Все знают о кибератаке 2013 года на Target, когда злоумышленники похитили номера платежных карт около 40 млн и персональные данные около 70 млн покупателей. Это бросило тень на репутацию компании, вызвало падение ее прибыли и привело к увольнению генерального директора и директора по информационным технологиям. Менее известен другой факт: хотя воры и были для компании посторонними, они получили доступ к системам розничной сети, используя учетные данные одного из сотрудников. Им оказался продавец холодильного оборудования.
Случай с Target — лишь один из примеров явления, которое в последнее время набирает обороты. Нападения извне — постоянные хакерские атаки из Китая на интеллектуальную собственность, вирус Stuxnet, выходки восточноевропейских преступных группировок — привлекают всеобщее внимание. Однако гораздо бо́льшую угрозу представляют атаки с участием сотрудников самой компании или связанных с ней организаций. «Внутренние враги» способны причинить куда более серьезный вред, чем внешние хакеры, — у них значительно больше возможностей и легкий доступ к системам. Вызванный ими ущерб — это и приостановка деятельности, и нарушение прав интеллектуальной собственности, и урон репутации, и недоверие как инвесторов, так и клиентов, не говоря уже об утечке конфиденциальной информации третьим лицам, включая СМИ. По разным оценкам, ежегодно в США происходит не менее 80 млн инсайдерских атак, причем реальная цифра может быть существенно выше: о подобных инцидентах часто умалчивают. Очевидно, что на сегодня общий объем убытков от них составляет десятки миллиардов долларов в год.
Многие руководители признают, что у них до сих пор нет необходимых средств защиты для обнаружения или предотвращения инсайдерских атак. Одна из причин — организации по-прежнему не желают признавать масштаб угрозы.
На протяжении последних двух лет мы возглавляем международный исследовательский проект, который финансируется Центром по защите национальной инфраструктуры (CPNI), входящим в структуру британской Службы безопасности МI5, и ставит своей целью существенно повысить способность организаций обнаруживать и предотвращать угрозы, идущие изнутри. Наша команда состоит из 16 человек, в нее входят специалисты по компьютерной безопасности, преподаватели бизнес-школ по корпоративному управлению, преподаватели менеджмента, специалисты по визуализации информации, психологи и криминалисты из Оксфордского, Лестерского и Кардиффского университетов.
Междисциплинарный подход привел нас к выводам, которые позволяют оспорить общепринятые взгляды и методы (см. раздел «Общепринятые подходы, которые не работают»). Так, многие компании сегодня пытаются помешать сотрудникам использовать офисные компьютеры для доступа к интернет-ресурсам, не связанным напрямую с их рабочими задачами, — к Facebook, сайтам знакомств, порталам политических новостей. Мы же считаем, что вместо этого стоит предоставить сотрудникам свободу действий в интернете, но установить на компьютеры легкодоступные программы безопасности для отслеживания активности: это даст важную информацию о поведении и личных особенностях пользователей — и тем самым поможет распознать потенциальную опасность. В этой статье мы расскажем о результатах наших исследований относительно эффективных способов свести к минимуму вероятность инсайдерских атак.
Идея вкратце
Угроза
Кибератаки с участием инсайдеров — сотрудников, поставщиков или других компаний, которые на законных основаниях имеют доступ к компьютерным системам компании, — случаются все чаще и причиняют серьезный ущерб. На их долю приходится более 20% всех кибератак. Широко используемые средства защиты против них неэффективны.
Ключ к решению проблемы
Чтобы снизить уязвимость к инсайдерским атакам, компаниям следует придерживаться того же подхода, что и для повышения эффективности работы и уровня безопасности: сделать эту задачу неотъемлемой частью работы каждого.
Необходимые действия
Необходимо внимательно отслеживать действия сотрудников и объяснять им, с какими угрозами они могут столкнуться и о каких подозрительных событиях они должны сообщать. От поставщиков и дистрибьюторов следует требовать минимизации рисков, при этом и тех и других нужно регулярно проверять. Руководители должны работать в тесном контакте со своими IT-отделами над обеспечением безопасности основных активов.
