов утечки (DLP):
Контроль копирования на USB, отправки на облака, печати, буфера обмена.
Принудительное шифрование данных на всех носителях (BitLocker + политики).
Анализ трафика HTTPS/TLS без расшифровки (метаданные, размер, частота) — обязательная функция лицензионных DLP.
Выявление аномалий (UBA):
Настройка правил: «Копирование >100 файлов за час из бухгалтерии на внешний SSD» или «логин из офиса и параллельная сессия с IP Германии».
Пример правила для Zeek (JSON):
json
{

      "filter": "src_ip == 192.168.1.10 && dst_port == 443 && orig_bytes > 50000000",

      "action": "alert",

      "threshold": "3 counts in 60 min"

    }

Управление привилегиями (PAM):
Ротация паролей администраторов каждые 24 часа.
Запись сессий RDP/SSH с последующим плеером для форензики.
Изоляция сессии: утилита `tmux` + `pam_tty_audit` для контроля ввода команд.
Правовое обоснование сметы:
Снижение риска штрафа по ФЗ-152 до 10% (за счет технологического контроля обработки ПДн).
Включить в ROI: сокращение времени расследования инцидента с 30 до 1 часа (средняя ставка forensicator’а 15 000 руб./час).
* Обязательно заложить бюджет на лицензию + обучение группы ИБ. При отказе — подписать внутренний акт об осознанном риске.