Коли надійні ІТ-співробітники стають ворогами?, Комерція, Різне, статті

Найстрашніший нічний кошмар для CIO – це отримати повідомлення з Business Software Alliance, що деякий програмне забезпечення, яке використовує його компанія, піратське.


Він проводить розслідування і виявляє, що у нього не тільки є неліцензоване ПЗ, а й продала їх йому якась компанія, якою керує не хто інший, як його власний системний адміністратор, ось уже сім років працює на благо компанії. CIO починає копати глибше і знаходить, що ще той зібрав 400 номерів кредитних карт клієнтів компанії, скориставшись комерційним сервером. І він єдиний, хто знає всі паролі.


Думаєте, такого не може бути? А ось і ні! Звичайно, навряд чи про таких історіях стане відомо широкій громадськості, тому що більшість компаній вважають за краще не виносити сміття з хати і намагаються якнайшвидше владнати такі справи, пише Computerworld.


Дослідження, щорічно проводяться спільно журналом CSO, спецслужбами США і інститутом з розробки програмного забезпечення CERT, показують, що три чверті компаній, що постраждали від дій “інсайдерів”, намагаються розібратися зі трапилося самі, каже Дон Капель, технічний керівник CERT. Те, що виходить на публіку, є лише верхівкою айсберга.


Однак, зберігаючи такі речі в секреті, постраждалі компанії не дають можливості іншим організаціям повчитися на їх досвіді. Програма CERT намагається заповнити цю прогалину. В інституті з 2001 року вивчають ситуації, пов’язані з неправомірними діями інсайдерів, і в їх скарбничці вже 400 подібних випадків. Фахівці з CERT відзначили, що найбільш поширені помилки пов’язані з тим, що при працевлаштуванні кандидатів не надто ретельно вивчають, процес надання привілейованого доступу практично не відрегульований, і до того ж багато хто просто не звертають уваги на сигнали небезпеки, що з’явилися в поведінці співробітників.


Але загрози, які виходять від ІТ-співробітників, зазначених певними привілеями, особливо важко розпізнати. Почати з того, що нечесна діяльність працівників може не надто відрізнятися від їх звичних обов’язків. ІТ-фахівці займаються редагуванням і написанням скриптів, редагуванням кодів і написанням програм, тому їх “друга” робота не вибивається із загального ряду. Вони знають, де у вашій системі безпеки є проломи, і як замести “сліди”. Компанії-жертви, як правило, не розповідають про це, але консультанти по забезпеченню безпеки можуть повідати кілька цікавих історій, які змушують задуматися.


“Піратське” програмне забезпечення або що може бути гірше


Історія неприємностей роздрібної компанії з Пенсільванії почалася на початку 2008 року, коли BSA повідомила її, що в Microsoft виявили недотримання ліцензійних прав, розповідає Джон Лінкос, колись керував компанією Sabera і займався розслідуванням цього випадку.


Компанія Microsoft відстежила продаж підозрілого програмного забезпечення і дійшла до сисадміна компанії, що була клієнтом Sabera. Назвемо його “Ед”. Коли Лінкос і його співробітники почали займатися секретним розслідуванням цієї справи, вони виявили, що Ед продав більш ніж на півмільйона доларів піратського ПО Microsoft, Adobe і SAP своєму ж роботодавцю. Розслідування також показало, що використання пропускної здатності мережі було надмірно високим. Спочатку вони подумали, що була якась мережева атака, але потім знайшли на сервері більше 50 тис. порнографічних фотографій і понад 2,5 тис. відео подібного змісту.


Крім того, у Еда знайшли електронну таблицю з сотнями номерів кредитних карт клієнтів, взятих з комерційного сайту компанії. Хоча доказів, що ці номери вже використовувалися, не знайшли, але той факт, що інформація була занесена в таблицю, побічно вказувало на те, що Ед збирався або використовувати ці дані сам, або продати їх третій стороні.


Фінансовий директор компанії, який і отримав дзвінок з BSA, і інші керівники злякалися, що ж може зробити Ед, якщо пред’явити йому всі ці звинувачення. Він був єдиним, у кого були паролі адміністратора, включаючи паролі до маршрутизатора і пристрою захисту базової мережі, мережевим комунікаторів, корпоративним VPN, HR-системі, адміністрування сервера електронної пошти, адміністрування Windows Active Directory і робочого стола Windows. А це означало, що Ед міг взяти в якості заручника майже всі основні бізнес-процеси компанії, включаючи корпоративний сайт, електронну пошту, систему фінансової звітності та платіжні відомості.


Тому компанія Лінкос придумала привід, щоб Ед на один день злітав до Каліфорнії. Тривалий переліт дав команді Лінкос можливість не підпускати Едда до системи протягом п’яти з половиною годин. Працюючи дуже швидко, команда змогла виключити з карти мережу і перевстановити всі паролі. Коли Ед приземлився в Каліфорнії, його там уже зустрічав COO компанії, який тут же його і звільнив.


