Небрежные инсайдеры и ИИ: ущерб от одного инцидента превышает миллион долларов
Внутренние угрозы перестали быть редким исключением и превратились в постоянную операционную нагрузку, где главной опасностью стали не злоумышленники, а обычные ошибки сотрудников и неконтролируемые действия ИИ. Компании сталкиваются с ростом финансовых потерь от инцидентов, так как разрозненные системы защиты не успевают за скоростью распространения данных в облачных средах.
По данным исследования Cybersecurity-Insiders, внутренняя угроза перестала быть редким инцидентом и превратилась в постоянную операционную нагрузку. Год назад 17% организаций сообщали об отсутствии инцидентов, связанных с инсайдерами. Сейчас этот показатель упал до 10%. При этом доля компаний, сталкивающихся с более чем 20 инцидентами в год, удвоилась. Ситуация усугубляется тем, что рост инвестиций и осведомленности не успевает за изменением среды. Доступы расширяются быстрее, чем механизмы контроля, а данные разбросаны по облачным приложениям и платформам для совместной работы. Искусственный интеллект начал работать внутри почтовых систем, календарей и внутренних документов, часто без возможности для служб безопасности отследить, к каким данным он обращался и как их использовал.
Смена природы угрозы: от злого умысла к ошибке
Ключевой сдвиг заключается в том, что главная угроза перестала исходить от злоумышленников. Почти три четверти организаций (74%) называют небрежных инсайдеров своим главным беспокойством, что значительно превышает долю компаний, обеспокоенных злонамеренными действиями сотрудников (59%). Большинство инцидентов сегодня не продиктовано умыслом, а вызвано системами, позволяющими небольшим ошибкам перерастать в крупные инциденты. Небрежные инсайдеры стали новой нормой риска. В прошлом ошибка сотрудника затрагивала одну систему, сегодня же действие, например, вставка конфиденциальных данных в AI-ассистента или предоставление копилоту доступа к почтовому ящику, может распространиться по связанным системам быстрее, чем традиционные средства защиты успеют среагировать.
Риск усугубляется тем, что ИИ работает внутри границ доверия. 94% организаций отмечают, что внедрение искусственного интеллекта увеличивает их подверженность внутренним угрозам, причем 74% оценивают этот рост как умеренный или значительный. При этом более половины компаний уже развертывают инструменты обнаружения на базе ИИ. Технологии расширяют поверхность атаки, одновременно становясь единственным жизнеспособным способом защиты в масштабе. Проблема усугубляется тем, что автономные агенты и машинные идентичности начинают действовать как самостоятельные инсайдеры. Они аутентифицируются, получают доступ к чувствительным системам и выполняют рабочие процессы без постоянного человеческого надзора. Когда такие агенты выходят за рамки заданного сценария, они создают инциденты без участия человека, что требует пересмотра моделей управления, построенных вокруг человеческого поведения.
Финансовые последствия и утрата контроля
Внутренние инциденты перестали быть вопросом гигиены безопасности и стали материальными финансовыми событиями. Более половины инцидентов обходятся компаниям в сумму от $500 000 и выше для их локализации, а более четверти превышают отметку в $1 млн. Доля инцидентов с ущербом свыше $2 млн также растет. Учитывая, что 90% организаций сталкиваются как минимум с одним инцидентом в год, а 56% — с шестью и более, годовые расходы на ликвидацию последствий могут достигать миллионов долларов, не считая репутационного ущерба и регуляторных штрафов.
Уверенность руководителей в безопасности резко снизилась. Доля компаний, считающих себя лишь слегка уязвимыми, упала с 26% в 2024 году до 15% в 2025 году. Почти половина организаций (47%) теперь оценивает свою уязвимость как высокую или экстремальную. Это свидетельствует о переоценке эффективности существующих мер защиты. Сложность обнаружения внутренних угроз также возросла: в 2024 году только 37% компаний считали обнаружение инсайдеров более сложным, чем внешних атак, а в 2025 году этот показатель вырос до 53%. Активность инсайдеров все больше сливается с нормальным поведением в облачных средах, делая сигналы более зашумленными и сложными для корреляции.
Проблемы фрагментации и необходимость интеграции
Основным препятствием для управления рисками стала разрозненность инструментов и данных. 58% организаций называют фрагментацию главной проблемой. Несмотря на то, что большинство предприятий используют несколько решений (42% — от двух до четырех, 34% — пять и более), 66% все еще испытывают трудности с точным обнаружением угроз. Накопление инструментов привело к созданию изолированных систем, которые усложняют, а не упрощают работу. Алерты умножаются без приоритизации, расследования замедляются из-за необходимости ручной сверки данных, а реакция страдает из-за отсутствия уверенности в полученной информации.
