Информационная безопасность

Поговорите с любым проповедником идей Open Source, и он наверняка скажет вам, что никакого другого пути просто не существует. Достоинств у программного обеспечения с открытым кодом много, они весьма разнообразны и на сегодняшний день хорошо известны. Использовать такие программные продукты можно бесплатно. Есть возможность самостоятельно адаптировать их к своим нуждам. Поскольку за исходным кодом следит множество людей, прорехи в системе безопасности ликвидируются очень быстро. Устранить ошибку может любой желающий, и в этом смысле от поставщика пользователи не зависят. Закрытые стандарты не ограничивают вашу свободу. И наконец, вы не останетесь без поддержки, если производитель свернет свой бизнес или просто решит, что продукт не приносит ему больше желаемой прибыли.

Однако апологеты программных средств с открытым кодом, скорее всего, не скажут вам, что, несмотря на несомненные и реальные их преимущества, есть ситуации, когда проприетарное программное обеспечение с закрытым кодом окажется для бизнеса более эффективным вариантом.

В каких же случаях имеет смысл отдать предпочтение проприетарным средствам?

Когда неискушенным пользователям справиться с ними легче

Операционная система Linux оказала огромное влияние на рынок серверов, а вот про настольные ПК этого сказать нельзя. И на то есть свои причины. Несмотря на заметный прогресс, достигнутый за последние несколько лет, взаимодействовать с Linux непосвященным по-прежнему сложно, а пользовательский интерфейс различных дистрибутивов в сравнении с интерфейсом Windows или Mac OS X явно проигрывает.

Несмотря на то что в техническом плане Linux, возможно, и превосходит проприетарные операционные системы, большинство пользователей считают эту ОС слишком сложной и не проявляют к ней особого интереса. А снижение производительности труда обойдется предприятию значительно дороже, чем покупка проприетарной операционной системы, с которой персонал хорошо знаком.

Когда они становятся стандартом де-факто

Большинство специалистов, работающих с компьютерами, хорошо знакомы с приложениями Microsoft Word и Excel и активно используют их в своей деятельности. Да, у этих программ есть прекрасные альтернативы (например, LibreOffice и Open Office), но альтернативные варианты отличаются от продуктов Microsoft с точки зрения функционала, пользовательского интерфейса, производительности, плагинов и API, что затрудняет их интеграцию с приложениями независимых разработчиков. В 90% случаев все выглядит абсолютно одинаково, но есть риск того, что существующие различия приведут к каким-либо нестыковкам, особенно при обмене документами с поставщиками или клиентами.

Проприетарные программные средства имеет смысл использовать также при подготовке специалистов. Их поставщики давно пришли в вузы, и теперь студенты обучаются на примере их программного обеспечения. «Их продукты не обязательно являются лучшими, но они были выбраны учебными заведениями еще до того, как вокруг программного обеспечения с открытым кодом сформировалось достаточно большое сообщество, – пояснил участник Apache Software Foundation и старший научный сотрудник Лаборатории реактивного движения НАСА Крис Мэттмен. – В процессе обучения студенты лучше узнают программное обеспечение, предлагаемое такими поставщиками, что позволяет им эффективнее работать с ним. И когда они попадают в бизнес-среду, то вполне естественно стремятся продолжать использовать программные средства, к которым уже привыкли».

Когда проприетарное программное обеспечение лучше поддерживается

Поддержка бизнес-класса иногда распространяется и на программное обеспечение с открытым кодом. Она может исходить от компании, возглавляющей проект, или от независимой организации. Однако встречается не так часто, как хотелось бы.

«Некоторые клиенты предпочитают обращаться за поддержкой к внешнему поставщику услуг и готовы платить за оперативное удовлетворение своих запросов, – указал профессор Университета Карнеги – Меллона Тони Вассерман. – Зачастую представители сообщества очень быстро отвечают на вопросы, опубликованные на форумах, посвященных популярным проектам с открытым кодом, но не надо путать это с гарантированной поддержкой поставщика по телефонному звонку на бесплатную линию».

