В центре любого корпоративного саботажа всегда стоит человек – инсайдер (лицо, в силу своего положения имеющее доступ к важной (конфиденциальной) информации, недоступной широкой публике). Им движет злость, месть, обида, желание доказать свою значимость. Есть ли у компаний шанс предотвратить саботаж?
 
Одной из наиболее опасных угроз IT-безопасности является саботаж. В центре такого инцидента всегда находится служащий компании – инсайдер. То есть человек, знающий слабые стороны организации изнутри и прекрасно представляющий, что именно нужно сделать, чтобы нанести работодателю максимальный ущерб. Казалось бы, речь идёт об обычных внутренних угрозах. Однако отличие саботажа состоит в тех мотивах, которыми руководствуется инсайдер в своих противоправных действиях. А движет им злость, месть, обида, желание доказать свою собственную значимость, но никак не корысть и личная выгода. Поэтому саботажнику часто абсолютно всё равно, что своими действиями он может лишить компанию миллионов или десятков миллионов долларов. Кроме того, обиженный инсайдер не сильно печётся, что за свои злодеяния он может угодить в тюрьму.

Ещё одним отличием информационного саботажа от многих других угроз IT-безопасности является то, что компании стараются не выносить сор из избы и всячески замолчать подобные инциденты. Топ-менеджмент совершенно справедливо полагает, что акционерам, инвесторам, партнёрам и клиентам компании вряд ли понравится тот факт, что в корпорации возможны столь острые конфликтные ситуации, развязка которых приводит к серьёзным финансовым убыткам. В результате руководство старается всеми силами скрыть случаи саботажа от общественности. Однако это удаётся далеко не всегда.
 
Саботаж стоимостью 3 миллиона долларов
Прежде всего, отметим, что это не совсем обычный вид саботажа. Суть в том, что помимо желания отомстить руководству и компании инсайдером двигало желание ещё и немного разбогатеть за счёт своего работодателя. Хотя основным движущим мотивом, конечно, являлась месть. Дело было так. Несколько месяцев назад стало известно об очень громком инциденте в американской финансовой компании UBS PaineWebber. Системный администратор запрограммировал «логическую бомбу», которая вывела из строя более двух третей корпоративной сети. На одно только восстановление работы потребовалось более 3 млн долл. и несколько недель простоя в работе крупной организации.

 
Несмотря на то, что сам акт саботажа имел место ещё в марте 2002 г., все его подробности стали известны только летом 2006 г. Представители власти и бизнеса согласились обнародовать инцидент лишь после того, как правоохранительные органы собрали убедительные доказательства того, что бывший системный администратор написал вредоносную программу, установил её на более чем 1 тыс. компьютеров, включая систему резервного копирования, и запрограммировал эту «логическую бомбу» на определённый день и час. Когда гигантская финансовая компания «онемела» из-за того, что абсолютно все компьютеры вышли из строя, инсайдер попытался заработать на падении биржевых котировок фирмы. За месяц до инцидента, используя почтовую систему США, бывший системный администратор купил опцион продавца родительской компании PaineWebber на сумму более 21 тыс. долл. Такие контракты дают покупателю право продать соответствующий финансовый инструмент по оговорённой цене в течение определённого времени в обмен на уплату премии и покупаются инвесторами, которые верят в снижение цен инструментов в основе опционов. Таким образом, инсайдер собирался заработать на крахе биржевых котировок фирмы.

Саботажником оказался 63-летний Роджер Дюронио (Roger Duronio). Именно он создал и внедрил вредоносную программу в центральном офисе UBS PaineWebber, а также примерно в 370 филиалах. «Логическая бомба» была запрограммирована на 4 марта 2002 г. Именно в этот день паразит активизировался и начал удалять данные компании. Убытки в результате простоя никто не подсчитывал, хотя, по мнению экспертов компании InfoWatch, специализирующейся на борьбе с инсайдерами, корпорации UBS PaineWebber вообще повезло, что она не обанкротилась.
 
Месть банковских служащих
В начале сентября 2006 г. на прилавки московских блошиных рынков попала база о 3 тыс. неблагонадёжных заёмщиках банка «Первое ОВК», получавших кредиты в 2002–2003 гг. За базу просили всего 900 руб. Причём продавцы обещали в будущем предложить информацию о 3 млн граждан, просрочивших свои кредиты.