Внутренние угрозы исходят от тех, кто использует санкционированный доступ к корпоративным ресурсам в несанкционированных злонамеренных целях или непреднамеренно создает в них уязвимые места. Такими людьми могут быть штатные сотрудники (от уборщиков до топ-менеджеров), подрядчики или сторонние организации — поставщики баз данных и других компьютерных услуг (Эдвард Сноуден, прославившийся кражей конфиденциальной информации Агентства национальной безопасности США, работал на одного из подрядчиков АНБ). Пользуясь предоставленным им доступом, они могут выводить из строя компьютерные системы, похищать или искажать данные, но при этом не попадают в зону внимания обычных средств по обеспечению безопасности, которые направлены на охрану внешнего периметра: они сосредоточены на точках входа, а не на том, что происходит внутри системы.
По данным компании Vormetric, лидирующей в области компьютерной безопасности, 54% управленческого персонала в крупных и средних организациях разделяют мнение, что обнаруживать и предотвращать инсайдерские атаки сегодня сложнее, чем в 2011 году. При этом подобных атак становится все больше — как в количественном выражении, так и в процентах от всех кибератак, о которых сообщают организации: исследование, проведенное компанией KPMG, показало, что их число увеличилось с 4% в 2007 году до 20% в 2010 году. Результаты нашего анализа показывают, что этот процент продолжает расти. Кроме того, внешние атаки могут включать в себя помощь изнутри — как осознанную, так и непреднамеренную. Случай с Target — наглядный тому пример.
Эта растущая угроза объясняется целым рядом факторов, связанных с меняющимся IT-ландшафтом. Они не вызывают особого удивления — и в этом суть проблемы. Открытые двери, которые делают организации уязвимыми для инсайдерских атак, — обыденное явление, они повсюду.
Известно ли вам, кто управляет вашими облачными сервисами, кто хранит свои данные на тех же серверах, что и вы, насколько эти сервера безопасны? Заслуживают ли доверия те, кто предоставляет вам другие аутсорсинговые услуги, — кол-центры, логистика, уборка, подбор персонала, CRM? В 2005 году четыре клиента Citibank в Нью-Йорке были обмануты сотрудниками кол-центра в городе Пуна (Индия) на сумму около $350 000. Но на самом деле вина лежала на сотрудниках компании по обслуживанию программного обеспечения, которой Citibank передал работу на аутсорсинг, — это они сумели собрать личные данные клиентов, PIN-коды и номера счетов.
Сайты даркнета, где не слишком щепетильные посредники торгуют большими объемами конфиденциальной информации, множатся и процветают. На таких подпольных площадках можно купить все что угодно — от паролей покупателей и данных кредитных карт до интеллектуальной собственности. Инсайдеры часто готовы предоставить доступ к этим активам, причем стоить это будет куда дешевле, чем на черном рынке. Это только способствует развитию индустрии «киберпреступность как услуга».
Все чаще сотрудники компаний — как правило, непреднамеренно — подвергают своих работодателей риску, используя для работы электронные гаджеты. Наша команда, как и другие специалисты, выяснила, что службы безопасности компаний не в состоянии противостоять опасностям, связанным с распространением этих устройств. Согласно недавнему отчету Alcatel-Lucent, в мире одномоментно — в каждую секунду — насчитывается около 11,6 млн инфицированных мобильных устройств, а в 2013 году количество заражений таких устройств вредоносным ПО выросло на 20%.
Виноваты не только смартфоны и планшеты, это могут быть и более простые устройства — флэш-накопители, телефонные карты памяти. «Самый простой способ проникнуть в неподготовленную компанию — разбросать на парковке зараженные USB-флэшки с логотипом компании, — рассказывает Майкл Голдсмит, член нашей команды и помощник директора Оксфордского центра кибербезопасности, имея в виду атаку на голландскую химическую компанию DSM в 2012 году. — Кто-то из сотрудников непременно поднимет хотя бы одну из них».
Широко сообщалось, что участникам саммита G20 под Санкт-Петербургом в 2013 году были розданы USB-накопители и зарядные устройства для мобильных телефонов, содержащие вирусы для кражи информации. А червь Stuxnet, поразивший иранский завод по обогащению урана в 2008–2010 годах, по имеющимся сведениям, был внедрен в системы, не подключенные к интернету, с помощью USB-накопителей.
Честно говоря, мы все уязвимы.
Социальные сети создают все условия для утечки различного рода деловой информации и распространения ее по всему миру — часто без ведома компании. Они также позволяют вербовать инсайдеров и с их помощью получать доступ к корпоративным ресурсам. Очень успешно работают мошеннические схемы на сайтах знакомств: опытный аферист, изображающий любовный интерес, успешно морочит голову сотруднику или сотруднице компании, чтобы выведать конфиденциальную информацию. Другие стратегии предполагают использование информации, полученной в социальных сетях, для давления на сотрудников: кибершантажист может угрожать удалить файлы или загрузить порнографические изображения на офисный компьютер жертвы, если та откажется передать ему служебную информацию.
Руководство вслепую
Мы опросили 80 руководителей высшего звена на тему их осведомленности об инсайдерских угрозах в сфере кибербезопасности, а затем проанализировали в деталях конкретные случаи из реальной жизни. Вот краткий обзор того, что мы выяснили.
Руководители компаний во всех странах и в большинстве сфер деятельности (исключение составляют банки и энергетические компании) практически ничего не знают об инсайдерских угрозах.
Они склонны считать, что за безопасность отвечает кто-то другой (как правило, IT-отдел).
Лишь немногие из руководителей понимают, как важно отслеживать необычное поведение сотрудников — например, посещение экстремистских сайтов или начало работы в нестандартное время, — для того, чтобы заблаговременно распознать возможную атаку.
Почти две трети специалистов по внутренней и внешней безопасности испытывают трудности, пытаясь убедить советы директоров, что игнорирование вопроса об инсайдерской угрозе сопряжено с серьезными рисками.
Лишь немногие IT-службы получают указания, какие информационные активы представляют наибольшую ценность, какой уровень риска можно считать приемлемым и сколько средств следует вложить в предотвращение атак.
При анализе множества примеров из практики как государственных, так и частных организаций было установлено, что инсайдеры, которые осознанно участвуют в кибератаках, руководствуются самыми разными мотивами. Это может быть материальная выгода, месть, потребность в признании, жажда власти, реакция на шантаж, привязанность к другим работникам организации, а также политические убеждения.
В ходе нашего исследования мы рассмотрели один пример — атаку отвергнутого поклонника на небольшую, но быстроразвивающуюся компанию по виртуальному обучению в 2014 году. Менеджер этой компании пожаловался своему начальнику на одного из сотрудников — системного администратора, который присылал ему цветы на работу, отправлял сообщения непристойного содержания и постоянно ездил мимо его дома. Получив явный отказ, злоумышленник испортил базу данных компании с обучающими видеоматериалами и сделал недоступными резервные копии. Его уволили. Однако он, зная, что у компании нет доказательств его вины, занялся шантажом — потребовал несколько тысяч евро, угрожая обнародовать информацию о недостаточной защищенности компании, что могло бы повредить ее предстоящему выходу на биржу. Этот инцидент, дорого обошедшийся жертвам, остался неучтенным — как и большинство преступлений, совершаемых внутри компании.
Все более широкое распространение получает взаимодействие сотрудников компаний с организованной преступностью и группами экстремистов. Во многих странах в настоящее время действуют компьютерные группы реагирования на чрезвычайные ситуации (CERT) для защиты от этой и подобных атак. Из 150 случаев, рассмотренных Центром по противодействию инсайдерским угрозам CERT при Университете Карнеги–Меллона в своем докладе за 2012 год «В центре внимания: злоумышленники-инсайдеры и организованная преступная деятельность», 16% были связаны с организованной преступностью.
Одним из таких случаев стала кража в 2012 году российской бандой реквизитов 3,8 млн незашифрованных банковских счетов и почти 4 млн налоговых деклараций Департамента доходов Южной Каролины. Расследование показало, что атаке поспособствовал сотрудник, кликнувший по ссылке в электронном письме, — это позволило преступникам украсть его учетные данные и получить доступ к государственным базам данных.
