Провал безопасности: когда доверенные люди оказываются врагами (часть 2)

Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен здесь.

Это вторая часть статьи, первая находится здесь.

Аутсорсинг и месть недовольных сотрудников

Салли — системный администратор и менеджер баз данных, проработавшая более 10 лет на компанию-производитель потребительских товаров, входящую в список 500 крупнейших компаний (Fortune 500). Она была одним из наиболее доверенных и компетентных ИТ-сотрудников, тем кто мог решить практически любую проблему. По этой причине за время работы уровень ее привилегий доступа к сетевой инфраструктуре значительно превысил тот, который был ей необходим для выполнения ее функциональных обязанностей. Это довольно стандартная ситуация во многих компаниях, ведь никогда нельзя быть уверенным в том, что дополнительные привилегии не понадобятся для решения срочных проблем. Салли довольно часто работала из дома, используя для этого корпоративный ноутбук, настроенный для выполнения задач с использованием повышенных привилегий.

Корпоративная культура предполагала, что к таким сотрудникам как Салли было особенное отношение, такие сотрудники имели возможность обходить некоторые правила и политики, они, например, могли сами решать какое дополнительное программное обеспечение будет установлено на их системах. Но когда компания решила перевести большую часть ИТ-сервисов на аутсорсинг в Индию, Салли восприняла это как предательство. Хотя компания еще не уведомила ИТ-персонал, для большинства из них было понятно, что им недолго осталось работать в компании.

Салли решила отомстить. Перед своим увольнением она заложила «логическую бомбу», которая вызвала сбой всей серверной инфраструктуры сразу после ее ухода.

Поначалу в компании никто не мог понять причину сбоя, было произведено переключение на резервные сервера, но Салли заложила бомбу и там. Устранить сбой оказалось не так просто, т.к. поначалу не удавалось определить причины, которые лежали в основе сбоя, ведь разозленный ИТ-сотрудник может нанести очень большой ущерб таким способом, который очень трудно определить и устранить.

В конечном счете все же удалось установить и доказать, что за произошедшим сбоем стояли действия Салли и в отношении нее было возбуждено судебное дело. В обмен на согласие Салли помочь в устранении последствий сбоя дело в отношении нее было закрыто. Салли также обязалась хранить молчание о произошедшем инциденте, потому как у менеджмента не было никакого желания увидеть Салли на ток-шоу Опры Уинфли с рассказом о том, как она устроила сбой в работе компании из списка Fortune 500.

Стоимость для компании

Оценочная стоимость для компании: 7 млн.$, в которую входит 5 млн.$ операционных потерь (сбой в работе бизнес-процессов и потенциально упущенные клиенты) и 2 млн.$ расходов на привлечение консультантов для проведения расследования инцидента.

Превентивные меры

В чем был просчет компании ? Во-первых, этот инцидент — это классический пример «превышения полномочий», который случается когда работнику даются дополнительные привилегии для выполнения определенной частной задачи, а в последствии не отзываются, хотя больше уже не нужны работнику.

Во-вторых существующая в компании культура привела к отсутствию разделения полномочий и слабому контролю за ИТ в результате чего были упущены индикаторы, свидетельствующие об определенных проблемах. Во время расследования инцидента было установлено, что за последние 3 года Салли «потеряла» 11 ноутбуков. Служба технической поддержки компании знала об этом, но не придавала этому значения, из-за высокого доверенного статуса Салли. Никто не знал, что она делала с этими ноутбуками, возможно она была просто рассеяна, что само по себе тоже плохо, при том уровне полномочий, которыми она обладала и теми задачами, которые она выполняла с использованием своего ноутбука.

В-третьих, с учетом напряженной атмосферы, вызванной решением об аутсорсинге, компании следовало быть более осторожной по части отслеживания потенциального недовольства сотрудников.

Даже если и не было официального объявления, глупо думать, что подчиненные не догадываются о том, что происходит, не стоит недооценивать возможности «сарафанного радио».

Наиболее выгодной тактикой в данной ситуации было бы, пожалуй, публичное объявление о планах компании, а также о том, что в связи с этим вводится система мониторинга действий персонала.

По данным CERT, многочисленные случаи саботажа являются результатом действий, вызванных желанием мести обиженных работников. И это может происходить со скоростью одного клика (яркий тому пример будет представлен в следующей статье).

Это пока все. Продолжение следует...

Этот материал можно опубликовать: