Одним из таких случаев стала кража в 2012 году российской бандой реквизитов 3,8 млн незашифрованных банковских счетов и почти 4 млн налоговых деклараций Департамента доходов Южной Каролины. Расследование показало, что атаке поспособствовал сотрудник, кликнувший по ссылке в электронном письме, – это позволило преступникам украсть его учетные данные и получить доступ к государственным базам данных.
Моника Уитти, психолог из Лестерского университета, входившая в состав нашей команды, и многие другие исследователи указывают, что сотрудникам организаций, готовым по собственной воле участвовать в кибератаках или помогать в их проведении, свойственна по меньшей мере одна черта так называемой «темной триады»: макиавеллизм, нарциссизм, психопатия. Поддерживая эту точку зрения, CPNI в 2013 году провел исследование, в ходе которого выяснилось, что злоумышленники-инсайдеры, как правило, демонстрируют некую комбинацию следующих личностных качеств: незрелость, низкая самооценка, безнравственность (аморальность), поверхностность, склонность к фантазиям, нетерпеливость и импульсивность, недобросовестность, манипулятивность и неуравновешенность.
Роджер Дуронио, системный администратор UBS Wealth Management, осужденный за использование вредоносной «логической бомбы», которая нанесла ущерб компьютерной сети компании в 2006 году, обладал целым рядом этих качеств. Дуронио тревожился за свое рабочее место и пришел в ярость, когда вместо ожидаемой премии в $50 000 получил только $32 000. Поэтому он решил отомстить компании, подорвав ее работу, и заложил «бомбу», которая уничтожила данные на 2000 серверах в офисах UBS по всей территории США; некоторые из них не могли совершать торговые операции в течение нескольких недель. Компания понесла прямые убытки в размере $3,1 млн и еще миллионы долларов в виде скрытого непредвиденного ущерба. За это преступление Дуронио был приговорен к восьми годам тюремного заключения.
Подходы к решению проблемы
Работа с внутренними киберугрозами сродни управлению качеством и безопасностью. Когда-то за все это отвечало одно специализированное подразделение. Но организации уже не могут предупреждать каждый риск, потому что технологическая среда стала чрезвычайно сложной и изменчивой. В связи с этим руководителям больших и малых предприятий необходимо вовлекать в работу каждого своего сотрудника. Рассмотрим пять шагов, которые необходимо сделать в первую очередь.
В них должно быть указано, что можно делать, а чего нельзя: это будет своего рода преграда против неосторожности, небрежности или ошибок сотрудников, подвергающих компанию риску. Правила должны быть краткими и доступными для всех (а не только для специалистов по безопасности и компьютерным технологиям), чтобы их можно было понять, принять и соблюдать. Они должны относиться ко всем уровням организации, в том числе и к высшему руководству.
Сотрудникам следует предоставить инструменты, которые помогут им придерживаться этих правил. Например, можно разработать систему предупреждений, которые будут появляться на экране при попытке зайти туда, где хранятся конфиденциальные материалы. При этом система может запрашивать подтверждение права доступа пользователя к этим данным, а также отслеживать тех, у кого таких полномочий нет.
Нарушение этих правил должно сопровождаться наказанием. Разумеется, если сотрудник совершает серьезное правонарушение (скажем, торгует личными данными клиентов или сознательно внедряет вирусы в компьютерные системы компании), он должен быть уволен и привлечен к ответственности. При первом, менее серьезном нарушении – например, при передаче коллегам паролей для доступа к корпоративным системам, – можно ограничиться предупреждением с занесением в личное дело сотрудника.
Кроме того, необходимо донести до сотрудников, как можно безопасно выполнять повседневные задачи. В дополнение к этому своду правил следует регулярно проводить информационные собрания и внутренние разъяснительные мероприятия – например, размещать на рабочих местах постеры. В некоторых компаниях демонстрируют видеоролики – как нарушение установленных правил может способствовать кибератакам и как их можно предотвратить с помощью простых методов обеспечения безопасности.
Общепринятые подходы, которые не работают
НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ меры кибербезопасности гораздо эффективнее работают против внешних угроз, чем против инсайдеров.
Контроль доступа
Правила, которые запрещают использовать корпоративные устройства в личных целях, не удержат сотрудников от кражи активов.
Управление уязвимостями
Своевременные обновления системы безопасности и проверки на вирусы не позволят ни предотвратить, ни даже «засечь» доступ злоумышленников из числа авторизованных сотрудников или третьих лиц, использующих украденные учетные данные.
Надежная защита границ
Хранение наиболее важных активов внутри защищенного периметра не предотвратит кражу, если у вора есть доступ к защищенным системам.
Установка паролей
Использование сложных или часто меняющихся паролей приводит к тому, что их часто записывают на стикерах, которые легко могут увидеть те, у кого есть физический доступ в помещение.
Информационно-разъяснительные программы