Никто не застрахован от саботажа IT-инфраструктуры. Любой сотрудник может даже по самому пустяковому поводу обидеться на руководство или коллег, а затем совершить настоящую диверсию: уничтожить чрезвычайно важную для компании информацию, разослать непристойные письма клиентам фирмы и т. п. Очевидно, что ущерб в этом случае может варьироваться от испорченного рабочего климата до прямых многомиллионных потерь.
Корпоративный саботаж становится все более злободневной темой. Сегодня высшим исполнительным лицам и специалистам по IT-безопасности необходимо знать, как выглядит, какими мотивами руководствуется и на что способен типичный саботажник. А для борьбы с диверсантами в белых воротничках начальство должно располагать целым арсеналом приемов. В противном случае последствия информационного саботажа станут неуправляемыми и эффективность всей организации будет поставлена под сомнение. Все эти вопросы как раз и являются объектом рассмотрения данной статьи.
Приведем четыре реальных примера информационного саботажа. Это типичные случаи, которые лучше всего иллюстрируют мотивы и средства действий корпоративных диверсантов.
Компания выяснила, что сотрудник достаточно хорошо разбирается в дизайне и программировании, и попросила его разработать корпоративный веб-сайт. Несколько месяцев спустя этому служащему был объявлен выговор за систематические прогулы, а президент компании сообщил ему, что руководство планирует отстранить его от работы. В тот же день обиженный сотрудник удаленно вошел в корпоративную сеть, стер некоторые данные, поменял текст и картинки на веб-сайте компании. Когда саботажника задержали правоохранительные органы, он объяснил свое поведение тем, что разозлился на работодателя, поскольку его отстранили.
Системный администратор преуспевающей компании, работающей в оборонной промышленности, рассердился на начальство, решив, что его недооценивают, в то время как вся корпоративная сеть построена и управляется только благодаря его (администратора) стараниям и усилиям. Служащий перенес программное обеспечение, поддерживающее промышленные процессы компании, на один сервер. Затем он запугал своего сослуживца и забрал единственную резервную копию этих программных продуктов. После того, как руководство уволило системного администратора за агрессивное и неподобающее отношение к коллегам, логическая бомба сдетонировала.
Обиженный сотрудник стер все данные на сервере, в результате чего компания понесла убытки в размере $10 млн, что привело к увольнению 80 служащих.
Разработчик приложений потерял свое место в компании, работающей в секторе информационных технологий, вследствие сокращения штатов. В отместку бывший служащий атаковал сеть фирмы как раз перед рождественскими праздниками. Спустя три недели после увольнения он удаленно вошел в корпоративную сеть, воспользовавшись учетной записью и реквизитами одного из своих бывших коллег, модифицировал данные на веб-сервере компании, изменил текст и вставил порнографические изображения. Вслед за тем рассерженный разработчик отправил всем клиентам компании электронные письма с предложением открыть корпоративный веб-сайт и убедиться, что он был взломан. В каждом сообщении содержались имя и пароль клиента для доступа к веб-сайту. Было начато расследование, но установить личность преступника не удалось. Спустя полтора месяца злоумышленник снова удаленно вошел в сеть и запустил программу-сценарий, которая изменила все сетевые пароли и 4 тыс. записей в базе данных цен. На этот раз саботажника удалось вычислить и поймать. Его приговорили к пяти месяцам тюрьмы и двум годам условно. Также наказание включало штраф в размере $48,6 тыс., которые он должен был выплатить своему прежнему работодателю.
Служащий муниципального самоуправления не был назначен на должность финансового директора. Это место отдали другому сотруднику. Чтобы отомстить, рассерженный чиновник удалил все файлы на своем компьютере и компьютерах сослуживцев за день до того, как новый финансовый директор должен был вступить в должность. Следствие доказало вину работника, но по соглашению с муниципалитетом в связи с тем, что многие файлы удалось восстановить, против злоумышленника не было возбуждено уголовное дело и ему позволили уволиться.
Что такое саботаж?
Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется корпоративным саботажем. Важность этого определения усиливается еще и тем, что саботаж — лишь часть внутренних угроз IT-безопасности, поэтому при дальнейшем рассмотрении следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.
Итак, корпоративный саботаж — это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.
Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.
Последствия корпоративных диверсий
Традиционно считается, что результатом корпоративного саботажа очень редко бывают финансовые потери. Однако последние исследования опровергают такую точку зрения (диаграмма 1).
Диаграмма 1. Соотношение наличия и отсутствия финансовых потерь вследствие корпоративного саботажа
Тем не менее суммарные финансовые потери индустрии вследствие саботажа на фоне ущерба от других внутренних и внешних угроз выглядят не очень большими (диаграмма 2). Однако интерпретация эти данных требует известной осторожности. Во-первых, саботаж относится к преступлениям латентным. Респонденты очень неохотно признаются, что в их компании была корпоративная диверсия, так как это почти всегда связано с ошибками и невнимательностью менеджмента организации. Во-вторых, саботаж действительно встречается намного реже, чем другие инциденты, поэтому суммарный ущерб получается небольшим.
