Создание новых предприятий – всегда рискованное дело. Мы не утверждаем, что планомерный подход к выявлению и смягчению рисков позволит полностью их устранить. Но мы опровергаем утверждение, что именно риск приносит прибыль. Как десятилетиями наглядно показывает кейс Боба Райсса и как подтверждает наш опыт, великие предприниматели не берут на себя риски, а управляют ими. Быстро определить с помощью ключевых предположений, что правильно, а что нет, а затем оперативно внести коррективы – это зачастую и отделяет провал от успеха. Научившись этому, предприимчивые руководители изгибают кривую «риск – вознаграждение» так, как им нужно, и побеждают, несмотря на риски.
Внутренняя угрозаДэвид Аптон, Сейди Криз
ВСЕ ЗНАЮТ О КИБЕРАТАКЕ 2013 ГОДА на Target, когда злоумышленники похитили номера платежных карт около 40 млн и персональные данные около 70 млн покупателей. Это бросило тень на репутацию компании, вызвало падение ее прибыли и привело к увольнению генерального директора и директора по информационным технологиям. Менее известен другой факт: хотя воры и были для компании посторонними, они получили доступ к системам розничной сети, используя учетные данные одного из сотрудников. Им оказался продавец холодильного оборудования.
Случай с Target – лишь один из примеров явления, которое в последнее время набирает обороты. Нападения извне – постоянные хакерские атаки из Китая на интеллектуальную собственность, вирус Stuxnet, выходки восточноевропейских преступных группировок – привлекают всеобщее внимание. Однако гораздо бо́льшую угрозу представляют атаки с участием сотрудников самой компании или связанных с ней организаций. «Внутренние враги» способны причинить куда более серьезный вред, чем внешние хакеры, – у них значительно больше возможностей и легкий доступ к системам. Вызванный ими ущерб – это и приостановка деятельности, и нарушение прав интеллектуальной собственности, и урон репутации, и недоверие как инвесторов, так и клиентов, не говоря уже об утечке конфиденциальной информации третьим лицам, включая СМИ. По разным оценкам, ежегодно в США происходит не менее 80 млн инсайдерских атак, причем реальная цифра может быть существенно выше: о подобных инцидентах часто умалчивают. Очевидно, что на сегодня общий объем убытков от них составляет десятки миллиардов долларов в год.
Многие руководители признают, что у них до сих пор нет необходимых средств защиты для обнаружения или предотвращения инсайдерских атак. Одна из причин – организации по-прежнему не желают признавать масштаб угрозы.
На протяжении последних двух лет мы возглавляем международный исследовательский проект, который финансируется Центром по защите национальной инфраструктуры (CPNI), входящим в структуру британской Службы безопасности МI5, и ставит своей целью существенно повысить способность организаций обнаруживать и предотвращать угрозы, идущие изнутри. Наша команда состоит из 16 человек, в нее входят специалисты по компьютерной безопасности, преподаватели бизнес-школ по корпоративному управлению, преподаватели менеджмента, специалисты по визуализации информации, психологи и криминалисты из Оксфордского, Лестерского и Кардиффского университетов.
Междисциплинарный подход привел нас к выводам, которые позволяют оспорить общепринятые взгляды и методы (см. раздел «Общепринятые подходы, которые не работают»). Так, многие компании сегодня пытаются помешать сотрудникам использовать офисные компьютеры для доступа к интернет-ресурсам, не связанным напрямую с их рабочими задачами, – к Facebook, сайтам знакомств, порталам политических новостей. Мы же считаем, что вместо этого стоит предоставить сотрудникам свободу действий в интернете, но установить на компьютеры легкодоступные программы безопасности для отслеживания активности: это даст важную информацию о поведении и личных особенностях пользователей – и тем самым поможет распознать потенциальную опасность. В этой статье мы расскажем о результатах наших исследований относительно эффективных способов свести к минимуму вероятность инсайдерских атак.
Идея вкратце
Угроза
Кибератаки с участием инсайдеров – сотрудников, поставщиков или других компаний, которые на законных основаниях имеют доступ к компьютерным системам компании, – случаются все чаще и причиняют серьезный ущерб. На их долю приходится более 20 % всех кибератак. Широко используемые средства защиты против них неэффективны.
Ключ к решению проблемы
Чтобы снизить уязвимость к инсайдерским атакам, компаниям следует придерживаться того же подхода, что и для повышения эффективности работы и уровня безопасности: сделать эту задачу неотъемлемой частью работы каждого.
