Когда надежные ИТ-сотрудники становятся врагами?

Самый страшный ночной кошмар для CIO - это получить сообщение из Business Software Alliance, что некоторое программное обеспечение, которое использует его компания, пиратское.

Он проводит расследование и обнаруживает, что у него не только имеется нелицензированное ПО, но и продала их ему некая компания, которой руководит не кто иной, как его собственный системный администратор, вот уже семь лет работающий на благо компании. CIO начинает копать глубже и находит, что еще тот собрал 400 номеров кредитных карт клиентов компании, воспользовавшись коммерческим сервером. И он единственный, кто знает все пароли.

Думаете, такого не может быть? А вот и нет! Конечно, вряд ли о таких историях станет известно широкой общественности, потому что большинство компаний предпочитают не выносить сор из избы и стараются как можно быстрее утрясти такие дела, пишет Computerworld.

Исследования, ежегодно проводимые совместно журналом CSO, спецслужбами США и институтом по разработке программного обеспечения CERT, показывают, что три четверти компаний, пострадавших от действий "инсайдеров", стараются разобраться со случившимся сами, говорит Дон Капели, технический руководитель CERT. То, что выходит на публику, является лишь верхушкой айсберга.

Однако, сохраняя такие вещи в секрете, пострадавшие компании не дают возможности другим организациям поучиться на их опыте. Программа CERT пытается восполнить этот пробел. В институте с 2001 года изучают ситуации, связанные с неправомерными действиями инсайдеров, и в их копилке уже 400 подобных случаев. Специалисты из CERT отметили, что наиболее распространенные ошибки связаны с тем, что при трудоустройстве кандидатов не слишком тщательно изучают, процесс предоставления привилегированного доступа практически не отрегулирован, и к тому же многие просто не обращают внимания на сигналы опасности, появившиеся в поведении сотрудников.

Но угрозы, исходящие от ИТ-сотрудников, отмеченных определенными привилегиями, особенно трудно распознать. Начать с того, что нечестная деятельность работников может не слишком отличаться от их привычных обязанностей. ИТ-специалисты занимаются редактированием и написанием скриптов, редактированием кодов и написанием программ, поэтому их "вторая" работа не выбивается из общего ряда. Они знают, где в вашей системе безопасности есть бреши, и как замести "следы". Компании-жертвы, как правило, не рассказывают об этом, но консультанты по обеспечению безопасности могут поведать несколько занимательных историй, которые заставляют призадуматься.

"Пиратское" программное обеспечение или что может быть хуже

История неприятностей розничной компании из Пенсильвании началась в начале 2008 года, когда BSA уведомила ее, что в Microsoft обнаружили несоблюдения лицензионных прав, рассказывает Джон Линкос, некогда руководивший компанией Sabera и занимавшийся расследованием этого случая.

Компания Microsoft отследила продажу подозрительного программного обеспечения и дошла до сисадмина компании, бывшей клиентом Sabera. Назовем его "Эд". Когда Линкос и его сотрудники начали заниматься секретным расследованием этого дела, они обнаружили, что Эд продал более чем на полмиллиона долларов пиратского ПО Microsoft, Adobe и SAP своему же работодателю. Расследование также показало, что использование пропускной способности сети было чрезмерно высоким. Сначала они подумали, что была какая-то сетевая атака, но потом нашли на сервере более 50 тыс. порнографических фотографий и более 2,5 тыс. видео подобного содержания.

Кроме того, у Эда нашли электронную таблицу с сотнями номеров кредитных карт клиентов, взятых с коммерческого сайта компании. Хотя доказательств, что эти номера уже использовались, не нашли, но тот факт, что информация была занесена в таблицу, косвенно указывало на то, что Эд собирался либо использовать эти данные сам, либо продать их третьей стороне.

Финансовый директор компании, который и получил звонок из BSA, и другие руководители испугались, что же может сделать Эд, если предъявить ему все эти обвинения. Он был единственным, у кого имелись пароли администратора, включая пароли к маршрутизатору и устройству защиты базовой сети, сетевым коммуникаторам, корпоративным VPN, HR-системе, администрированию сервера электронной почты, администрированию Windows Active Directory и рабочего стола Windows. А это значило, что Эд мог взять в качестве заложника почти все основные бизнес-процессы компании, включая корпоративный сайт, электронную почту, систему финансовой отчетности и платежные ведомости.

Поэтому компания Линкоса придумала повод, чтобы Эд на один день слетал в Калифорнию. Длительный перелет дал команде Линкоса возможность не подпускать Эдда к системе в течение пяти с половиной часов. Работая очень быстро, команда смогла исключить из карты сеть и переустановить все пароли. Когда Эд приземлился в Калифорнии, его там уже встречал COO компании, который тут же его и уволил.

