Как найти и обезвредить сотрудника-саботажника
Секретная служба США совместно с CERT (Computer Emergency Response Team) представили результаты собственного исследования внутренних угроз ИТ-безопасности.
Аналитикам удалось установить, что подавляющая часть сотрудников, которые тем или иным образом саботировали ИТ-инфраструктуру компании, занимали технические должности в пострадавшей организации. В результате их действий компании понесли финансовые убытки, столкнулись с негативными последствиями в бизнес-процессах, пострадала так же их репутация. Часто злоумышленников удается привлечь к ответственности, в основном, из-за нарушения федерального законодательства.
Так же были выявлены некоторые другие закономерности:
- Любой неприятный инцидент на работе подстегивает саботирующие действия недобросовестных сотрудников.
- Многие злоумышленники стараются вести себя на рабочем месте как положено и не вызывать подозрения, при этом большая часть планирует свои вредоносные действия заранее.
- Будущие корпоративные диверсанты часто при найме на работу получают права администратора на доступ к корпоративной сети или привилегированные полномочия на управление ИТ-ресурсами, однако на момент саботажа авторизованный доступ к ИТ-инфраструктуре имеют меньше половины злоумышленников.
- Если сотрудник хочет навредить своему работодателю, то в большинстве случаев он предпочтет какой-нибудь простой метод или незамысловатое средство, которое саботирует приложения, бизнес-процессы, процедуры и т.д. Иногда недобросовестные служащие применяют уже готовые инструменты, в которых реализованы довольно сложные механизмы атак.
- Большая часть корпоративных диверсантов специально компрометируют учетные записи пользователей, создают неавторизованные учетные записи для скрытого входа в систему, а также используют многопользовательские учетные записи.
- В подавляющем большинстве случаев деструктивные действия осуществлялись при удаленном доступе к корпоративной сети.
- Подавляющее большинство внутренних атак становится заметными только тогда, когда в информационной системе появляется серьезное отклонение или она становится вовсе не доступной.
Портрет типичного саботажника
Выше уже упоминалось, что в большинстве своем внутренние злоумышленники являются бывшими служащими компании. По данным CERT, на момент совершения атаки 59% саботажников уже не состояли в штате постоянных или временных сотрудников организации, а 41% соответственно по-прежнему работали в компании. Что же касается бывшего персонала, то 48% саботажников были уволены, 38% уволились сами, а 7% были уволены в связи с остановкой производства.
Важно заметить, что саботажники чаще всего занимали технические должности. На долю этих внутренних диверсантов приходится 86% инцидентов. Среди них 38% системных администраторов, 21% программистов, 14% инженеров, 14% специалистов по ИТ. Что же до саботажников, не работающих в технических департаментах, 10% работают среди прочего редакторами, менеджерами, аудиторами и т.д. 4% саботажников приходится на сферу обслуживания, в частности на общение с клиентами.
При этом в 77% случаев внутренние диверсанты трудятся полный рабочий день, в 8% по скользящему графику, а еще в 8% являются консультантами или подрядчиками. При этом в 4% случаев в роли саботажниками выступают временные служащие, а в 2% – субподрядчики.
Среди других характерных черт корпоративных злоумышленников стоит выделить половую принадлежность: 96% саботажников являются мужчинами. Однако по другим демографическим параметром выявить какую-либо закономерность не удалось. Например, диверсию может организовать как подросток, так и пенсионер, как женатый, так и разведенный и т.д.
Важным моментом является криминальное прошлое, которое часто, но ошибочно, приписывают внутренним вредителям. Экспертам CERT удалось установить, что арестам в прошлом подвергались только лишь 30% злоумышленников. Среди них 18% за насильственные преступления, 11% за преступления, связанные с алкоголем или наркотиками, 11% за мошенничество.
Следует отметить, что четкий портрет организации, страдающей от действий саботажников, составить очень сложно. Это может быть как правительственное учреждение, так и представитель частного бизнеса. Однако наиболее часто (82%) от внутренних диверсантов страдают компании, работающие в секторе ИТ и телекоммуникаций.