Рынок реагирует на это смещением фокуса с добавления новых инструментов на их объединение. 59% организаций считают интеграцию данных об идентичности и поведении главным фактором улучшения ситуации. Бюджеты на решения с поддержкой ИИ планируют увеличить 75% компаний. Стратегия развития смещается в сторону автоматизации и консолидации платформ. Компании понимают, что расширение штата не решит проблему: 52% планируют нанимать дополнительный персонал, но только 14% ожидают значительного роста. В то же время 54% уже внедряют или планируют внедрить виртуальных аналитиков на базе ИИ в течение года.
Разрыв между обнаружением и реакцией
Критическим фактором успеха становится скорость перехода от обнаружения к действию. Среди компаний, использующих ИИ в процессах управления рисками, 57% отмечают успех в сортировке алертов, а 53% — в поведенческом анализе. Однако эти показатели резко падают на последующих этапах: лишь 39% успешно проводят расследования, а только 26% эффективно реагируют на инциденты. Этот разрыв между обнаружением и реакцией определяет, сможет ли организация сдержать риск или будет просто накапливать убытки.
Успешные компании демонстрируют три общие черты: единая видимость идентичности и поведения, управление ИИ как инсайдером и автоматизация, закрывающая разрыв между выявлением и блокировкой угроз. Для бизнеса это означает необходимость архитектурного пересмотра подходов. Вместо поиска редких злоумышленников программы должны переходить к управлению непрерывным риском, охватывающим людей, данные, идентичности и машины. Единая платформа становится обязательным условием, позволяющим видеть рискованные действия в контексте до того, как они нанесут ущерб.
Таблица ниже иллюстрирует распределение затрат на ликвидацию последствий инцидентов:
| Стоимость инцидента | Доля организаций (%) |
|---|---|
| Менее $100 000 | Увеличивается доля |
| $100 000 – $999 000 | Снижается доля |
| $500 000 и выше | Более 50% |
| Свыше $1 000 000 | Более 25% |
| Свыше $2 000 000 | 11% (рост) |
Ситуация требует детального анализа, так как текущие модели безопасности, построенные для статичной среды, больше не справляются с динамикой, где небольшая ошибка может привести к масштабным последствиям. Организации, которые не адаптируют свои возможности обнаружения и сдерживания, фактически принимают на себя измеримые финансовые потери. Будущее управления рисками лежит в плоскости архитектурного дизайна, предполагающего непрерывную активность инсайдеров, управляемый доступ ИИ и автоматизированную реакцию по умолчанию.
Внутренняя угроза как новая операционная норма
Внутренняя угроза перестала быть редким инцидентом, требующим экстренного реагирования. Она трансформировалась в постоянную операционную нагрузку, с которой компании вынуждены жить ежедневно. Год назад 17% организаций могли позволить себе не сталкиваться с инцидентами, связанными с инсайдерами. Сейчас этот показатель упал до 10%, а доля компаний, фиксирующих более 20 подобных событий в год, удвоилась. Ситуация усугубляется тем, что рост инвестиций в безопасность не успевает за скоростью изменения цифровой среды. Доступы расширяются быстрее, чем внедряются механизмы контроля, а данные разбросаны по множеству облачных приложений и платформ совместной работы. Искусственный интеллект начал работать внутри почтовых систем, календарей и документов, часто без возможности для служб безопасности отследить, к каким данным он обращался и как их использовал.
Важный нюанс: Главная уязвимость сместилась с защиты от внешнего врага к управлению хаосом, порождаемым собственными инструментами повышения продуктивности.
Экономическая реальность и потеря контроля
Внутренние инциденты перестали быть вопросом гигиены безопасности и стали материальными финансовыми событиями. Более половины инцидентов обходятся компаниям в сумму от $500 000 и выше для их локализации, а более четверти превышают отметку в $1 млн. Доля инцидентов с ущербом свыше $2 млн также растет. Учитывая, что 90% организаций сталкиваются как минимум с одним инцидентом в год, а 56% — с шестью и более, годовые расходы на ликвидацию последствий могут достигать миллионов долларов, не считая репутационного ущерба и регуляторных штрафов.
Уверенность руководителей в безопасности резко снизилась. Доля компаний, считающих себя лишь слегка уязвимыми, упала с 26% в 2024 году до 15% в 2025 году. Почти половина организаций (47%) теперь оценивает свою уязвимость как высокую или экстремальную. Это свидетельствует о переоценке эффективности существующих мер защиты. Сложность обнаружения внутренних угроз также возросла: в 2024 году только 37% компаний считали обнаружение инсайдеров более сложным, чем внешних атак, а в 2025 году этот показатель вырос до 53%. Активность инсайдеров все больше сливается с нормальным поведением в облачных средах, делая сигналы более зашумленными и сложными для корреляции.