Затраты: Линкос установил, что это происшествие стоило компании где-то 250-300 тыс. долларов, включая комиссионные Sabera, расходы по "путешествию" Эда, расходы на судебное разбирательство против него и затраты, связанные с приемом на временную работу сетевого администратора и нового CIO, а также расходы на то, чтобы сделать все лицензии на ПО компании легитимными.

Превентивные меры: что же могло предотвратить эту катастрофу? Безусловно, по крайней мере, еще один человек должен быть в курсе всех паролей. Разделение обязанностей - вот основной фактор сохранения безопасности систем. У владельца компании был небольшой штат ИТ-сотрудников, поэтому Эд отвечал и за административные функции, и за систему безопасности. А это значит, что он "мониторил" сам себя. Это первое.

Несомненно, трудно разделить обязанности, если в компании мало ИТ-специалистов. В таком случае следует следить за происходящим, включая протоколы, сетевой трафик и изменения конфигурации системы, и еще необходимо, чтобы результаты оценивались не системным администратором, а кем-то другим. И ИТ-сотрудники должны знать, что за их работой постоянно наблюдают.

Во-вторых, компания не провела тщательную проверку информации, которую Эд представил при принятии на работу. По данным CERT, 30% инсайдеров, которые совершили ИТ-преступления, были до этого под арестом. Любые ложные документы должны сразу вызывать подозрение. Хотя компания и проверила криминальное прошлое Эда (который, к слову, оказался чист), но они не проверили документы, указанные в его резюме, некоторые из которых оказались поддельными.

Аутсорсинг навлекает гнев сотрудников

Системный администратор и администратор баз данных "Салли" 10 лет трудилась в компании Fortune 500 и была одним из самых уважаемых и способных ИТ-работников, рассказывает руководитель Ponemon Institute Лэрри Понемон, который вел это дело.

Ее все считали "палочкой-выручалочкой", она могла заменить кого угодно и помочь решить какие угодно проблемы. По этой причине у нее накопилось достаточно привилегий для доступа в сеть высшего уровня, что выходило за рамки ее рабочих обязанностей. "Действительно, тенденция предоставлять таким людям больше привилегий, чем им требуется, существует, потому что никогда знаешь, что им может понадобиться, чтобы кому-то помочь", - делится Понемон.

Иногда Салли работала из дома со своего рабочего лэптопа, который был отконфигурирован так, что у нее был доступ в сеть самого высшего уровня. Согласно политике компании, с ИТ-сотрудниками вроде Салли было особое обхождение, и они зачастую сами решали, какие инструменты использовать в своих системах.

Но когда корпорация решила отдать большую часть своих ИТ-операций на аутсорсинг в Индию, Салли перестала чувствовать себя особенной. Хотя компания еще официально и не объявила об этом персоналу, ИТ-инсайдерам сразу стало понятно, что для многих сотрудников отдела время работы в компании вышло.

Салли жаждала мести. Она заложила "логические" бомбы, которые вызвали повреждение всех серверов, как только она ушла. Сначала в компании не могли понять, что происходит. Они переключились к резервным серверам, но Салли заложила бомбы и в них. У компании были непростые времена, потому что сначала было абсолютно непонятно, из-за чего все это произошло.

В итоге, диверсию Салли раскрыли и предъявили ей обвинение. В обмен на согласие Салли починить системы компания, ей пообещали не доводить дело до суда. Кроме того, Салли пришлось пообещать никогда публично не рассказывать об этом инциденте. Им не хотелось, чтобы она пришла в какое-нибудь ток-шоу на ТВ и поведала, как ей удалось сломать хребет такой компании, как Fortune 500.

Затраты: общие расходы компании составили около 7 млн долларов, где 5 млн пошли на вмененные издержки (время простоя, дестабилизация бизнеса и потенциальные потери заказчиков), а 2 млн - на оплату криминалистов и консультантов по системам безопасности.

Превентивные меры: что же компания делала не так? Во-первых, инцидент является классическим примером "эскалации привилегий", то есть вот что происходит, когда человеку предоставляют некоторые привилегии для выполнения определенных заданий, но не аннулируют их, когда они больше не требуются.

Во-вторых, политика предоставления права привела к отсутствию разделения обязанностей и контроля над деятельностью ИТ. Из-за этого руководство упустило из вида важный сигнал о грядущей опасности. После этого инцидента компания выяснила, что за последние три года Салли "потеряла" 11 ноутбуков. Сотрудники отдела поддержки знали об этом, но ни один не сообщил об этом руководству, частично из-за статуса Салли в организации. Никто не знал, что она сделала со всеми этими лэптопами, возможно, она и правда просто рассеяна, но все же это проблема именно системного администратора.

