Честно говоря, мы все уязвимы.
Социальные сети создают все условия для утечки различного рода деловой информации и распространения ее по всему миру – часто без ведома компании. Они также позволяют вербовать инсайдеров и с их помощью получать доступ к корпоративным ресурсам. Очень успешно работают мошеннические схемы на сайтах знакомств: опытный аферист, изображающий любовный интерес, успешно морочит голову сотруднику или сотруднице компании, чтобы выведать конфиденциальную информацию. Другие стратегии предполагают использование информации, полученной в социальных сетях, для давления на сотрудников: кибершантажист может угрожать удалить файлы или загрузить порнографические изображения на офисный компьютер жертвы, если та откажется передать ему служебную информацию.
Руководство вслепую
МЫ ОПРОСИЛИ 80 РУКОВОДИТЕЛЕЙ высшего звена на тему их осведомленности об инсайдерских угрозах в сфере кибербезопасности, а затем проанализировали в деталях конкретные случаи из реальной жизни. Вот краткий обзор того, что мы выяснили.
Руководители компаний во всех странах и в большинстве сфер деятельности (исключение составляют банки и энергетические компании) практически ничего не знают об инсайдерских угрозах.
Они склонны считать, что за безопасность отвечает кто-то другой (как правило, IT-отдел).
Лишь немногие из руководителей понимают, как важно отслеживать необычное поведение сотрудников – например, посещение экстремистских сайтов или начало работы в нестандартное время, – для того, чтобы заблаговременно распознать возможную атаку.
Почти две трети специалистов по внутренней и внешней безопасности испытывают трудности, пытаясь убедить советы директоров, что игнорирование вопроса об инсайдерской угрозе сопряжено с серьезными рисками.
Лишь немногие IT-службы получают указания, какие информационные активы представляют наибольшую ценность, какой уровень риска можно считать приемлемым и сколько средств следует вложить в предотвращение атак.
Почему они это делают
При анализе множества примеров из практики как государственных, так и частных организаций было установлено, что инсайдеры, которые осознанно участвуют в кибератаках, руководствуются самыми разными мотивами. Это может быть материальная выгода, месть, потребность в признании, жажда власти, реакция на шантаж, привязанность к другим работникам организации, а также политические убеждения.
В ходе нашего исследования мы рассмотрели один пример – атаку отвергнутого поклонника на небольшую, но быстроразвивающуюся компанию по виртуальному обучению в 2014 году. Менеджер этой компании пожаловался своему начальнику на одного из сотрудников – системного администратора, который присылал ему цветы на работу, отправлял сообщения непристойного содержания и постоянно ездил мимо его дома. Получив явный отказ, злоумышленник испортил базу данных компании с обучающими видеоматериалами и сделал недоступными резервные копии. Его уволили. Однако он, зная, что у компании нет доказательств его вины, занялся шантажом – потребовал несколько тысяч евро, угрожая обнародовать информацию о недостаточной защищенности компании, что могло бы повредить ее предстоящему выходу на биржу. Этот инцидент, дорого обошедшийся жертвам, остался неучтенным – как и большинство преступлений, совершаемых внутри компании.
Все более широкое распространение получает взаимодействие сотрудников компаний с организованной преступностью и группами экстремистов. Во многих странах в настоящее время действуют компьютерные группы реагирования на чрезвычайные ситуации (CERT) для защиты от этой и подобных атак. Из 150 случаев, рассмотренных Центром по противодействию инсайдерским угрозам CERT при Университете Карнеги – Меллона в своем докладе за 2012 год «В центре внимания: злоумышленники-инсайдеры и организованная преступная деятельность», 16 % были связаны с организованной преступностью.
Одним из таких случаев стала кража в 2012 году российской бандой реквизитов 3,8 млн незашифрованных банковских счетов и почти 4 млн налоговых деклараций Департамента доходов Южной Каролины. Расследование показало, что атаке поспособствовал сотрудник, кликнувший по ссылке в электронном письме, – это позволило преступникам украсть его учетные данные и получить доступ к государственным базам данных.
Моника Уитти, психолог из Лестерского университета, входившая в состав нашей команды, и многие другие исследователи указывают, что сотрудникам организаций, готовым по собственной воле участвовать в кибератаках или помогать в их проведении, свойственна по меньшей мере одна черта так называемой «темной триады»: макиавеллизм, нарциссизм, психопатия. Поддерживая эту точку зрения, CPNI в 2013 году провел исследование, в ходе которого выяснилось, что злоумышленники-инсайдеры, как правило, демонстрируют некую комбинацию следующих личностных качеств: незрелость, низкая самооценка, безнравственность (аморальность), поверхностность, склонность к фантазиям, нетерпеливость и импульсивность, недобросовестность, манипулятивность и неуравновешенность.