Мотивы и план действий внутреннего саботажника
Грустные примеры из жизни
Пример 1
Системный администратор преуспевающей компании, работающей в
оборонной промышленности, рассердился на начальство, так как решил, что его
недооценивают в то время, как вся корпоративная сеть построена и управляется
только благодаря его [администратора] стараниям и усилиям. Системный
администратор поместил программное обеспечение, которое поддерживает
промышленные процессы в компании, на одном единственном сервере. Потом он
запугал своего сослуживца и забрал единственную резервную копию этих программных
продуктов. После того, как руководство уволило системного администратора
вследствие агрессивного и неподобающего отношения к коллегам, логическая бомба
детонировала. Обиженный сотрудник стер все данные на сервере, в результате чего
компания понесла убытки в размере $10 млн., что привело к увольнению 80
служащих.
Ключом к понимаю корпоративных диверсий являются
мотивы внутреннего саботажа. С этой точки зрения наиболее показательным является
следующий пример.
Компания выяснила, что сотрудник достаточно компетентен в дизайне и программировании, и попросила его разработать корпоративный веб-сайт. Несколько месяцев спустя этому служащему был объявлен выговор за систематические прогулы, а президент компании сообщил ему, что руководство планирует отстранить его от работы. В этот же день, обиженный сотрудник удаленно вошел в корпоративную сеть, удалил некоторые данные, а также поменял текст и картинки на веб-сайте компании. Когда саботажника задержали правоохранительные органы, он объяснил свое поведение тем, что разозлился на работодателя за то, что его отстранили.
Таким образом, самым главным мотивом к проведению диверсии со стороны служащего является месть. Более того, стыки с начальством или коллегами на работе только катализируют деструктивную активность разъяренных сотрудников. Именно подобные инциденты часто встречаются на практике.
Аналитикам CERT удалось выяснить, что в 92% случаев саботажу предшествует неприятный инцидент или целая серия таких инцидентов на работе. Что это может быть? В 47% случаев – увольнение, в 20% – спор с нынешними или бывшими коллегами, 13% – перевод в должности или наоборот отсутствие повышения.
Другими словами, 85% всех внутренних диверсантов рассержены на кого-то, кого они ассоциируют с компанией. Так в 57% случаев сослуживцы саботажника характеризовали его, как чрезвычайно рассерженного и раздраженного человека.
Итак, 84% злоумышленников руководствуются хотя бы частично местью. В 41% случаев они хотят донести свою ярость до обидчика, в 12% требуют признание собственной значимости и уважения, в 12% выражают свое несогласие с политикой компании, а еще в 12% – несогласие с культурой компании. В общем, в 57% случаев сотрудники руководствуются более чем одним мотивом.
Очень острым вопросом является предупреждение действий внутреннего злоумышленника, однако для этого необходимо выявить те симптомы, которые предшествуют деструктивной активности. Выше уже говорилось, что сотрудник, задумавший, например, отомстить компании, старается вести себя как положено и заранее планирует свои действия. С этой стороны он выделяется разве что низкой производительностью труда. Тем не менее, глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам, например, по электронной почте, или заранее делится своими мыслями с кем-то из коллег. То есть, очень часто информация о том, что работник собирается навредить компании где-то или у кого-то есть.
Не стоит также забывать, что саботажу часто предшествуют споры с начальством и коллегами, а, следовательно, некоторая раздражительность или нервозность в поведении сотрудника.
Статистика CERT говорит о том, что 62% корпоративных диверсантов продумывают свои действия заблаговременно. В 47% случаев они совершают подготовительные действия, например, крадут резервные копии конфиденциальных данных. В 27% – конструируют и проверяют механизм атаки, например, логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т.д. При этом в 37% случаев активность сотрудников вполне можно заметить: 67% подготовительных действий заметно в режиме online, 11% – offline, 22% – и так и так.
