Злонамеренные действия инсайдеров могут дорого обойтись организациям

Организации стараются  защититься от хакеров и кибератак, но иногда самая большая угроза исходит изнутри.

На конференции RSA в прошлый четверг выступила Дон Каппелли, технический менеджер CERT Insider Threat Center Университета Карнеги-Меллона. Она привела целый ряд случаев, когда сотрудники компании (в том числе бывшие) наносили целенаправленный вред своей организации: внедряли вредоносное ПО, крали конфиденциальную корпоративную информацию или действовали в сговоре со взломщиками. С 2001 г. Insider Threat Center документировал 800 таких случаев с участием инсайдеров.

В случаях, связанных с кражей интеллектуальной собственности, например бизнес-планов или исходного кода, виновником может оказаться один из тех, кто участвовал в проекте, говорит Каппелли. «Они могут сбросить информацию на USB-диск и, скорее всего, поймать их не удастся», - сказала она.

Большинство таких инсайдеров - это персонал поддержки низового уровня: сотрудники службы помощи или банковские служащие, вступающие в сговор с мошенниками со стороны, говорит она. Вредителями могут оказаться недовольные ИТ-специалисты, например, системный администратор, который уволен (или уходит) и напоследок запускает атаку в корпоративной сети, сказала Каппелли.

Организации должны уделить особое внимание защите служб коллективного использования файлов, таких как Dropbox, и виртуальных машин, посредством которых служащие могут выудить информацию, считает  она.

В одном реальном случае оказался замешан менеджер по разработке продукта в компании сетевых решений, имевший доступ к производственным секретам клиентов, что требовалось  для предоставления услуг, рассказала Каппелли. Этот менеджер имел доступ к информации, принадлежавшей двум клиентам в полупроводниковой отрасли; он скачал себе 80 документов перед тем, как покинуть компанию, перейдя на работу к одному из этих клиентов. 18 документов принадлежали конкуренту его нового нанимателя, который и обратился в правоохранительные органы.

Данный случай подчеркивает, сколь важно обеспечить защиту информации своих деловых партнеров, сказала она. «Вы должны провести аудит их механизмов защиты и ввести это в договора», - сказала она.

Компьютеры общего пользования - еще один источник потенциальной угрозы со стороны инсайдера, говорит Каппелли. В университете два студента внедрили вредоносное ПО на компьютеры, находящиеся в общем доступе, чтобы красть регистрационные данные и шпионить за личными делами студентов и перепиской преподавателей. В больнице недовольный охранник, который раньше был системным администратором, установил на компьютеры вредоносное ПО и похвастался  своей «работой», выложив видеозапись на сайт, где другой хакер увидел ее и указал сотрудникам ФБР. «Если бы это ПО сработало, то наверное могло бы стоить жизней», - сказала Каппелли.

У одного ретейлера инженер по сетям, узнавший, что будет уволен, создал токен VPN на имя фиктивного служащего. Он позвонил в службу помощи в организации и, представившись новым сотрудником, попросил активировать этот токен. Спустя несколько месяцев он стер корпоративные аккаунты электронной почты, виртуальные машины и вообще нанес серьезный ущерб.

Еще один случай оказался просто неприятным для главного управляющего компании. Он выступал с презентацией PowerPoint на заседании правления; внезапно презентация закрылась и вместо нее стала демонстрироваться порнография. Шутником, установившим клавиатурный шпион, был директор по управленческим ИС, недавно уволенный этим CEO.

В другом случае трое сотрудников юридической фирмы через Dropbox передали 78 тыс. файлов клиентов за пределы организации, а потом внезапно уволились. Они установили синхронизацию информации в обоих направлениях, так что в результате все данные были  изменены, а клиенты - весьма недовольны бывшим работодателем шутников.
Организации могут принять  меры по снижению этих рисков - например, настройку системы обнаружения вторжений на слежение за веб-протоколами, связанными с услугами типа Dropbox, чтобы исключить злонамеренные действия, советует Алекс Николл, руководитель команды технических решений CERT. Также, организации могут вести мониторинг системного трафика, чтобы отследить несанкционированный доступ служб коллективного использования файлов, сказал он.

Каппелли описала еще один случай, когда инсайдер - инженер фирмы, управляющей хеджевым фондом - выкрал секретный алгоритм, использовав две виртуальные машины, чтобы обойти систему защиты. Он планировал открыть свой собственный хедж-фонд в Китае.

Организации могут предотвратить злонамеренное использование виртуальных машин, обеспечив сканирование файлов в памяти и привязку виртуальной среды к имеющимся системам безопасности, указал Николл.