В-третьих, учитывая напряженную атмосферу, которая возникает при решении привлечь для работы третью сторону, компании следует быть более бдительной и предупреждать подобные случаи, наблюдая за потенциально злобными сотрудниками.

Даже если вы ничего не анонсируете своим сотрудникам, было бы ошибкой полагать, что они не знают, что происходит вокруг них. Среднестатистический рядовой сотрудник узнает о том, что CEO подписал аутсорсинговый контракт, в считанные наносекунды. Если вы еще не контролируете работу своего ИТ-персонала, сейчас самое время заняться этим. Чтобы добиться наилучших результатов, следует запустить некую программу, официально объявив о том, что вы будете заниматься мониторингом деятельности сотрудников.

По данным CERT, большинство случаев диверсии были вызваны именно недовольством сотрудника. К тому же, их можно привести в действие в мгновение ока.

Увольнение, которое пошло не так

Когда компания Fortune 100 занималась модернизацией своей системы безопасности, она сделала ужасное открытие. Один из главных сисадминов компании, работавший там уже лет 8, без огласки добавил свою страничку на коммерческий сайт компании. "Фил" вел оживленную торговлю и продавал пиратское ТВ-оборудование для спутникового вещания, главным образом, произведенное в Китае, поделился своей историей Джон Хеймел, директор по стратегическим системам безопасности компании Solutionary.

Усовершенствованная система безопасности помогла быстро вычислить преступника. Но руководство небрежно отнеслось к процессу увольнения, и последнее слово осталось за Филом.

Сама являясь ритейлером высокотехнологичного оборудования, компания хотела избавиться от Фила и его сайта как можно скорее, потому что опасалась судебных преследований производителей оборудования спутниковой связи. Но пока руководитель Фила и сотрудники службы безопасности добирались до офиса, сотрудник отдела кадров приказал ему оставаться на месте. Хеймел не уверен, что точно он сказал Филу, но очевидно, этого было достаточно, чтобы тот догадался, что он попался на крючок.

Уже зарегистрированный в корпоративной сети, он немедленно удалил корпоративный ключ кодирования. Когда он нажимал клавишу Delete, появился его начальник и сотрудники службы безопасности и приказали ему немедленно остановиться и отойти от терминала. Но было уже поздно.

В файле хранились все ключи кодирования компании, включая ключ депонирования - мастер-ключ, который позволял компании декодировать любой файл любого сотрудника. Тем не менее, в главном ключе были копии ключей кодирования только 25 сотрудников, большинство из которых работали в юридическом отделе и отделе контрактов, и единственная копия корпоративного ключа кодирования. Значит все, что эти сотрудники закодировали за последние три года с тех пор, как начали использовать эту систему кодирования, навсегда осталось зашифрованным, и виртуально материалы были потеряны ими навсегда.

Затраты: Хеймел не считал, сколько этот инцидент стоил компании, но, по его оценке, потеря этих ключей стоила потери производительности в размере 18 человеко-лет. Сюда включена работа, которая была вложена в создание файлов, и которые навсегда остались закодированными, и время, посвященное воссозданию материалов из черновиков, старой электронной почты и других незакодированных документов.

Превентивные меры: сосредоточившись только на том, что произойдет с ними, если еще кто-то обнаружит этот злополучный сайт, компания совершила две большие ошибки, уверен Хеймел. Надо было сразу закрыть Филу доступ к системе, как только его подпольную деятельность обнаружили. И руководители сами оказались уязвимыми, поскольку не хранили резервную копию важной корпоративной информации.

Лучшая защита должна быть многогранной

Все эти истории демонстрируют, что нет никакого универсального способа, способного защитить вас от недобросовестных ИТ-сотрудников. У вас может быть прекрасная техническая система безопасности, вроде той, многоярусной, которая, в конечном итоге, и выявила неавторизированный сайт Фила, но простая оплошность может запросто привести к катастрофе. Или это могут быть явные сигналы опасности, проявляющиеся в поведении, которые остаются незамеченными, вроде пропавших лэптопов Салли.

Наилучшую защиту, по мнению Капели, обеспечит только комбинация технических средств безопасности и визуальное наблюдение. Но пока довольно трудно убедить компании делать и то, и другое. Руководители полагают, что такие проблемы можно решить только с помощью одних технологий, по крайней мере, частично, потому что они слышат, как вендоры мониторинговых систем и других продуктов защиты утверждают, что их инструменты обеспечат отличную защиту. Топ-менеджеры должны понять, что это проблема касается не только ИТ-отдела. И этот урок компании часто усваивают, лишь оступившись однажды. Многие CEO наивно полагают, что с ними этого не произойдет никогда. До тех пор, пока это действительно не случится.

©  @Astera