Все чаще сотрудники компаний – как правило, непреднамеренно – подвергают своих работодателей риску, используя для работы электронные гаджеты. Наша команда, как и другие специалисты, выяснила, что службы безопасности компаний не в состоянии противостоять опасностям, связанным с распространением этих устройств. Согласно недавнему отчету Alcatel-Lucent, в мире одномоментно – в каждую секунду – насчитывается около 11,6 млн инфицированных мобильных устройств, а в 2013 году количество заражений таких устройств вредоносным ПО выросло на 20 %.

Виноваты не только смартфоны и планшеты, это могут быть и более простые устройства – флэш-накопители, телефонные карты памяти. «Самый простой способ проникнуть в неподготовленную компанию – разбросать на парковке зараженные USB-флэшки с логотипом компании, – рассказывает Майкл Голдсмит, член нашей команды и помощник директора Оксфордского центра кибербезопасности, имея в виду атаку на голландскую химическую компанию DSM в 2012 году. – Кто-то из сотрудников непременно поднимет хотя бы одну из них».

Широко сообщалось, что участникам саммита G20 под Санкт-Петербургом в 2013 году были розданы USB-накопители и зарядные устройства для мобильных телефонов, содержащие вирусы для кражи информации. А червь Stuxnet, поразивший иранский завод по обогащению урана в 2008–2010 годах, по имеющимся сведениям, был внедрен в системы, не подключенные к интернету, с помощью USB-накопителей.

Честно говоря, мы все уязвимы.

Зараза в соцсетях

Социальные сети создают все условия для утечки различного рода деловой информации и распространения ее по всему миру – часто без ведома компании. Они также позволяют вербовать инсайдеров и с их помощью получать доступ к корпоративным ресурсам. Очень успешно работают мошеннические схемы на сайтах знакомств: опытный аферист, изображающий любовный интерес, успешно морочит голову сотруднику или сотруднице компании, чтобы выведать конфиденциальную информацию. Другие стратегии предполагают использование информации, полученной в социальных сетях, для давления на сотрудников: кибершантажист может угрожать удалить файлы или загрузить порнографические изображения на офисный компьютер жертвы, если та откажется передать ему служебную информацию.

Руководство вслепую

МЫ ОПРОСИЛИ 80 РУКОВОДИТЕЛЕЙ высшего звена на тему их осведомленности об инсайдерских угрозах в сфере кибербезопасности, а затем проанализировали в деталях конкретные случаи из реальной жизни. Вот краткий обзор того, что мы выяснили.

Руководители компаний во всех странах и в большинстве сфер деятельности (исключение составляют банки и энергетические компании) практически ничего не знают об инсайдерских угрозах.

Они склонны считать, что за безопасность отвечает кто-то другой (как правило, IT-отдел).

Лишь немногие из руководителей понимают, как важно отслеживать необычное поведение сотрудников – например, посещение экстремистских сайтов или начало работы в нестандартное время, – для того, чтобы заблаговременно распознать возможную атаку.

Почти две трети специалистов по внутренней и внешней безопасности испытывают трудности, пытаясь убедить советы директоров, что игнорирование вопроса об инсайдерской угрозе сопряжено с серьезными рисками.

Лишь немногие IT-службы получают указания, какие информационные активы представляют наибольшую ценность, какой уровень риска можно считать приемлемым и сколько средств следует вложить в предотвращение атак.

Почему они это делают

При анализе множества примеров из практики как государственных, так и частных организаций было установлено, что инсайдеры, которые осознанно участвуют в кибератаках, руководствуются самыми разными мотивами. Это может быть материальная выгода, месть, потребность в признании, жажда власти, реакция на шантаж, привязанность к другим работникам организации, а также политические убеждения.

В ходе нашего исследования мы рассмотрели один пример – атаку отвергнутого поклонника на небольшую, но быстроразвивающуюся компанию по виртуальному обучению в 2014 году. Менеджер этой компании пожаловался своему начальнику на одного из сотрудников – системного администратора, который присылал ему цветы на работу, отправлял сообщения непристойного содержания и постоянно ездил мимо его дома. Получив явный отказ, злоумышленник испортил базу данных компании с обучающими видеоматериалами и сделал недоступными резервные копии. Его уволили. Однако он, зная, что у компании нет доказательств его вины, занялся шантажом – потребовал несколько тысяч евро, угрожая обнародовать информацию о недостаточной защищенности компании, что могло бы повредить ее предстоящему выходу на биржу. Этот инцидент, дорого обошедшийся жертвам, остался неучтенным – как и большинство преступлений, совершаемых внутри компании.

Все более широкое распространение получает взаимодействие сотрудников компаний с организованной преступностью и группами экстремистов. Во многих странах в настоящее время действуют компьютерные группы реагирования на чрезвычайные ситуации (CERT) для защиты от этой и подобных атак. Из 150 случаев, рассмотренных Центром по противодействию инсайдерским угрозам CERT при Университете Карнеги – Меллона в своем докладе за 2012 год «В центре внимания: злоумышленники-инсайдеры и организованная преступная деятельность», 16 % были связаны с организованной преступностью.

Одним из таких случаев стала кража в 2012 году российской бандой реквизитов 3,8 млн незашифрованных банковских счетов и почти 4 млн налоговых деклараций Департамента доходов Южной Каролины. Расследование показало, что атаке поспособствовал сотрудник, кликнувший по ссылке в электронном письме, – это позволило преступникам украсть его учетные данные и получить доступ к государственным базам данных.

Моника Уитти, психолог из Лестерского университета, входившая в состав нашей команды, и многие другие исследователи указывают, что сотрудникам организаций, готовым по собственной воле участвовать в кибератаках или помогать в их проведении, свойственна по меньшей мере одна черта так называемой «темной триады»: макиавеллизм, нарциссизм, психопатия. Поддерживая эту точку зрения, CPNI в 2013 году провел исследование, в ходе которого выяснилось, что злоумышленники-инсайдеры, как правило, демонстрируют некую комбинацию следующих личностных качеств: незрелость, низкая самооценка, безнравственность (аморальность), поверхностность, склонность к фантазиям, нетерпеливость и импульсивность, недобросовестность, манипулятивность и неуравновешенность.

Роджер Дуронио, системный администратор UBS Wealth Management, осужденный за использование вредоносной «логической бомбы», которая нанесла ущерб компьютерной сети компании в 2006 году, обладал целым рядом этих качеств. Дуронио тревожился за свое рабочее место и пришел в ярость, когда вместо ожидаемой премии в $50 000 получил только $32 000. Поэтому он решил отомстить компании, подорвав ее работу, и заложил «бомбу», которая уничтожила данные на 2000 серверах в офисах UBS по всей территории США; некоторые из них не могли совершать торговые операции в течение нескольких недель. Компания понесла прямые убытки в размере $3,1 млн и еще миллионы долларов в виде скрытого непредвиденного ущерба. За это преступление Дуронио был приговорен к восьми годам тюремного заключения.

Подходы к решению проблемы

Работа с внутренними киберугрозами сродни управлению качеством и безопасностью. Когда-то за все это отвечало одно специализированное подразделение. Но организации уже не могут предупреждать каждый риск, потому что технологическая среда стала чрезвычайно сложной и изменчивой. В связи с этим руководителям больших и малых предприятий необходимо вовлекать в работу каждого своего сотрудника. Рассмотрим пять шагов, которые необходимо сделать в первую очередь.

Принять четкую систему внутренних правил

В них должно быть указано, что можно делать,