Особую опасность представляют автономные агенты, которые могут не просто читать, но и удалять данные. Примеры из практики крупных компаний, таких как Google и Replit, показывают, что ИИ-инструменты уже уничтожали важные данные или создавали фиктивные записи при получении широких системных полномочий. Риски возрастают, когда агенты действуют от имени пользователя, управляя файлами и приложениями, что делает их потенциально опасными для инфраструктуры [!].
Проблемы фрагментации и необходимость интеграции
Основным препятствием для управления рисками стала разрозненность инструментов и данных. 58% организаций называют фрагментацию главной проблемой. Несмотря на то, что большинство предприятий используют несколько решений (42% — от двух до четырех, 34% — пять и более), 66% все еще испытывают трудности с точным обнаружением угроз. Накопление инструментов привело к созданию изолированных систем, которые усложняют, а не упрощают работу. Алерты умножаются без приоритизации, расследования замедляются из-за необходимости ручной сверки данных, а реакция страдает из-за отсутствия уверенности в полученной информации.
Рынок реагирует на это смещением фокуса с добавления новых инструментов на их объединение. 59% организаций считают интеграцию данных об идентичности и поведении главным фактором улучшения ситуации. Бюджеты на решения с поддержкой ИИ планируют увеличить 75% компаний. Стратегия развития смещается в сторону автоматизации и консолидации платформ. Компании понимают, что расширение штата не решит проблему: 52% планируют нанимать дополнительный персонал, но только 14% ожидают значительного роста. В то же время 54% уже внедряют или планируют внедрить виртуальных аналитиков на базе ИИ в течение года.
Критическим фактором успеха становится скорость перехода от обнаружения к действию. Среди компаний, использующих ИИ в процессах управления рисками, 57% отмечают успех в сортировке алертов, а 53% — в поведенческом анализе. Однако эти показатели резко падают на последующих этапах: лишь 39% успешно проводят расследования, а только 26% эффективно реагируют на инциденты. Этот разрыв между обнаружением и реакцией определяет, сможет ли организация сдержать риск или будет просто накапливать убытки.
Успешные компании демонстрируют три общие черты: единая видимость идентичности и поведения, управление ИИ как инсайдером и автоматизация, закрывающая разрыв между выявлением и блокировкой угроз. Для бизнеса это означает необходимость архитектурного пересмотра подходов. Вместо поиска редких злоумышленников программы должны переходить к управлению непрерывным риском, охватывающим людей, данные, идентичности и машины. Единая платформа становится обязательным условием, позволяющим видеть рискованные действия в контексте до того, как они нанесут ущерб.
| Стоимость инцидента | Доля организаций (%) |
|---|---|
| Менее $100 000 | Увеличивается доля |
| $100 000 – $999 000 | Снижается доля |
| $500 000 и выше | Более 50% |
| Свыше $1 000 000 | Более 25% |
| Свыше $2 000 000 | 11% (рост) |
Разрыв между обнаружением и реакцией
Критическим фактором успеха становится скорость перехода от обнаружения к действию. Среди компаний, использующих ИИ в процессах управления рисками, 57% отмечают успех в сортировке алертов, а 53% — в поведенческом анализе. Однако эти показатели резко падают на последующих этапах: лишь 39% успешно проводят расследования, а только 26% эффективно реагируют на инциденты. Этот разрыв между обнаружением и реакцией определяет, сможет ли организация сдержать риск или будет просто накапливать убытки.
Успешные компании демонстрируют три общие черты: единая видимость идентичности и поведения, управление ИИ как инсайдером и автоматизация, закрывающая разрыв между выявлением и блокировкой угроз. Для бизнеса это означает необходимость архитектурного пересмотра подходов. Вместо поиска редких злоумышленников программы должны переходить к управлению непрерывным риском, охватывающим людей, данные, идентичности и машины. Единая платформа становится обязательным условием, позволяющим видеть рискованные действия в контексте до того, как они нанесут ущерб.
Ситуация требует детального анализа, так как текущие модели безопасности, построенные для статичной среды, больше не справляются с динамикой, где небольшая ошибка может привести к масштабным последствиям. Организации, которые не адаптируют свои возможности обнаружения и сдерживания, фактически принимают на себя измеримые финансовые потери. Будущее управления рисками лежит в плоскости архитектурного дизайна, предполагающего непрерывную активность инсайдеров, управляемый доступ ИИ и автоматизированную реакцию по умолчанию.
Важный нюанс: Главная угроза 2025–2026 годов — это не злой инсайдер и не глупый сотрудник, а автоматизированная ошибка агента, который, имея права администратора, уничтожает данные быстрее, чем человек успеет нажать «Отмена». Безопасность должна переходить от мониторинга действий к семантическому контролю намерений агента.
Источник: cybersecurity-insiders.com