Когда программное обеспечение предоставляется как сервис

Облачное программное обеспечение несколько отличается от обычного. Как правило, вы не имеете доступа к исходному коду, даже если компоненты, размещенные в облаке, полностью построены на основе платформы с открытым кодом. При этом, строго говоря, программное обеспечение не является проприетарным, но вы не получаете и всех преимуществ открытого исходного кода. Тем не менее достоинства сервисной модели, предполагающей оплату лишь фактически используемых ресурсов, могут перевешивать недостатки, связанные с отсутствием доступа к исходному коду.

Когда проприетарный продукт лучше работает на вашем оборудовании

Многие виды проприетарного оборудования требуют специальных драйверов, которые чаще всего поставляются с закрытым кодом и работают только на аппаратных средствах производителя. Даже если драйвер с открытым кодом существует, он может оказаться не лучшим вариантом. «Разработчики программного обеспечения с открытым кодом могут не знать всех нюансов оборудования, поэтому проприетарный драйвер зачастую работает лучше», – пояснил Мэттмен.

Когда важны гарантии и ответственность поставщика

Некоторые компании, выпускающие программные продукты с открытым кодом (например, Red Hat), работают так же, как и поставщики проприетарного программного обеспечения. Они предлагают на свои продукты ту же ограниченную гарантию, что и производители проприетарных программных средств. «Эти компании действуют точно так же, как и поставщики проприетарных средств, ну разве что реже приглашают вас поиграть в гольф», – заметил Вассерман.

Между тем в мире существует гораздо больше проектов с открытым кодом, которые не поддерживаются коммерческими организациями. Стало быть, вы не получаете и гарантий. И если это не соответствует политике закупок программного обеспечения, которой придерживается ваша организация, вам придется поискать проприетарного поставщика.

Когда нужен надежный поставщик, который в обозримой перспективе вас наверняка не бросит

Да, производитель коммерческого программного обеспечения вряд ли будет продолжать развивать и поддерживать свой продукт, если спрос упадет и продукт перестанет быть прибыльным. Компания может даже полностью свернуть бизнес. Но небольшой проект с открытым кодом тем более подвержен опасности того, что стоящие за ним люди утратят к нему интерес. И если такое произойдет, то найти другого разработчика программного обеспечения с открытым кодом, который возьмет на себя эту миссию, будет непросто. (Это скорее аргумент против небольших проектов с открытым кодом, чем в защиту проприетарного программного обеспечения, но вы по крайней мере можете следить за финансовыми показателями крупных производителей программных средств и, анализируя их, принимать обоснованные решения.)

- Paul Rubens. 7 Reasons Not to Use Open Source Software. CIO Magazine.

Ежедневно сотрудники службы информационной безопасности регистрируют, анализируют сотни событий и инцидентов информационной безопасности и реагируют на них. Однако одна из важнейших тенденций современности — смещение от «массовых» атак к более узким, целенаправленным атакам. Как от них защититься? Расскажем об опыте КБ «РосинтерБанк».

Целенаправленнные атаки (advanced persistent threats, APT) — это основательно подготовленные, специализированные кибератаки, направленные на достижение конкретных целей злоумышленников. Даже серьезные компании, такие как Sony, RSA, Google, Adobe, потратившие десятки миллионов долларов на защиту своих ресурсов, остаются незащищенными и несут потери в результате успешных целенаправленных атак. Пристальное внимание разного рода злоумышленников всегда привлекали финансовые организации, и сегодня они являются одними из основных объектов нападения.

Современные банки, как правило, представляют собой совокупность распределенных и разнородных информационных систем различной сложности и защищенности — иначе говоря, «зоопарк» ИТ-систем. Это усложняет построение комплексной системы защиты и позволяет злоумышленникам находить наименее защищенные компоненты, чтобы производить атаки по пути «наименьшего сопротивления».

Оценка рисков

Первым шагом к созданию эффективной защиты от APT является объективная и разносторонняя оценка рисков. КБ «РосинтерБанк» в рамках ежегодной оценки рисков проанализировал риски нарушения информационной безопасности и оценил потенциальный ущерб от реализации целенаправленных атак (см. врезку).