Витрати: Лінкос встановив, що ця подія коштувало компанії десь 250-300 тис. доларів, включаючи комісійні Sabera, витрати по “подорожі” Еда, витрати на судовий розгляд проти нього і витрати, пов’язані з прийомом на тимчасову роботу мережевого адміністратора і нового CIO, а також витрати на те, щоб зробити всі ліцензії на ПЗ компанії легітимними.


Превентивні заходи: що ж могло запобігти цю катастрофу? Безумовно, принаймні, ще одна людина повинна бути в курсі всіх паролів. Розподіл обов’язків – ось основний чинник збереження безпеки систем. У власника компанії був невеликий штат ІТ-співробітників, тому Ед відповідав і за адміністративні функції, і за систему безпеки. А це значить, що він “моніторив” сам себе. Це перше.


Безсумнівно, важко розділити обов’язки, якщо в компанії мало ІТ-фахівців. В такому випадку слід стежити за тим, що відбувається, включаючи протоколи, мережевий трафік і зміни конфігурації системи, і ще необхідно, щоб результати оцінювалися не системним адміністратором, а кимось іншим. І ІТ-співробітники повинні знати, що за їх роботою постійно спостерігають.


По-друге, компанія не провела ретельну перевірку інформації, яку Ед представив при прийнятті на роботу. За даними CERT, 30% інсайдерів, які скоїли ІТ-злочини, були до цього під арештом. Будь-які помилкові документи повинні відразу викликати підозру. Хоча компанія і перевірила кримінальне минуле Еда (який, до слова, виявився чистий), але вони не перевірили документи, зазначені в його резюме, деякі з яких виявилися підробленими.


Аутсорсинг накликає гнів співробітників


Системний адміністратор і адміністратор баз даних “Саллі” 10 років трудилася в компанії Fortune 500 і була одним з найбільш шанованих і здатних ІТ-працівників, розповідає керівник Ponemon Institute Леррі Понемон, який вів цю справу.


Її всі вважали “паличкою-виручалочкою”, вона могла замінити кого завгодно і допомогти вирішити які завгодно проблеми. З цієї причини у неї накопичилося достатньо привілеїв для доступу в мережу вищого рівня, що виходило за рамки її робочих обов’язків. “Дійсно, тенденція надавати таким людям більше привілеїв, ніж їм потрібно, існує, бо ніколи знаєш, що їм може знадобитися, щоб комусь допомогти “, – ділиться Понемон.


Іноді Саллі працювала з дому зі свого робочого лептопа, який був отконфигурировать так, що у неї був доступ в мережу самого вищого рівня. Відповідно до політики компанії, з ІТ-співробітниками начебто Саллі було особливе обходження, і вони часто самі вирішували, які інструменти використовувати в своїх системах.


Але коли корпорація вирішила віддати більшу частину своїх ІТ-операцій на аутсорсинг в Індію, Саллі перестала відчувати себе особливою. Хоча компанія ще офіційно і не оголосила про це персонал, ІТ-інсайдерам відразу стало зрозуміло, що для багатьох співробітників відділу час роботи в компанії вийшло.


Саллі жадала помсти. Вона заклала “логічні” бомби, які викликали пошкодження всіх серверів, як тільки вона пішла. Спочатку в компанії не могли зрозуміти, що відбувається. Вони переключилися до резервних серверів, але Саллі заклала бомби і в них. У компанії були непрості часи, тому що спочатку було абсолютно незрозуміло, через що все це відбулося.


В результаті, диверсію Саллі розкрили і пред’явили їй звинувачення. В обмін на згоду Саллі полагодити системи компанія, їй пообіцяли не доводити справу до суду. Крім того, Саллі довелося пообіцяти ніколи публічно не розповідати про цей інцидент. Їм не хотілося, щоб вона прийшла в якесь ток-шоу на ТБ і повідала, як їй вдалося зламати хребет такої компанії, як Fortune 500.


Витрати: загальні витрати компанії склали близько 7 млн ​​доларів, де 5 млн пішли на нижчі витрати (час простою, дестабілізація бізнесу і потенційні втрати замовників), а 2 млн – на оплату криміналістів і консультантів по системах безпеки.


Превентивні заходи: що ж компанія робила не так? По-перше, інцидент є класичним прикладом “ескалації привілеїв”, тобто ось що відбувається, коли людині надають деякі привілеї для виконання певних завдань, але не анулюють їх, коли вони більше не потрібні.


По-друге, політика надання права призвела до відсутності розподілу обов’язків та контролю над діяльністю ІТ. Через це керівництво упустило з виду важливий сигнал про небезпеку. Після цього інциденту компанія з’ясувала, що за останні три роки Саллі “втратила” 11 ноутбуків. Співробітники відділу підтримки знали про це, але ні один не повідомив про це керівництву, частково через статус Саллі в організації. Ніхто не знав, що вона зробила з усіма цими лептопами, можливо, вона і справді просто розсіяна, але все ж це проблема саме системного адміністратора.