В 31% случаев у других людей есть информация о планах диверсанта. Из них 64% – у коллег, 21% – у друзей, 14% – у членов семьи, а еще 14% – у сообщников.
Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. Таким образом, даже если уволить системного администратора и сразу же заблокировать его учетную запись, но забыть об его привилегии удаленного доступа и оставить прежним пароль root в системе, то рассерженный служащий очень быстро сможет отомстить начальству. В одном из таких инцидентов диверсанту удалось вывести из строя всю корпоративную сеть на 3 дня.
Грустные примеры из жизни
Пример 2
Разработчик приложений потерял свое место в компании,
работающей в секторе ИТ, вследствие сокращения штатов. В отместку за это бывший
служащий атаковал сеть фирмы как раз перед рождественскими праздниками. Спустя
три недели после увольнения, он удаленно вошел в корпоративную сеть,
воспользовавшись учетной записью и реквизитами одного из своих бывших коллег,
модифицировал данные на веб-сервере компании, изменил текст и вставил
порнографические изображения. После этого рассерженный разработчик послал всем
клиентам компании электронные письма, призывая открыть корпоративный веб-сайт и
убедиться, что он был взломан. В каждом сообщении содержались имя и пароль
клиента для доступа к веб-сайту. Было начато расследование, но установить
личность преступника не удалось.
Спустя полтора месяца злоумышленник снова удаленно вошел в сеть, выполнил
программу-сценарий, которая изменила все сетевые пароли и 4 тыс. записей в базе
данных цен. На этот раз рассерженного разработчика удалось вычислить и поймать.
Его приговорили к пяти месяцам тюрьмы и двум годам условно. Также наказание
включало штраф в размере $48,6 тысяч, которые бывший сотрудник должен был
выплатить своему прежнему работодателю.
Таким образом, по данным
CERT 57% саботажников имеют права администратора в системе во время работы, из
них 85% на момент совершения диверсии уже лишились таких широких полномочий на
доступ к корпоративной среде. Если рассмотреть последнюю категорию
злоумышленников более детально, то окажется:
- 38% недобросовестных служащих были уволены (или уволились сами) и их учетная запись была заблокирована;
- 27% были уволены (или ушли сами), но их учетная запись осталась дееспособной;
- 12% остались работать в компании и, следовательно, по-прежнему являлись авторизованными пользователями, но уже с уменьшенными полномочиями.
- 8% были уволены (или уволились сами), но сохранили доступ к корпоративной среде, правда, с ограниченными правами.
Вдобавок к этому, 33% саботажников были взяты на работу сразу с правами
привилегированных пользователей, но 60% из них не имели таких широких полномочия
на момент совершения диверсии. Интересно, что авторизованный доступ к сети
организации во время совершения деструктивных действий имели только 43%
злоумышленников.
Что касается самой атаки, то 61% саботажников предпочитает простые и незамысловатые механизмы, например, команды пользователя, обмен информацией, эксплуатацию физических уязвимостей безопасности. Оставшиеся 39% саботажников применяют более изощренные методы атаки: собственные программы или сценарии, автономные агенты и т.д. В 60% случаев злоумышленники компрометируют учетные записи, чтобы с их помощью потом провести атаку. В 33% инцидентах это компрометация имени пользователя и пароля; в 20% неавторизованное создание новой учетной записи. Важно заметить, что в 92% случаев заметить подозрительную активность в данной сфере до момента совершения диверсии почти невозможно.
Важным вопросом является определение атаки. Выше уже говорилось, что атаку чаще всего удается обнаружить только после того, как корпоративная система становится вообще недоступной или в ней появляются действительно сильные отклонения. Как в этом случае вычислить виновного? Практика показывает, что помочь в этом могут только журналы системных событий. При этом надо учитывать, что злоумышленник сделает все возможное и невозможное, чтобы скрыть свою личность, предстать кем-то другим или как-то запутать следы. Однако во многих случаях диверсанта могут вычислить другие служащие, не имеющие с безопасностью ИТ-инфраструктуры ничего общего.
