Причины роста
Эта растущая угроза объясняется целым рядом факторов, связанных с меняющимся IT-ландшафтом. Они не вызывают особого удивления – и в этом суть проблемы. Открытые двери, которые делают организации уязвимыми для инсайдерских атак, – обыденное явление, они повсюду.
Известно ли вам, кто управляет вашими облачными сервисами, кто хранит свои данные на тех же серверах, что и вы, насколько эти сервера безопасны? Заслуживают ли доверия те, кто предоставляет вам другие аутсорсинговые услуги, – кол-центры, логистика, уборка, подбор персонала, CRM? В 2005 году четыре клиента Citibank в Нью-Йорке были обмануты сотрудниками кол-центра в городе Пуна (Индия) на сумму около $350 000. Но на самом деле вина лежала на сотрудниках компании по обслуживанию программного обеспечения, которой Citibank передал работу на аутсорсинг, – это они сумели собрать личные данные клиентов, PIN-коды и номера счетов.
Сайты даркнета, где не слишком щепетильные посредники торгуют большими объемами конфиденциальной информации, множатся и процветают. На таких подпольных площадках можно купить все что угодно – от паролей покупателей и данных кредитных карт до интеллектуальной собственности. Инсайдеры часто готовы предоставить доступ к этим активам, причем стоить это будет куда дешевле, чем на черном рынке. Это только способствует развитию индустрии «киберпреступность как услуга».
Все чаще сотрудники компаний – как правило, непреднамеренно – подвергают своих работодателей риску, используя для работы электронные гаджеты. Наша команда, как и другие специалисты, выяснила, что службы безопасности компаний не в состоянии противостоять опасностям, связанным с распространением этих устройств. Согласно недавнему отчету Alcatel-Lucent, в мире одномоментно – в каждую секунду – насчитывается около 11,6 млн инфицированных мобильных устройств, а в 2013 году количество заражений таких устройств вредоносным ПО выросло на 20 %.
Виноваты не только смартфоны и планшеты, это могут быть и более простые устройства – флэш-накопители, телефонные карты памяти. «Самый простой способ проникнуть в неподготовленную компанию – разбросать на парковке зараженные USB-флэшки с логотипом компании, – рассказывает Майкл Голдсмит, член нашей команды и помощник директора Оксфордского центра кибербезопасности, имея в виду атаку на голландскую химическую компанию DSM в 2012 году. – Кто-то из сотрудников непременно поднимет хотя бы одну из них».
Широко сообщалось, что участникам саммита G20 под Санкт-Петербургом в 2013 году были розданы USB-накопители и зарядные устройства для мобильных телефонов, содержащие вирусы для кражи информации. А червь Stuxnet, поразивший иранский завод по обогащению урана в 2008–2010 годах, по имеющимся сведениям, был внедрен в системы, не подключенные к интернету, с помощью USB-накопителей.
Честно говоря, мы все уязвимы.
Социальные сети создают все условия для утечки различного рода деловой информации и распространения ее по всему миру – часто без ведома компании. Они также позволяют вербовать инсайдеров и с их помощью получать доступ к корпоративным ресурсам. Очень успешно работают мошеннические схемы на сайтах знакомств: опытный аферист, изображающий любовный интерес, успешно морочит голову сотруднику или сотруднице компании, чтобы выведать конфиденциальную информацию. Другие стратегии предполагают использование информации, полученной в социальных сетях, для давления на сотрудников: кибершантажист может угрожать удалить файлы или загрузить порнографические изображения на офисный компьютер жертвы, если та откажется передать ему служебную информацию.
Руководство вслепую
МЫ ОПРОСИЛИ 80 РУКОВОДИТЕЛЕЙ высшего звена на тему их осведомленности об инсайдерских угрозах в сфере кибербезопасности, а затем проанализировали в деталях конкретные случаи из реальной жизни. Вот краткий обзор того, что мы выяснили.
Руководители компаний во всех странах и в большинстве сфер деятельности (исключение составляют банки и энергетические компании) практически ничего не знают об инсайдерских угрозах.
Они склонны считать, что за безопасность отвечает кто-то другой (как правило, IT-отдел).
Лишь немногие из руководителей понимают, как важно отслеживать необычное поведение сотрудников – например, посещение экстремистских сайтов или начало работы в нестандартное время, – для того, чтобы заблаговременно распознать возможную атаку.
Почти две трети специалистов по внутренней и внешней безопасности испытывают трудности, пытаясь убедить советы директоров, что игнорирование вопроса об инсайдерской угрозе сопряжено с серьезными рисками.
Лишь немногие IT-службы получают указания, какие информационные активы представляют наибольшую ценность, какой уровень риска можно считать приемлемым и сколько средств следует вложить в предотвращение атак.
Почему они это делают
При анализе множества примеров из практики как государственных, так и частных организаций было установлено, что инсайдеры, которые осознанно участвуют в кибератаках, руководствуются самыми разными мотивами. Это может быть материальная выгода, месть, потребность в признании, жажда власти, реакция на шантаж, привязанность к другим работникам организации, а также политические убеждения.
В ходе нашего исследования мы рассмотрели один пример – атаку отвергнутого поклонника на небольшую, но быстроразвивающуюся компанию по виртуальному обучению в 2014 году. Менеджер этой компании пожаловался своему начальнику на одного из сотрудников – системного администратора, который присылал ему цветы на работу, отправлял сообщения непристойного содержания и постоянно ездил мимо его дома. Получив явный отказ, злоумышленник испортил базу данных компании с обучающими видеоматериалами и сделал недоступными резервные копии. Его уволили. Однако он, зная, что у компании нет доказательств его вины, занялся шантажом – потребовал несколько тысяч евро, угрожая обнародовать информацию о недостаточной защищенности компании, что могло бы повредить ее предстоящему выходу на биржу. Этот инцидент, дорого обошедшийся жертвам, остался неучтенным – как и большинство преступлений, совершаемых внутри компании.
Все более широкое распространение получает взаимодействие сотрудников компаний с организованной преступностью и группами экстремистов. Во многих странах в настоящее время действуют компьютерные группы реагирования на чрезвычайные ситуации (CERT) для защиты от этой и подобных атак. Из 150 случаев, рассмотренных Центром по противодействию инсайдерским угрозам CERT при Университете Карнеги – Меллона в своем докладе за 2012 год «В центре внимания: злоумышленники-инсайдеры и организованная преступная деятельность», 16 % были связаны с организованной преступностью.