Роджер Дуронио, системный администратор UBS Wealth Management, осужденный за использование вредоносной «логической бомбы», которая нанесла ущерб компьютерной сети компании в 2006 году, обладал целым рядом этих качеств. Дуронио тревожился за свое рабочее место и пришел в ярость, когда вместо ожидаемой премии в $50 000 получил только $32 000. Поэтому он решил отомстить компании, подорвав ее работу, и заложил «бомбу», которая уничтожила данные на 2000 серверах в офисах UBS по всей территории США; некоторые из них не могли совершать торговые операции в течение нескольких недель. Компания понесла прямые убытки в размере $3,1 млн и еще миллионы долларов в виде скрытого непредвиденного ущерба. За это преступление Дуронио был приговорен к восьми годам тюремного заключения.
Подходы к решению проблемы
Работа с внутренними киберугрозами сродни управлению качеством и безопасностью. Когда-то за все это отвечало одно специализированное подразделение. Но организации уже не могут предупреждать каждый риск, потому что технологическая среда стала чрезвычайно сложной и изменчивой. В связи с этим руководителям больших и малых предприятий необходимо вовлекать в работу каждого своего сотрудника. Рассмотрим пять шагов, которые необходимо сделать в первую очередь.
В них должно быть указано, что можно делать, а чего нельзя: это будет своего рода преграда против неосторожности, небрежности или ошибок сотрудников, подвергающих компанию риску. Правила должны быть краткими и доступными для всех (а не только для специалистов по безопасности и компьютерным технологиям), чтобы их можно было понять, принять и соблюдать. Они должны относиться ко всем уровням организации, в том числе и к высшему руководству.
Сотрудникам следует предоставить инструменты, которые помогут им придерживаться этих правил. Например, можно разработать систему предупреждений, которые будут появляться на экране при попытке зайти туда, где хранятся конфиденциальные материалы. При этом система может запрашивать подтверждение права доступа пользователя к этим данным, а также отслеживать тех, у кого таких полномочий нет.
Нарушение этих правил должно сопровождаться наказанием. Разумеется, если сотрудник совершает серьезное правонарушение (скажем, торгует личными данными клиентов или сознательно внедряет вирусы в компьютерные системы компании), он должен быть уволен и привлечен к ответственности. При первом, менее серьезном нарушении – например, при передаче коллегам паролей для доступа к корпоративным системам, – можно ограничиться предупреждением с занесением в личное дело сотрудника.
Кроме того, необходимо донести до сотрудников, как можно безопасно выполнять повседневные задачи. В дополнение к этому своду правил следует регулярно проводить информационные собрания и внутренние разъяснительные мероприятия – например, размещать на рабочих местах постеры. В некоторых компаниях демонстрируют видеоролики – как нарушение установленных правил может способствовать кибератакам и как их можно предотвратить с помощью простых методов обеспечения безопасности.
Общепринятые подходы, которые не работают
НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ меры кибербезопасности гораздо эффективнее работают против внешних угроз, чем против инсайдеров.
Контроль доступа
Правила, которые запрещают использовать корпоративные устройства в личных целях, не удержат сотрудников от кражи активов.
Управление уязвимостями
Своевременные обновления системы безопасности и проверки на вирусы не позволят ни предотвратить, ни даже «засечь» доступ злоумышленников из числа авторизованных сотрудников или третьих лиц, использующих украденные учетные данные.
Надежная защита границ
Хранение наиболее важных активов внутри защищенного периметра не предотвратит кражу, если у вора есть доступ к защищенным системам.
Установка паролей
Использование сложных или часто меняющихся паролей приводит к тому, что их часто записывают на стикерах, которые легко могут увидеть те, у кого есть физический доступ в помещение.
Информационно-разъяснительные программы
От простого требования – ежегодно перечитывать правила информационной безопасности компании – в сотрудниках волшебным образом не зародятся навыки информационной безопасности. Кроме того, это никак не помешает им предпринимать сознательные вредоносные действия.
Откровенно говорите о возможных угрозах, чтобы сотрудники могли их распознать и оставаться настороже – кто бы ни попытался заручиться их помощью для нападения на компанию. Выстраивайте обучение с учетом того, с какими типами атак могут столкнуться работники при выполнении той или иной операции. К самым распространенным способам проникновения в компьютерную систему организации относится фишинг: посредством фальшивых электронных писем мошенники обманом вынуждают сотрудников делиться личными данными, кодами доступа или переходить по ссылке, которая загружает вредоносные программы (многие не понимают, что поле «От» в электронном письме легко подделать). Проверить уязвимость ваших сотрудников к подобным угрозам можно как самостоятельно, так и с помощью привлечения внешней службы безопасности.