Репортёры приобрели упомянутую базу в ларьке недалеко от Митинского радиорынка. В ней были указаны заёмщики, получившие кредиты в течение 2002–2003 гг., номера их домашних или мобильных телефонов, а в ряде случаев и паспортные данные с домашними адресами. Рядом с каждым именем указана причина и дата занесения в чёрный список. Отметим, что банковская группа ОВК, созданная Александром Смоленским, была приобретена холдинговой компанией «Интеррос» в середине 2003 г. Информация о неблагонадёжных заёмщиках собрана как раз в 2002–2003 гг. и имеет отметки сотрудников службы безопасности ОВК. Специалисты предполагают, что утечка произошла именно оттуда в момент интеграции банков.

Существует несколько версий, откуда и как могла произойти утечка. Однако самая правдоподобная состоит в том, что во время слияния бизнесов ОВК и Росбанка не все сотрудники были довольны процессом интеграции, и утечка информации могла послужить своеобразной местью. Именно эта точка зрения превалировала на страницах авторитетных федеральных изданий в момент, когда об инциденте стало известно общественности.
 
Чего бояться?
«Какие реальные убытки могут причинить саботажники?», – этим вопросом задаётся каждый топ-менеджер, услышавший о проблеме обиженных инсайдеров. Априори может возникнуть ощущение, что в большинстве случаев ущерб приходится на косвенные убытки. Например, вследствие испорченной атмосферы в рабочем коллективе, плохого паблисити (в случае огласки) и так далее. Однако квалифицированные исследования полностью опровергают такое мнение. Так, по данным авторитетной организации CERT, исследовавшей несколько десятков подобных инцидентов, 81% организаций несёт прямые финансовые убытки.

С этим мнением полностью согласны российские эксперты. По словам Дениса Зенкина, директора по маркетингу компании InfoWatch, львиная доля ущерба в результате саботажа чаще всего приходится именно на прямые финансовые убытки. Всё дело в том, что бизнес многих современных компаний очень сильно завязан на непрерывное и эффективное функционирование IT-инфраструктуры. Саботажники в свою очередь наносят удар по самым уязвимым точкам информационной системы. Они уничтожают критические данные на серверах и в резервных копиях, публикуют в открытом доступе приватные сведения клиентов компании, рассылают откровенно хамские письма самым выгодным заказчикам и так далее. Всё это сразу же сказывается на финансовом благосостоянии компании.

Для более точной оценки финансового ущерба вследствие саботажа снова обратимся к результатам исследования CERT. Прежде всего, отметим, что, по данным исследования, чуть меньше половины всех респондентов, ставших жертвами саботажа, понесли довольно «незначительный» урон – до 20 тыс. долл. По сравнению со средним ущербом в результате утечки конфиденциальной информации (255 тыс. долл., по сведения ФБР), это действительно немного. Однако наибольшую озабоченность экспертов вызывает именно та одна десятая часть, которая приходится на потери свыше 1 млн долл. (9% – от 1 до 5 млн долл. И 2% – более 10 млн долл.).

Таким образом, если абстрагироваться от нематериальных факторов, опасность саботажа состоит именно в гигантских многомиллионных убытках, которые может понести абсолютно любая компания, окажись в её штате человек с неустойчивой психикой. В некоторых случаях это может представлять угрозу национальной безопасности (представьте саботажника на ядерной электростанции). Кроме того, нельзя сбрасывать со счетов и ряд негативных последствий IT-саботажа, хотя, как уже говорилось ранее, финансовые убытки составляют наибольшую часть ущерба. Здесь следует отметить потерю репутации, если об инциденте каким-либо образом станет известно клиентам, инвесторам или вообще общественности. Например, если саботажник разошлет гневные письма всем или некоторым клиентам, то инцидент может закончиться серьёзным скандалом и сокращением клиентской базы компании. Наконец, необходимо помнить, что каждый внутренний инцидент чреват либо ухудшением рабочего климата в офисе, либо прямым вредом здоровью персонала. Снова возвращаясь к исследованию CERT, заметим, что негативные последствия для бывших коллег саботажника встречаются в каждом третьем случае.
 
Как выглядит саботажник?
Посмотрим теперь на характерные черты типичного саботажника. Итак, в 98% случаев обиженным инсайдером является мужчина. Правда, портрет не включает таких признаков, как семейный статус, возраст и расовая принадлежность. Другими словами, это может быть как женатый мужчина, так и холостой, как 17-летний юнец, так и уходящий на пенсию служащий. Далее, в 84% инцидентов саботажником двигало желание отомстить, а в 41% – донести свою ярость до окружающих. Несколько реже (24%) инсайдеры хотели выразить несогласие с политикой или культурой компании и ещё реже (12%) хотели быть оценены по достоинству. Правда, в более чем половине всех случаев (57%) саботажником двигали сразу несколько мотивов.