По-третє, враховуючи напружену атмосферу, яка виникає при вирішенні залучити для роботи третю сторону, компанії слід бути більш пильною і попереджати подібні випадки, спостерігаючи за потенційно злісними співробітниками.


Навіть якщо ви нічого не анонсуєте своїм співробітникам, було б помилкою вважати, що вони не знають, що відбувається навколо них. Середньостатистичний рядовий співробітник дізнається про те, що CEO підписав аутсорсинговий контракт, в лічені наносекунди. Якщо ви ще не контролюєте роботу свого ІТ-персоналу, зараз саме час зайнятися цим. Щоб домогтися найкращих результатів, слід запустити якусь програму, офіційно оголосивши про те, що ви будете займатися моніторингом діяльності співробітників.


За даними CERT, більшість випадків диверсії були викликані саме невдоволенням співробітника. До того ж, їх можна привести в дію в мить ока.


Звільнення, яке пішло не так


Коли компанія Fortune 100 займалася модернізацією своєї системи безпеки, вона зробила жахливе відкриття. Один з головних сисадмінів компанії, який працював там вже років 8, без розголосу додав свою сторінку на комерційний сайт компанії. “Філ” вів жваву торгівлю і продавав піратське ТВ-обладнання для супутникового мовлення, головним чином, вироблене в Китаї, поділився своєю історією Джон Хеймел, директор зі стратегічних систем безпеки компанії Solutionary.


Удосконалена система безпеки допомогла швидко вирахувати злочинця. Але керівництво недбало поставився до процесу звільнення, і останнє слово залишилося за Філом.


Сама будучи рітейлером високотехнологічного устаткування, компанія хотіла позбавитися від Філа та його сайту як можна швидше, тому що побоювалася судових переслідувань виробників обладнання супутникового зв’язку. Але поки керівник Філа і співробітники служби безпеки добиралися до офісу, співробітник відділу кадрів наказав йому залишатися на місці. Хеймел не впевнений, що точно він сказав Філу, але очевидно, цього було досить, щоб той здогадався, що він попався на гачок.


Уже зареєстрований в корпоративній мережі, він негайно видалив корпоративний ключ кодування. Коли він натискав кнопку Delete, з’явився його начальник і співробітники служби безпеки і наказали йому негайно зупинитися і відійти від терміналу. Але було вже пізно.


У файлі зберігалися всі ключі кодування компанії, включаючи ключ депонування – майстер-ключ, який дозволяв компанії декодувати будь-який файл будь-якого співробітника. Тим не менш, у головному ключі були копії ключів кодування тільки 25 співробітників, більшість з яких працювали в юридичному відділі та відділі контрактів, і єдина копія корпоративного ключа кодування. Значить все, що ці співробітники закодували за останні три роки з тих пір, як почали використовувати цю систему кодування, назавжди залишилося зашифрованим, і віртуально матеріали були втрачені ними назавжди.


Витрати: Хеймел не рахував, скільки цей інцидент коштував компанії, але, за його оцінкою, втрата цих ключів коштувала втрати продуктивності у розмірі 18 людино-років. Сюди включена робота, яка була вкладена у створення файлів, і які назавжди залишилися закодованими, і час, присвячене відтворенню матеріалів з чернеток, старої електронної пошти та інших некодованому документів.


Превентивні заходи: зосередившись тільки на те, що станеться з ними, якщо ще хтось виявить цей нещасливий сайт, компанія здійснила дві великі помилки, упевнений Хеймел. Треба було відразу закрити Філу доступ до системи, як тільки його підпільну діяльність виявили. І керівники самі опинилися уразливими, оскільки не зберігали резервну копію важливої ​​корпоративної інформації.


Найкращий захист повинна бути багатогранною


Всі ці історії демонструють, що немає ніякого універсального способу, здатного захистити вас від недобросовісних ІТ-співробітників. У вас може бути прекрасна технічна система безпеки, на зразок тієї, багатоярусної, яка, в кінцевому підсумку, і виявила неавторизований сайт Філа, але проста помилка може запросто призвести до катастрофи. Або це можуть бути явні сигнали небезпеки, які проявляються в поведінці, які залишаються непоміченими, начебто зниклих лептопів Саллі.


Найкращий захист, на думку Капель, забезпечить тільки комбінація технічних засобів безпеки та візуальне спостереження. Але поки що досить важко переконати компанії робити і те, і інше. Керівники вважають, що такі проблеми можна вирішити тільки за допомогою одних технологій, принаймні, частково, тому що вони чують, як вендори моніторингових систем та інших продуктів захисту стверджують, що їхні інструменти забезпечать відмінний захист. Топ-менеджери повинні зрозуміти, що це проблема стосується не тільки ІТ-відділу. І цей урок компанії часто засвоюють, лише оступившись одного разу. Багато CEO наївно вважають, що з ними цього не станеться ніколи. До тих пір, поки це дійсно не трапиться.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*