Необходимые действия
Необходимо внимательно отслеживать действия сотрудников и объяснять им, с какими угрозами они могут столкнуться и о каких подозрительных событиях они должны сообщать. От поставщиков и дистрибьюторов следует требовать минимизации рисков, при этом и тех и других нужно регулярно проверять. Руководители должны работать в тесном контакте со своими IT-отделами над обеспечением безопасности основных активов.
Недооцененный риск
Внутренние угрозы исходят от тех, кто использует санкционированный доступ к корпоративным ресурсам в несанкционированных злонамеренных целях или непреднамеренно создает в них уязвимые места. Такими людьми могут быть штатные сотрудники (от уборщиков до топ-менеджеров), подрядчики или сторонние организации – поставщики баз данных и других компьютерных услуг (Эдвард Сноуден, прославившийся кражей конфиденциальной информации Агентства национальной безопасности США, работал на одного из подрядчиков АНБ). Пользуясь предоставленным им доступом, они могут выводить из строя компьютерные системы, похищать или искажать данные, но при этом не попадают в зону внимания обычных средств по обеспечению безопасности, которые направлены на охрану внешнего периметра: они сосредоточены на точках входа, а не на том, что происходит внутри системы.
По данным компании Vormetric, лидирующей в области компьютерной безопасности, 54 % управленческого персонала в крупных и средних организациях разделяют мнение, что обнаруживать и предотвращать инсайдерские атаки сегодня сложнее, чем в 2011 году. При этом подобных атак становится все больше – как в количественном выражении, так и в процентах от всех кибератак, о которых сообщают организации: исследование, проведенное компанией KPMG, показало, что их число увеличилось с 4 % в 2007 году до 20 % в 2010 году. Результаты нашего анализа показывают, что этот процент продолжает расти. Кроме того, внешние атаки могут включать в себя помощь изнутри – как осознанную, так и непреднамеренную. Случай с Target – наглядный тому пример.
Причины роста
Эта растущая угроза объясняется целым рядом факторов, связанных с меняющимся IT-ландшафтом. Они не вызывают особого удивления – и в этом суть проблемы. Открытые двери, которые делают организации уязвимыми для инсайдерских атак, – обыденное явление, они повсюду.
Известно ли вам, кто управляет вашими облачными сервисами, кто хранит свои данные на тех же серверах, что и вы, насколько эти сервера безопасны? Заслуживают ли доверия те, кто предоставляет вам другие аутсорсинговые услуги, – кол-центры, логистика, уборка, подбор персонала, CRM? В 2005 году четыре клиента Citibank в Нью-Йорке были обмануты сотрудниками кол-центра в городе Пуна (Индия) на сумму около $350 000. Но на самом деле вина лежала на сотрудниках компании по обслуживанию программного обеспечения, которой Citibank передал работу на аутсорсинг, – это они сумели собрать личные данные клиентов, PIN-коды и номера счетов.
Сайты даркнета, где не слишком щепетильные посредники торгуют большими объемами конфиденциальной информации, множатся и процветают. На таких подпольных площадках можно купить все что угодно – от паролей покупателей и данных кредитных карт до интеллектуальной собственности. Инсайдеры часто готовы предоставить доступ к этим активам, причем стоить это будет куда дешевле, чем на черном рынке. Это только способствует развитию индустрии «киберпреступность как услуга».
Все чаще сотрудники компаний – как правило, непреднамеренно – подвергают своих работодателей риску, используя для работы электронные гаджеты. Наша команда, как и другие специалисты, выяснила, что службы безопасности компаний не в состоянии противостоять опасностям, связанным с распространением этих устройств. Согласно недавнему отчету Alcatel-Lucent, в мире одномоментно – в каждую секунду – насчитывается около 11,6 млн инфицированных мобильных устройств, а в 2013 году количество заражений таких устройств вредоносным ПО выросло на 20 %.
Виноваты не только смартфоны и планшеты, это могут быть и более простые устройства – флэш-накопители, телефонные карты памяти. «Самый простой способ проникнуть в неподготовленную компанию – разбросать на парковке зараженные USB-флэшки с логотипом компании, – рассказывает Майкл Голдсмит, член нашей команды и помощник директора Оксфордского центра кибербезопасности, имея в виду атаку на голландскую химическую компанию DSM в 2012 году. – Кто-то из сотрудников непременно поднимет хотя бы одну из них».
Широко сообщалось, что участникам саммита G20 под Санкт-Петербургом в 2013 году были розданы USB-накопители и зарядные устройства для мобильных телефонов, содержащие вирусы для кражи информации. А червь Stuxnet, поразивший иранский завод по обогащению урана в 2008–2010 годах, по имеющимся сведениям, был внедрен в системы, не подключенные к интернету, с помощью USB-накопителей.