Моника Уитти, психолог из Лестерского университета, входившая в состав нашей команды, и многие другие исследователи указывают, что сотрудникам организаций, готовым по собственной воле участвовать в кибератаках или помогать в их проведении, свойственна по меньшей мере одна черта так называемой «темной триады»: макиавеллизм, нарциссизм, психопатия. Поддерживая эту точку зрения, CPNI в 2013 году провел исследование, в ходе которого выяснилось, что злоумышленники-инсайдеры, как правило, демонстрируют некую комбинацию следующих личностных качеств: незрелость, низкая самооценка, безнравственность (аморальность), поверхностность, склонность к фантазиям, нетерпеливость и импульсивность, недобросовестность, манипулятивность и неуравновешенность.
Роджер Дуронио, системный администратор UBS Wealth Management, осужденный за использование вредоносной «логической бомбы», которая нанесла ущерб компьютерной сети компании в 2006 году, обладал целым рядом этих качеств. Дуронио тревожился за свое рабочее место и пришел в ярость, когда вместо ожидаемой премии в $50 000 получил только $32 000. Поэтому он решил отомстить компании, подорвав ее работу, и заложил «бомбу», которая уничтожила данные на 2000 серверах в офисах UBS по всей территории США; некоторые из них не могли совершать торговые операции в течение нескольких недель. Компания понесла прямые убытки в размере $3,1 млн и еще миллионы долларов в виде скрытого непредвиденного ущерба. За это преступление Дуронио был приговорен к восьми годам тюремного заключения.
Работа с внутренними киберугрозами сродни управлению качеством и безопасностью. Когда-то за все это отвечало одно специализированное подразделение. Но организации уже не могут предупреждать каждый риск, потому что технологическая среда стала чрезвычайно сложной и изменчивой. В связи с этим руководителям больших и малых предприятий необходимо вовлекать в работу каждого своего сотрудника. Рассмотрим пять шагов, которые необходимо сделать в первую очередь.
В них должно быть указано, что можно делать, а чего нельзя: это будет своего рода преграда против неосторожности, небрежности или ошибок сотрудников, подвергающих компанию риску. Правила должны быть краткими и доступными для всех (а не только для специалистов по безопасности и компьютерным технологиям), чтобы их можно было понять, принять и соблюдать. Они должны относиться ко всем уровням организации, в том числе и к высшему руководству.
Сотрудникам следует предоставить инструменты, которые помогут им придерживаться этих правил. Например, можно разработать систему предупреждений, которые будут появляться на экране при попытке зайти туда, где хранятся конфиденциальные материалы. При этом система может запрашивать подтверждение права доступа пользователя к этим данным, а также отслеживать тех, у кого таких полномочий нет.
Нарушение этих правил должно сопровождаться наказанием. Разумеется, если сотрудник совершает серьезное правонарушение (скажем, торгует личными данными клиентов или сознательно внедряет вирусы в компьютерные системы компании), он должен быть уволен и привлечен к ответственности. При первом, менее серьезном нарушении — например, при передаче коллегам паролей для доступа к корпоративным системам, — можно ограничиться предупреждением с занесением в личное дело сотрудника.
Кроме того, необходимо донести до сотрудников, как можно безопасно выполнять повседневные задачи. В дополнение к этому своду правил следует регулярно проводить информационные собрания и внутренние разъяснительные мероприятия — например, размещать на рабочих местах постеры. В некоторых компаниях демонстрируют видеоролики — как нарушение установленных правил может способствовать кибератакам и как их можно предотвратить с помощью простых методов обеспечения безопасности.
Общепринятые подходы, которые не работают
Наиболее распространенные меры кибербезопасности гораздо эффективнее работают против внешних угроз, чем против инсайдеров.
Контроль доступа
Правила, которые запрещают использовать корпоративные устройства в личных целях, не удержат сотрудников от кражи активов.
