Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен здесь .
Крайне неудачное увольнение
После модернизации системы информационной безопасности в компании, входящей в список Fortune 100, было выявлено, что одним из ключевых системных администраторов, проработавшем на тот момент в компании уже более 8 лет (назовем его «Фил»), были проведены изменения на сервере, на котором размещается веб-сайт компании. Изменения заключались в том, что по определенной ссылке, состоявшей из имени веб-сайта и определенной буквенной комбинации можно было перейти на страницу, на которой администратором была организована бойкая торговля контрабандным оборудованием для спутникового ТВ, произведенным в Китае.
Хорошая новость - модернизация системы безопасности позволила поймать злоумышленника. Плохая новость заключается в том, что плохо организованная процедура увольнения дала ему возможность нанести ответный удар.
Так как компания, о которой идет речь, также занималась продажей высокотехнологичного оборудования, у руководства было огромное желание как можно скорее избавится от Фила и его веб-сайта с контрабандными товарами, опасаясь возможных исков со стороны производителей оборудования для спутникового ТВ. Но пока менеджер Фила и персонал службы безопасности были на пути к офису, где работал Фил, сотрудник службы кадров позвонил ему и попросил оставаться на месте и никуда не уходить. Что именно и как этот сотрудник сказал Филу неизвестно, но тот понял, что за ним «уже идут».
Воспользовавшись своим уровнем полномочий системного администратора, Фил немедленно удалил цепочку корпоративных ключей шифрования. Менеджер Фила и сотрудники службы безопасности вошли в его комнату как раз в тот момент, когда он нажал на клавишу Delete. От него потребовали прекратить любые дальнейшие действия и отойти от терминала, но было уже слишком поздно.
Удаленные файлы содержали все ключи шифрования для компании, включая специализированный мастер-ключ (escrow key), который позволял расшифровать любой файл любого сотрудника. Большинство сотрудников хранили свои личные ключи шифрования на своих рабочих станциях, но удаленная цепочка ключей содержала уникальные ключи для минимум 25 сотрудников, работавших в юридическом и контрактном отделах. Это означало, что все, что было зашифровано этими сотрудниками за последние 3 года работы (с момента запуска общей системы шифрования), было фактически потеряно.
Стоимость для компании
Точная стоимость от инцидента не оценивалась, но предварительно потеря файла цепочки ключей шифрования стоила компании 18 человеко-лет потерянной работы, включающей в себя работу по воссозданию зашифрованной информации из черновиков, архивов электронной почты и других не зашифрованных документов.
Превентивные меры
В данной ситуации компания совершила две критические ошибки. Во-первых стоило немедленно отключить любой доступ для Фила, чтобы исключить возможность любых ответных действий. Кроме того стоило безусловно создавать резервные копии наиболее критичной информации (как минимум). По злой иронии судьбы, файлы цепочки ключей шифрования считались настолько чувствительной информацией, что создание копий этих файлов было исключено.
Лучшая защита - многоуровневая
Основной урок из всех описанных историй это то, что ни одна защитная мера сама по себе не сможет защитить вас от злоумышленников из среды ИТ-персонала. У вас может быть отличная система информационной безопасности, как та, что помогла обнаружить несанкционированный веб-сайт Фила, однако простая ошибка со стороны отдела кадров может привести к катастрофе. Или это могут быть оставшиеся без внимания изменения в характере и поведении, как в случае с Салли .
Необходима комбинация технических и организационных решений, но руководство компаний очень сложно убедить в реализации обоих направлений. Руководство как правило возлагает большие надежны на ту или иную техническую систему, призванную решить проблему, особенно в условиях когда сами разработчики этих систем обещают это в своих презентационных материалах.
Это непросто признать. Ведь даже с появлением все большего числа страшных историй, связанных с злонамеренной деятельностью ИТ-персонала, большинство директоров компаний по-прежнему думают, что это никогда не случится с ними, до тех пор пока это в какой-то момент не произойдет.
