29 Января, 2011

Провал безопасности: когда доверенные люди оказываются врагами (часть 2)

Александр Бондаренко
Этот пост представляет собой мой перевод статьи, описывающей случаи нарушения информационной безопасности привилегированными пользователями. Оригинальный текст расположен здесь .

Это вторая часть статьи, первая находится здесь .

Аутсорсинг и месть недовольных сотрудников

Салли — системный администратор и менеджер баз данных, проработавшая более 10 лет на компанию-производитель потребительских товаров, входящую в список 500 крупнейших компаний (Fortune 500). Она была одним из наиболее доверенных и компетентных ИТ-сотрудников, тем кто мог решить практически любую проблему. По этой причине за время работы уровень ее привилегий доступа к сетевой инфраструктуре значительно превысил тот, который был ей необходим для выполнения ее функциональных обязанностей. Это довольно стандартная ситуация во многих компаниях, ведь никогда нельзя быть уверенным в том, что дополнительные привилегии не понадобятся для решения срочных проблем. Салли довольно часто работала из дома, используя для этого корпоративный ноутбук, настроенный для выполнения задач с использованием повышенных привилегий.

Корпоративная культура предполагала, что к таким сотрудникам как Салли было особенное отношение, такие сотрудники имели возможность обходить некоторые правила и политики, они, например, могли сами решать какое дополнительное программное обеспечение будет установлено на их системах. Но когда компания решила перевести большую часть ИТ-сервисов на аутсорсинг в Индию, Салли восприняла это как предательство. Хотя компания еще не уведомила ИТ-персонал, для большинства из них было понятно, что им недолго осталось работать в компании.

Салли решила отомстить. Перед своим увольнением она заложила «логическую бомбу», которая вызвала сбой всей серверной инфраструктуры сразу после ее ухода.

Поначалу в компании никто не мог понять причину сбоя, было произведено переключение на резервные сервера, но Салли заложила бомбу и там. Устранить сбой оказалось не так просто, т.к. поначалу не удавалось определить причины, которые лежали в основе сбоя, ведь разозленный ИТ-сотрудник может нанести очень большой ущерб таким способом, который очень трудно определить и устранить.

В конечном счете все же удалось установить и доказать, что за произошедшим сбоем стояли действия Салли и в отношении нее было возбуждено судебное дело. В обмен на согласие Салли помочь в устранении последствий сбоя дело в отношении нее было закрыто. Салли также обязалась хранить молчание о произошедшем инциденте, потому как у менеджмента не было никакого желания увидеть Салли на ток-шоу Опры Уинфли с рассказом о том, как она устроила сбой в работе компании из списка Fortune 500.

Стоимость для компании

Оценочная стоимость для компании: 7 млн.$, в которую входит 5 млн.$ операционных потерь (сбой в работе бизнес-процессов и потенциально упущенные клиенты) и 2 млн.$ расходов на привлечение консультантов для проведения расследования инцидента.

Превентивные меры

В чем был просчет компании ? Во-первых, этот инцидент — это классический пример «превышения полномочий», который случается когда работнику даются дополнительные привилегии для выполнения определенной частной задачи, а в последствии не отзываются, хотя больше уже не нужны работнику.
Во-вторых существующая в компании культура привела к отсутствию разделения полномочий и слабому контролю за ИТ в результате чего были упущены индикаторы, свидетельствующие об определенных проблемах. Во время расследования инцидента было установлено, что за последние 3 года Салли «потеряла» 11 ноутбуков. Служба технической поддержки компании знала об этом, но не придавала этому значения, из-за высокого доверенного статуса Салли. Никто не знал, что она делала с этими ноутбуками, возможно она была просто рассеяна, что само по себе тоже плохо, при том уровне полномочий, которыми она обладала и теми задачами, которые она выполняла с использованием своего ноутбука.
В-третьих, с учетом напряженной атмосферы, вызванной решением об аутсорсинге, компании следовало быть более осторожной по части отслеживания потенциального недовольства сотрудников.
Даже если и не было официального объявления, глупо думать, что подчиненные не догадываются о том, что происходит, не стоит недооценивать возможности «сарафанного радио».
Наиболее выгодной тактикой в данной ситуации было бы, пожалуй, публичное объявление о планах компании, а также о том, что в связи с этим вводится система мониторинга действий персонала.
По данным CERT, многочисленные случаи саботажа являются результатом действий, вызванных желанием мести обиженных работников. И это может происходить со скоростью одного клика (яркий тому пример будет представлен в следующей статье).

Это пока все. Продолжение следует...