Управление уязвимостями
Своевременные обновления системы безопасности и проверки на вирусы не позволят ни предотвратить, ни даже «засечь» доступ злоумышленников из числа авторизованных сотрудников или третьих лиц, использующих украденные учетные данные.
Надежная защита границ
Хранение наиболее важных активов внутри защищенного периметра не предотвратит кражу, если у вора есть доступ к защищенным системам.
Установка паролей
Использование сложных или часто меняющихся паролей приводит к тому, что их часто записывают на стикерах, которые легко могут увидеть те, у кого есть физический доступ в помещение.
Информационно-разъяснительные программы
От простого требования — ежегодно перечитывать правила информационной безопасности компании — в сотрудниках волшебным образом не зародятся навыки информационной безопасности. Кроме того, это никак не помешает им предпринимать сознательные вредоносные действия.
Откровенно говорите о возможных угрозах, чтобы сотрудники могли их распознать и оставаться настороже — кто бы ни попытался заручиться их помощью для нападения на компанию. Выстраивайте обучение с учетом того, с какими типами атак могут столкнуться работники при выполнении той или иной операции. К самым распространенным способам проникновения в компьютерную систему организации относится фишинг: посредством фальшивых электронных писем мошенники обманом вынуждают сотрудников делиться личными данными, кодами доступа или переходить по ссылке, которая загружает вредоносные программы (многие не понимают, что поле «От» в электронном письме легко подделать). Проверить уязвимость ваших сотрудников к подобным угрозам можно как самостоятельно, так и с помощью привлечения внешней службы безопасности.
Что вы можете предпринять?
Вот список наиболее важных мероприятий, которые должны обсудить с IT-отделами руководители, непосредственно не занимающиеся технологиями:
Однако иногда бывает непросто защитить сотрудников компании от упорного чужака. В апреле 2013 года французская многонациональная компания стала мишенью продуманной атаки. Одна из помощниц вице-президента по административным вопросам получила по электронной почте письмо со ссылкой на счет в облачном файлообменном сервисе. Она не собиралась открывать этот файл, но через несколько минут раздался звонок. Собеседник убедительно заявил, что он другой вице-президент компании, и распорядился, чтобы сотрудница скачала и обработала присланный счет. Она подчинилась. Документ содержал троянскую программу, которая позволила преступному предприятию — судя по всему, украинскому — удаленно взять под контроль ее компьютер, фиксировать нажатия клавиш и воровать интеллектуальную собственность компании.
Поощряйте сотрудников сообщать о нестандартных или запрещенных технологиях (например, использование внешнего жесткого диска в офисе с сетевым доступом к данным и программному обеспечению) и подозрительном поведении (поставщики или сотрудники без допуска, которые запрашивают файлы с конфиденциальными данными) — точно так же, как они сообщали бы о наличии бесхозного багажа в зале вылета аэропорта.
Сейчас как никогда важно задействовать технологии отбора и методы проведения собеседований, разработанные для оценки честности соискателей. Взять, к примеру, проверку наличия судимостей, выявление ложных сведений в резюме, а также вопросы на собеседовании, непосредственно раскрывающие моральные ориентиры кандидата. Наша команда разрабатывает тесты, которые позволят работодателям выяснять, обладают ли предполагаемые работники опасными чертами личности, схожими с теми, о которых говорится в исследовании CPNI.
Во время собеседования следует также оценить степень осведомленности соискателя в вопросах кибербезопасности. Знает ли он, что такое инсайдерская угроза? В каких случаях он способен передать пароли коллегам? При каких обстоятельствах он может позволить коллеге воспользоваться своим компьютером? Если соискатель силен во всех остальных отношениях, вы можете нанять его, но проследите, чтобы он сразу же прошел обучение правилам безопасности вашей организации и связанным с ними процедурам. Но если этому кандидату предстоит работать в уязвимой среде, хорошенько подумайте, стоит ли брать его на работу.