Отметим, что все эти мотивы являются лишь реакцией на события, которые произошли за некоторое время до этого. Дело в том, что в 92% случаев саботажу предшествует неприятный инцидент или целая серия таких инцидентов на работе. В 47% случаев – увольнение, в 20% – спор с нынешними или бывшими коллегами, в 13% – перевод в должности или наоборот отсутствие повышения. Другими словами, 85% всех внутренних диверсантов рассержены на кого-то, кого они ассоциируют с компанией.

Ещё одной очень важной деталью портрета корпоративного саботажника является его профессиональная принадлежность. Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями. Среди них 38% системных администраторов, 21% программистов, 14% инженеров, 14% специалистов по IT. На долю этих специалистов приходится 86% инцидентов.
 
Как победить саботажника?
Очевидно, что бороться с корпоративным саботажем надо. Но можно ли его победить? Судя по всему, нет, так как движущая сила этой угрозы лежит в области человеческих отношений. Однако на практике можно существенно минимизировать риски IT-саботажа.

Исследование Секретной службы США показало, что проблемные служащие несут ответственность за 80% всех внутренних компьютерных инцидентов. Таким образом, самым оптимальным способом защиты является заблаговременное выявление наиболее проблемных инсайдеров.

Интересно, что проблемные сотрудники не только осуществляют 80% всех атак, но в 62% случаев планируют свои действия заранее. Следовательно, их вину сложнее доказать, а убытки вследствие внутренних атак становятся ещё больше. Тем не менее, есть ряд признаков, по которым можно выявить инсайдеров: они жалуются на свою зарплату, опаздывают или прогуливают, эмоционально спорят с коллегами, нарушают субординацию, ведут себя агрессивно. Правда, перечисленные элементы поведения следует учитывать в комплексе, так как в отдельности они могут наблюдаться даже у самых лучших сотрудников фирмы. Если менеджменту удалось выявить служащих, которые удовлетворяют описанному выше шаблону, то действия этих инсайдеров следует тщательно контролировать. Также желательно ограничить полномочия таких пользователей при доступе к информационной системе.

В целом, использование этих рекомендаций позволяет в большинстве случаев предотвратить саботаж, сберечь нервы руководства и служащих, а также избежать финансового убытка. Однако что делать руководству, если инцидент уже произошёл? Здесь уже профилактические меры не помогут. Тем не менее, если атака уже произошла, то найти виновного чаще всего позволяют журналы системных событий. Например, 63% инцидентов было замечено лишь потому, что в функционировании IT-инфраструктуры  появились сильные отклонения: что-то перестало работать так, как надо. Исследования показывают, что в 42% случаев система вовсе вышла из строя. При этом в 70% инцидентов злоумышленника удаётся вычислить по журналам системных событий, в 33% – по IP-адресу, в 28% – по телефонным записям, в 24% – по имени пользователя, в 13% – за счёт процедур аудита. Однако ущерб в этом случае предотвратить уже не удастся.
 
Рубежи защиты
По мнению экспертов компании InfoWatch, наилучшим средством предотвращения корпоративного саботажа являются профилактические меры. Прежде всего, компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Таким способом удаётся исключить около 30% саботажников. На следующем этапе важно отслеживать неуравновешенных сотрудников, которые удовлетворяют шаблону, описанному выше.

Кроме того, организациям следует взять на вооружение технические средства защиты конфиденциальной информации, а также критических ресурсов. Традиционно считается, что для обеспечения надёжной IT-безопасности достаточно внедрить систему контроля доступа, управления идентификацией, многофакторной аутентификации и так далее. Однако на практике вред организации наносят не сотрудники, которым «нельзя», а именно те, которым «можно». Другими словами, стандартные средства защиты не подпустят к информации, серверу, рабочей станции того человека, у которого нет на это прав. Но это лишь первый рубеж защиты. На следующем этапе необходимо защититься от служащих, у которых есть легальный доступ к данным или ресурсам в силу выполнения ими своих служебных обязанностей. Именно эти люди и называются инсайдерами, а, будучи обиженными, становятся саботажниками. Другими словами, стандартные средства IT-безопасности не остановят менеджера по продажам, который отсылает конфиденциальную информацию конкурентам. Точно также они не смогут помешать сотруднику, у которого есть вполне законный доступ к важным данным, уничтожить их полностью.

Между тем, сегодня на рынке существует целый ряд специализированных решений, позволяющих в полной мере защититься от инсайдерских угроз. Например, предотвратить утечку, искажение и уничтожение важных документов. Использование такого рода продуктов помогает минимизировать риски саботажа, а также любых других внутренних угроз. 
 

По материалу Алексея Доля, 
журнал «Фактор риска»