Если перевести эти данные на язык цифр, то получится, что 63% атак было замечено лишь потому, что в системе появились сильные отклонения. В 42% случаев система вовсе вышла из строя. При этом в 70% инцидентов злоумышленника удается вычислить по журналам системных событий, в 33% по IP-адресу диверсанта, в 28% по телефонным записям, в 24% по имени пользователя, в 13% за счет процедур аудита.
В тех же случаях, когда используются журналы системных событий, чаще всего нужно исследовать журнал событий удаленного доступа (73%). За ним с большим опозданием следуют журнал доступа к файлам (37%), журнал изменения системных файлов (37%), журналы приложений и баз данных (30%), почтовые журналы (13%). В общем, в 31% случаев для идентификации злоумышленника используются сразу несколько журналов.
В 76% инцидентах внутренние диверсанты пытаются скрыть всю личность (31%), действия (12%) или одновременно и то и другое (33%). Саботажники могут модифицировать или удалить журналы событий, создавать скрытые входы в систему и неавторизованные учетные записи, подделывать свой IP-адрес. При этом 71% саботажей совершается сотрудниками, не связанными с обеспечением ИТ-безопасности.
Наконец стоит перейти к тем последствиям, к которым приводит внутренняя корпоративная диверсия. По данным CERT компании несут финансовые потери, получают урон репутации и проблемы с бизнес-процессами. В некоторых случаях атака саботажника направлена не только на организацию, но и на конкретных служащих.
Однако наиболее точно удается подсчитать финансовые потери в результате внутренних атак. Так 42% компаний потеряли до 20 тыс. долларов в результате одного инцидента саботажа; 9% – от 20 тыс. долларов до 50 тыс. долларов; 11% – от 50 тыс. долларов до 100 тыс. долларов; 2% – от 200 тыс. долларов до 200 тыс. долларов; 7% – от 200 тыс. долларов до 300 тыс. долларов; 9% – от 1 млн. долларов до 5 млн. долларов и 2% – более 10 млн. долларов.
Рассматривая другие последствия внутренних атак можно выделить: сбои в системе коммуникаций вследствие атаки на сеть, маршрутизаторы, серверы или точки удаленного подключения; остановку продаж в связи с уничтожением приложений, отвечающих за продажи, или модификацией записей в базе данных; неудобства пользователей или клиентов в связи с изменением их паролей; уничтожение или повреждение критической информации, например, важного программного обеспечения, компьютерных систем, хранилищ данных и т.д. Вдобавок к этому, 28% пострадавших компаний уронили собственную репутацию в глазах общественности и клиентов.
Предотвращение актов внутреннего саботажа
Начать следует с основного мотива, побуждающего сотрудника к совершению диверсии. Это – месть. Так же следует учитывать, что неприятные инциденты на работе, споры с коллегами, отсутствие повышения и некоторые другие события могут подстегнуть служащего к атаке. Последним фактором является некоторая нервозность и раздраженность уязвленных работников. Таким образом, необходимо уделять повышенное внимание тем сотрудникам, которые недавно столкнулись с неприятными инцидентами в рабочем процессе. Также очень важно создать процедуры, которые позволят служащим высказывать свое мнение по вопросу, который ущемляет их самолюбие, и получить уверенность, что их мнение будет учтено. В последнем случае создается способ разрядить напряженную ситуацию и восстановить здоровую рабочую атмосферу.
Тем не менее, всегда есть и будут саботажники, которые заранее планируют свою деструктивную активность, стараются маскировать свое поведение и не идут на добровольную разрядку ситуации. С этой точки зрения, необходимо создать систему обмена информацией и мнениями, которая позволит собирать данные о подозрительном поведении служащих, проверять и анализировать поступающие сведения. Важным звеном в предотвращении внутренних атак является разработка официальных документов и политик, которые будут четко описывать действия руководства или ответственных лиц в случае появления каких-либо подозрений о готовящейся диверсии.