Как показывает инцидент с Target, важно следить, чтобы поставщики или дистрибьюторы не подвергали вас риску: например, следует свести к минимуму вероятность, что внешние IT-провайдеры найдут «черный ход» к вашим системам. Если риск подвергнуться кибератаке у поставщика значительно ниже, чем у вас, он может и не применять мер контроля, которые требуются вам. Ищите партнеров и поставщиков с тем же отношением к риску и той же культурой, что и в вашей организации, — в этом случае вам будет гораздо легче выработать общий подход к кибербезопасности.
В ходе предварительных обсуждений условий договоров поинтересуйтесь у потенциальных подрядчиков, как они решают вопросы, связанные с инсайдерским риском. Если вы привлекаете их к работе, регулярно проводите проверки, чтобы убедиться, что они придерживаются установленных правил. Дайте недвусмысленно понять, что вы будете проводить такие проверки, и оговорите, в чем они будут заключаться. Компания может потребовать от подрядчиков тех же мер контроля, которые применяет сама: проверку сотрудников на наличие судимостей, отслеживание достоверности данных кандидатов о предыдущих местах работы, контроль доступа к своим данным и рабочим приложениям с целью выявления несанкционированной деятельности, а также предотвращение физического проникновения злоумышленников в служебные помещения, где работают с конфиденциальной информацией.
Дайте сотрудникам понять, что у вас есть возможность контролировать их сетевую активность и что вы будете это делать — в той мере, в какой это разрешено законом. Нельзя полностью оставлять вопросы кибербезопасности на усмотрение экспертов, вы должны ежедневно следить, какая информация исходит из вашей компьютерной системы, а какая поступает к вам. Это означает, что службы безопасности или поставщики услуг должны регулярно проводить оценку рисков: анализ источников угроз, уязвимых сотрудников и сетей, а также возможных последствий в случае, если риск выльется в настоящую атаку. Следует также отслеживать действия, направленные на снижение риска, в частности время реагирования на оповещения.
Роутеры или файерволы способны отслеживать исходящую информацию, однако необходимо убедиться, что эта функция активирована. Если у вас нет оборудования для мониторинга исходящего трафика, его нужно приобрести. Кроме того, следует вести учет и наблюдение за всеми устройствами, через которые возможна утечка, — USB-накопителями и другими портативными носителями информации, распечатками и так далее. Это возможно осуществить путем выборочных проверок или даже постоянного, как в аэропортах, досмотра людей, входящих в здание и выходящих из него (General Electric и Wipro применяют подобные методы в Бангалоре).
Чтобы мониторинг был эффективным, необходимо тщательно регламентировать предоставление привилегий всем сотрудникам — включая тех, кто имеет наивысший уровень допуска к корпоративным системам, поскольку часто именно они и становятся инициаторами инсайдерских атак. Регулярно пересматривайте список наиболее привилегированных пользователей и наблюдайте за теми, кто в нем остается, чтобы убедиться, что они заслуживают доверия. Подберите подходящие системы обнаружения инсайдерских угроз, способные предупреждать то, что можно предотвратить, а также распознавать уже случившиеся опасные события. Большие данные могут помочь при сопоставлении получаемых сигналов и вынесении предупреждений сотрудникам.
Также может быть полезным антивирусное программное обеспечение. В частности, при сотрудничестве «внешних» злоумышленников с работниками компании, первым важным шагом будет внедрение вредоносной программы в сеть организации. При обнаружении вируса всегда следует учитывать, что он может быть частью инсайдерской атаки: анализ работы этого вредоносного кода может дать ключ к установлению личности преступника и пониманию его основных целей.
Такой детальный мониторинг увеличит нагрузку на всех сотрудников, но окупится за счет снижения рисков вашей компании и повышения ее устойчивости к внешним воздействиям.
____________________________________
Наиболее эффективная стратегия защиты от киберугрозы, исходящей от инсайдеров, заключается в использовании доступных средств защиты и устранении слабых мест. Но в первую очередь следует сосредоточиться на главном — добиться безопасного поведения от каждого, кто работает в компании. Сотрудники должны знать, какое поведение приемлемо, а какое нет. Напоминайте им, что, защищая организацию, они также защищают и свои рабочие места.
Впервые опубликовано в выпуске за сентябрь 2014 года.