Для оценки финансового ущерба вследствие саботажа воспользуемся результатами исследований CERT (диаграмма 3). Заметим, что чуть меньше половины всех респондентов, ставших жертвами саботажа, понесли «незначительный» урон — до $20 тыс. По сравнению со средним ущербом в результате утечки конфиденциальной информации ($255 тыс., по сведениям ФБР) это действительно немного. Однако наибольшую озабоченность экспертов вызывает именно та одна десятая часть, которая приходится на потери свыше $1 млн (9% — от $1 млн до $5 млн и 2% — более $10 млн). Это лишний раз указывает на некоторую относительность статистики ФБР, где суммарный ущерб за год оценен лишь в $341 тыс.
Если абстрагироваться от нематериальных факторов, опасность саботажа состоит именно в гигантских, многомиллионных убытках, которые может понести абсолютно любая компания, окажись в ее штате человек с неустойчивой психикой. В некоторых случаях это может представлять угрозу национальной безопасности (представьте саботажника на ядерной электростанции), но в мире бизнеса, помимо финансовых потерь, возникает еще целый ряд негативных последствий. Во-первых, потеря репутации (выше приводился пример прямого взаимодействия диверсанта с клиентами фирмы). Во-вторых, вред, нанесенный другим служащим предприятия (выше приводился случай, когда саботажник запугал своего коллегу). Исследования показывают, что негативные последствия для бывших коллег диверсанта встречаются довольно часто (диаграмма 4).
Диаграмма 4. Последствия саботажа для коллег диверсанта
Итак, саботаж может нанести огромный финансовый и моральный вред компании. Именно поэтому с ним необходимо бороться.
Портрет типичного саботажника
Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Правда, портрет корпоративного саботажника не включает таких характеристик, как семейный статус, возраст и расовая принадлежность. Другими словами, это может быть как женатый мужчина, так и холостой, как 17-летний юнец, так и уходящий на пенсию служащий. Не подтвердилось также популярное убеждение, что большинство саботажников — это люди, имеющие криминальную историю. Так, лишь в 30% исследованных случаев диверсант был хотя бы раз арестован.
Тем не менее можно проследить мотивы, которыми руководствуются саботажники (диаграмма 5). Как видно, все они носят эмоциональный характер. Более того, аналитики выяснили, что ни один диверсант не руководствовался мыслью о наживе.
Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (диаграмма 6). По сведениям аналитиков, в 92% случаев саботажу предшествует неприятный инцидент на работе или целая серия таких инцидентов. В 47% случаев — увольнение, в 20% — спор с нынешними или бывшими коллегами, 13% — отсутствие повышения.
Диаграмма 6. Какие события предшествуют саботажу
Другими словами, 85% всех внутренних диверсантов рассержены на кого-то, кого они ассоциируют с компанией. Так, в 57% случаев сослуживцы саботажника характеризовали его как чрезвычайно рассерженного и раздраженного человека.
Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.
Все-таки, несмотря на все эти сведения, более или менее различимая черта портрета типичного саботажника (помимо пола) — его профессия (диаграмма 7). Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями. На долю технически подкованных диверсантов приходится 86% инцидентов. Среди них 38% системных администраторов, 21% программистов, 14% инженеров, 14% специалистов по IT. Что же до саботажников, не работающих в технических департаментах, 10% работают среди прочего редакторами, менеджерами, аудиторами и т. д., а 3% саботажников приходится на сферу обслуживания, в частности, на общение с клиентами.
Диаграмма 7. Портрет типичного саботажника
Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента.
Что не так с ребятами из IT?
Итак, девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов. Причем если первый рассказчик не стал скрывать своего имени, то второй решил остаться неизвестным.
«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования. В нашей компании все копии шифровались в целях безопасности прямо во время создания и дешифровались в процессе восстановления. Другими словами, резервные данные в зашифрованном виде никому не нужны. Взлом системы копирования предполагает, естественно, извлечение ключей шифрования. Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», — Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», — Бен.
Деструктивная активность саботажников
Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам, например, по электронной почте. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% — коллеги, 21% — друзья, 14% — члены семьи, а еще 14% —сообщники.
Также удалось установить, что 62% корпоративных диверсантов продумывают свои действия заблаговременно. В 47% случаев они совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% — конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% — offline, 22% — обоих сразу.
Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. Таким образом, даже если уволить системного администратора и сразу же заблокировать его учетную запись, но забыть о его привилегии удаленного доступа и оставить прежним пароль root в системе, то рассерженный служащий сможет очень быстро отомстить начальству. В одном из таких инцидентов диверсанту удалось вывести из строя всю корпоративную сеть на 3 дня.