Напоследок стоит остановиться на обязательных процедурах, которые должны быть реализованы в тех или иных случаях. Необходимо блокировать все возможные входы в корпоративную сеть для тех сотрудников, которые были уволены или уволились сами. Такие процедуры должны приводиться в исполнение сразу же после изменения штатов компании. Далее, очень важным является контроль над техническим персоналом, имеющим широкие полномочия для доступа к ИТ-инфраструктуре, и системными администраторами. Так же большинство неизощренных атак может быть предотвращено и детектировано на раннем этапе благодаря здоровым политикам ИТ-безопасности. Следует уделять повышенное внимание учетным записям и паролям пользователей, так как они часто остаются без присмотра. Остро стоит проблема обеспечения безопасности удаленного доступа к корпоративной среде. Здесь рекомендуется применять эшелонированные средства защиты.
Чтобы определить, что ИТ-инфраструктура была атакована, необходимо анализировать записи в журналах событий и осуществлять мониторинг за корпоративной средой. В то же самое время необходимо всеми техническими средствами защитить журналы системных событий от модификации и удаления. Таким образом, злоумышленнику будет значительно сложнее скрыть свою личность или подставить другого сотрудника. Необходимо так же иметь законодательные процедуры, которые позволят провести масштабное расследование инцидента и наказать виновного.
Чтобы смягчить удар от внутреннего саботажа, следует, во-первых, защитить критически важные данные и части ИТ-инфраструктуры, во-вторых, регулярно проводить резервное копирование. Что касается создания резервных копий, то их необходимо тестировать. В целом, нужен контроль над проведением процедур резервного копирования.
Предотвратить можно
Грустные примеры из жизни
Пример 3
Служащий муниципального самоуправления не был назначен на
должность финансового директора. Это место отдали другому сотруднику. Чтобы
отомстить, рассерженный чиновник удалил все файлы на своем компьютере и
компьютерах сослуживцев за день до того, как новый финансовый директор должен
был вступить в должность. Следствие доказало вину обиженного работника, но по
соглашению с муниципалитетом в связи с тем, что многие файлы удалось
восстановить, против злоумышленника не было возбуждено уголовное дело и ему
позволили уволиться.
От внутренних атак страдают организации
любого масштаба. По данным CERT даже компании, число сотрудников в которых не
превышает 100 человек. В то же самое время саботажником может оказаться, кто
угодно: мужчина, женщина, подросток, пенсионер и т.д. Однако следует учитывать,
что это в основном работники технической сферы: программисты, веб-дизайнеры,
системные и сетевые администраторы и т.д. Желание совершить диверсию чаще всего
приходит при увольнении сотрудника (даже добровольном).
Следует проводить тренинги среди персонала и научить служащих выявлять саботажника по его поведению, а не стереотипному шаблону. Например, внутренние злоумышленник часто угрожают совершить что-нибудь деструктивное по отношению к компании или коллегам, обсуждают планы мести с кем-то из сослуживцев. В рамках обучения персонала необходимо достичь взаимопонимания, сотрудники должны разделять ценности и культуру организации. Так же служащие должны понять, что у них есть способ конфиденциально или открыто донести свое мнение до руководства или обсудить какую-то проблему с коллегами, а также сообщить о чьем-то подозрительном поведении.
Что касается практических мер, то необходим контроль над учетными записями, паролями и удаленным доступом в корпоративную сеть. Многие инциденты удается предотвратить благодаря мониторингу и выявлению ненормальной активности пользователей или изменению конфигурационных (иногда системных) файлов. При этом сотрудники обязательно должны быть в курсе, что производится постоянный мониторинг за их деятельностью. С точки зрения сбора и анализа сведений не должно быть никаких исключений: необходимо следить и за системными и сетевыми администраторами, и за пользователями с широкими полномочиями и т.д.
Внутренний саботаж можно остановить, но для этого необходимо комплексное решение – многоуровневая стратегия, включающая политики, процедуры, технические средства управления. Так же важно уделить внимание таким организационным аспектам, как политикам и процедурам в бизнесе, корпоративной культуре, техническому оснащению рабочих мест.