Скрытая угроза: как инсайдеры обходятся компаниям в $19,5 млн

Повседневная деятельность сотрудников в корпоративных системах обходится организациям в среднем в 19,5 миллионов долларов в год. Эта цифра взята из Глобального отчета о стоимости инсайдерских рисков за 2026 год, подготовленного Институтом Понимон на основе данных 354 организаций, столкнувшихся с одним или несколькими существенными инцидентами, связанными с инсайдерами, за прошедший год.

Небрежные или ошибающиеся инсайдеры формируют наибольшую долю финансовых потерь. Такие инциденты приводят к ежегодным затратам в 10,3 миллиона долларов на организацию, со средней стоимостью 747 107 долларов за инцидент и 13,8 инцидентами на организацию каждый год. Злонамеренные инсайдеры обходятся в 4,7 миллиона долларов ежегодно, а инциденты с кражей учетных данных добавляют еще 4,5 миллиона.

Сдерживание остается самой дорогой фазой жизненного цикла инцидента. Средняя стоимость сдерживания составляет 247 587 долларов за инцидент. Организации тратят в среднем 67 дней на локализацию события, связанного с инсайдером. Инциденты, решенные менее чем за 30 дней, имеют ежегодные затраты в 14,2 миллиона долларов. Если сдерживание длится более 90 дней, ежегодные затраты достигают 21,9 миллиона долларов.

Пересечение небрежности и использования ИИ

Халатность сотрудников продолжает лидировать по частоте инцидентов, и ее финансовое влияние растет из года в год. Ежегодные затраты, связанные с небрежными или ошибающимися инсайдерами, выросли с 8,8 миллионов долларов в 2024 году до 10,3 миллионов в 2025.

Генеративный ИИ изменил способы доступа сотрудников к информации и ее обмена. Большинство организаций отмечают изменения в поведении персонала, связанные с использованием ИИ, однако лишь небольшая часть формально интегрировала генеративный ИИ в бизнес-стратегию. Широко распространена обеспокоенность тем, что несанкционированный ИИ создает незаметные каналы утечки данных, и лишь ограниченное число организаций включило управление ИИ в программы контроля инсайдерских рисков.

Расследования выявляют повторяющиеся паттерны, связанные с инструментами ИИ. Сотрудники загружают внутренние документы, юридические материалы, исходный код, архитектурные схемы и стратегические планы в публичные ИИ-платформы, такие как ChatGPT, Claude, Gemini, Perplexity и Grok. ИИ-ассистенты для встреч создают расшифровки и резюме, содержащие конфиденциальные внутренние обсуждения и персональные данные. ИИ-браузеры и агенты получают доступ к корпоративным системам и выполняют задачи, обходя традиционные средства контроля журналирования.

“Чтобы снизить риски скрытого ИИ, не подавляя продуктивность, компаниям следует перейти от модели «сначала блокировать» к подходу «аудит и обучение», — заявил Радж Ку, технический директор DTEX, в интервью Help Net Security. — Ключевую роль играют технологии, которые анализируют намерения, проверяют запросы и изучают шаблоны использования. Вместо полного запрета, своевременные подсказки в момент риска могут направлять сотрудников к более безопасным практикам.”

Ку связал эту модель с измеримыми результатами, отражёнными в эталонных данных.

“Такой подход сокращает время сдерживания инцидентов по вине сотрудников на 17 процентов — с 81 до 67 дней — и предотвращает как минимум семь серьёзных инцидентов в год, экономя 8,2 миллиона долларов на затратах, связанных с утечками, — пояснил он. — Обеспечивая прозрачность и обучение, организации могут поддерживать работу коллектива, одновременно защищая конфиденциальную информацию.”

Во многих компаниях сохраняется ограниченная видимость активности ИИ-агентов, что увеличивает неопределённость в понимании того, как эти инструменты взаимодействуют с корпоративными данными.

Инвестиции и ощутимая экономия

Наличие специальных программ управления внутренними рисками коррелирует с меньшим числом инцидентов и снижением финансовых потерь. Шестьдесят три процента организаций внедрили формальную программу управления рисками со стороны сотрудников. Благодаря таким программам компании предотвращают в среднем семь внутренних инцидентов ежегодно, что позволяет избежать примерно 8,2 миллиона долларов убытков от потенциальных нарушений.

Расходы на управление внутренними рисками возросли за последние два года. В 2025 году организации в среднем выделяют 19 процентов ИТ-бюджета безопасности на эти цели, по сравнению с 8,2 процента в 2023 году. Многие компании увеличили соответствующие бюджеты в прошлом году, и большинство ожидает дальнейшего роста финансирования в 2026 году.

Наибольшее сокращение затрат обеспечивают технологии управления идентификацией и мониторинга поведения. Управление привилегированным доступом даёт среднюю экономию в 6,1 миллиона долларов. Аналитика поведения пользователей позволяет сэкономить 5,1 миллиона долларов. Сорок два процента организаций используют ИИ для выявления или предотвращения внутренних рисков, а сокращение ложных срабатываний входит в число наиболее часто упоминаемых преимуществ.

Время на локализацию инцидентов сократилось параллельно с ростом инвестиций. Средний срок сдерживания внутреннего инцидента уменьшился с 86 дней в 2023 году до 67 дней в 2025 году.

ИИ-агенты расширяют границы внутренних рисков

Искусственные интеллектуальные агенты функционируют внутри корпоративных рабочих процессов, как между бизнес-подразделениями, так и внутри команд безопасности. Многие компании считают агентный ИИ важным инструментом для раннего выявления внутренних угроз, а опасения по поводу злонамеренного использования, повышающего риск утечки данных, широко распространены. Тем не менее, лишь небольшая доля организаций приравнивает ИИ-агентов к человеческим инсайдерам, что создает пробелы в управлении и мониторинге таких систем.

Ку заявил, что программы по управлению внутренними рисками должны рассматривать ИИ-агентов как операционные идентичности с четко определенными правилами контроля доступа.

«Для классификации рисков, создаваемых ИИ-агентами, организации должны воспринимать их как динамичные, нечеловеческие идентичности, управляемые функциональным контролем доступа, — сказал он. — Основой этого подхода является концепция "смертельного трифекта", которая выделяет агентов с наивысшим уровнем риска, обладающих пересекающимися возможностями в трех областях: доступ к конфиденциальным данным, способность к внешней коммуникации и взаимодействие с непроверенным контентом».

По его словам, эффективный надзор зависит от более строгого контроля привилегий и улучшенного протоколирования.

«Смягчение этих рисков требует многоуровневого контроля доступа, различающего разрешения только на чтение и на запись, — сказал Ку. — Журналы логирования рассуждений закрывают пробел в аудите, фиксируя намерения, стоящие за автономными действиями. Микропривилегии и обязательное одобрение человеком для решений с высокими ставками являются необходимыми защитными механизмами».

Затраты от внутренних угроз различаются в зависимости от сектора. Организации в сфере здравоохранения и фармацевтики сообщают о среднегодовых убытках в 28,8 миллиона долларов. Компании технологического и программного сектора — 24,2 миллиона долларов. Североамериканские организации сообщают о 24,0 миллиона долларов, что выше среднемирового показателя.

Скачать: Красный отчет Picus Security за 2026 год