Таким образом, 57% саботажников имеют права администратора в системе, из них 85% на момент совершения диверсии лишились таких широких полномочий на доступ к корпоративной среде.
Что касается самой атаки, то 61% саботажников предпочитают простые и незамысловатые механизмы, к примеру, команды пользователя, обмен информацией, эксплуатацию физических уязвимостей безопасности. Оставшиеся 39% применяют более изощренные методы атаки: собственные программы или сценарии, автономные агенты и т. д. В 60% случаев злоумышленники компрометируют учетные записи, чтобы потом с их помощью провести атаку.
В 33% инцидентов это компрометация имени пользователя и пароля; в 20% — неавторизованное создание новой учетной записи. Подчеркнем, что в 92% случаев заметить подозрительную активность в данной сфере до момента совершения диверсии почти невозможно.
Как выявить диверсанта?
Предположим, что атака уже произошла. Следовательно, перед руководством среди прочего стоит вопрос о выявлении виновного. Практика показывает, что помочь в этом могут только журналы системных событий. Однако следует учитывать, что злоумышленник сделает все возможное и невозможное, чтобы скрыть свою личность, предстать кем-то другим или запутать следы. Во многих случаях диверсанта могут вычислить другие служащие, не имеющие с безопасностью IT-инфраструктуры ничего общего.
Если перевести эти данные на язык цифр, то получится, что 63% атак были замечены лишь потому, что в системе появились сильные отклонения. В 42% случаев система вышла из строя. При этом в 70% инцидентов злоумышленника удается вычислить по журналам системных событий, в 33% — по IP-адресу, в 28% — по телефонным записям, в 24% — по имени пользователя, в 13% — путем процедур аудита. Таким образом, журналы событий (диаграмма 8) являются наиболее эффективным средством. В тех случаях, когда используются журналы системных событий, чаще всего нужно исследовать журнал событий удаленного доступа (73%). За ним с большим отставанием следуют журнал доступа к файлам (37%), журнал изменения системных файлов (37%), журналы приложений и баз данных (30%), почтовые журналы (13%). В общем, в 31% случаев для идентификации злоумышленника используются сразу несколько журналов (диаграмма 9).
Но не все так просто. В 76% инцидентов диверсанты пытаются скрыть свою личность (31%), действия (12%) или одновременно и то и другое (33%). Повторим, что саботажники могут модифицировать или удалять журналы событий, создавать скрытые входы в систему и неавторизованные учетные записи, подделывать свой IP-адрес. При этом 71% саботажей совершается сотрудниками, не связанными с обеспечением IT-безопасности.
Профилактика — лучший метод защиты
По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа — профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удается исключить те 30% претендентов, которые имели криминальную историю.
Еще один чрезвычайно эффективный метод — регулярные тренинги или семинары, на которых до персонала доводится информация об угрозах IT-безопасности и саботаже как таковом. При таком подходе руководство делает ставку на тех сотрудников, которые взаимодействуют с саботажником в офисе, видят его нервозное поведение, получают угрозы в свой адрес и т. п. Все эти служащие должны знать, что о подобных инцидентах нельзя умалчивать. Напротив, о них следует тут же извещать уполномоченных лиц.
Следующий метод предполагает использование принципа минимальных привилегий и четкого разделения функций. Очевидно, что административных полномочий у обычных офисных служащих быть не должно. Также понятно, что сотрудник, отвечающий за резервные копии, не должен иметь возможности удалить данные в оригинальном источнике. Вдобавок в обязанности этого работника следует вменить информирование начальства в случае, если на резервные копии покусится какой-то другой служащий. Вообще, проблема защиты резервных копий может быть решена созданием их дубликатов. В сочетании с разделением ролей саботажнику будет практически невозможно удалить ценную информацию и избавиться от всех резервных копий. В связи с тем, что в компании, как правило, не так много по-настоящему критических данных, создание нескольких резервных копий представляется целесообразным.
Чрезвычайно важен момент эффективного управления паролями и учетными записями. Система IT-безопасности, разрешающая удаленный доступ уже уволенным сотрудникам, никуда не годится. Администраторы должны тщательно следить за правами доступа служащих, покидающих компанию. Соответствующие учетные записи следует аннулировать сразу же.
Лучшей профилактической мерой можно назвать мониторинг, причем не только пассивный (журналы событий), но и активный (защита ценной информации). В этом случае нанести реальный ущерб компании сможет только топ-менеджер, поскольку у остальных работников, имеющих доступ к цифровым активам фирмы, просто не будет прав на удаление ценной информации. На рынке уже есть специализированные решения для защиты данных от внутренних угроз, в том числе и от корпоративного саботажа.
Таким образом, в распоряжении современных компаний и государственных организаций есть целый ряд средств, позволяющий минимизировать риски информационного саботажа