Проанализировав риски нарушения информационной безопасности, мы выявили наиболее критичные компоненты ИТ-инфраструктуры: база данных, содержащая сведения о клиентах банка; автоматизированная банковская система; система дистанционного банковского обслуживания; информационные системы, содержащие сведения, составляющие коммерческую тайну.

Ключевые принципы

К настоящему времени в банке успешно внедрены разнообразные технические средства защиты, которые снижают данные риски до приемлемого уровня. Компоненты комплексной системы обеспечения ИБ, отвечающей современным требованиям бизнеса, можно разделить на два логических уровня — технический и организационный. Ключевые принципы технического уровня следующие.

• Эшелонированность. Каждый уровень информационной инфраструктуры закрыт соответствующими средствами защиты (например, сетевой защиты, защиты от вредоносного кода, криптографической защиты и т. д.).
• Стандартизация. Каждый компонент информационной инфраструктуры настроен в соответствии с требованиями внутренних стандартов.
• Централизованное управление. Оно осуществляется централизованно и максимально оперативно.
• Аудит и мониторинг. Производятся регистрация всех действий (событий) на каждом уровне функционирования информационной инфраструктуры и централизованный анализ данной информации сотрудниками управления информационной безопасности.
• Контроль и анализ. Осуществляется периодический контроль всех компонентов информационной инфраструктуры на наличие уязвимостей (анализ защищенности, тестирование на проникновение).

На организационном уровне применяются следующие принципы.

• Минимальность. Пользователи и процессы наделены минимально необходимыми правами доступа для выполнения соответствующих задач.
• Разделение прав. Это минимизирует риск некорректного или несанкционированного использования информационных систем.
• Ответственность. Назначение ответственных за функционирование каждого бизнес-процесса.
• Выделение ресурсов. Для функционирования каждого бизнес-процесса определены соответствующие ресурсы и сотрудники.
• Документированность. Каждый бизнес-процесс и его отдельные элементы документально описаны и закреплены.
• Повышение осведомленности. Каждый сотрудник должен быть ознакомлен с документами, регламентирующими бизнес-процессы.

План действий на случай атаки

Процесс реагирования на кибератаки (они рассматриваются как разновидность инцидентов ИБ) в нашем банке включает следующие этапы: планирование, обнаружение и информирование, оценка и идентификация, реагирование, извлечение уроков.

На этапе планирования разрабатываются организационно-распорядительные документы (политики, процедуры, регламенты, должностные инструкции), назначаются ответственные сотрудники (отвечающие за обнаружение, идентификацию, реагирование), формируется рабочая группа по реагированию на инциденты, производится обучение и инструктаж всех сотрудников банка по порядку действий в случае обнаружения инцидента ИБ.

Сотрудник, обнаруживший нетипичное поведение системы, ошибки или сбои в ее работе, обязан в кратчайшие сроки проинформировать ответственного сотрудника управления ИБ. После этого сотрудник управления ИБ производит анализ поступившей информации и на основе критериев (предварительно описанных на этапе планирования) определяет, является ли событие инцидентом ИБ, устанавливает его уровень и передает ситуацию группе по реагированию на инциденты ИБ. Эта группа производит локализацию данного инцидента (инструкции предварительно описаны на этапе планирования) и выполняет мероприятия по снижению негативного воздействия инцидента на бизнес-процессы банка. Рабочая группа по реагированию на инцидент, как правило, включает специалистов по ИБ и ИТ, сотрудника бизнес-направления, специалистов юридического отдела и PR-службы. При необходимости состав рабочей группы может быть расширен. Рабочая группа расследует инцидент, при необходимости привлекаются уполномоченные государственные органы. Затем осуществляются исправление и закрытие уязвимостей, а также возобновление корректного функционирования сервиса.

Очень важный этап — извлечение уроков. На данном этапе производится доработка процедур и регламентов в части реагирования на инциденты, документируются изменения настроек прикладных систем и сервисов, осуществляются мероприятия по минимизации негативного воздействия в будущем и повышению уровня оперативного реагирования.

Насолить злоумышленнику

Предотвратить целевую кибератаку невозможно, но ее можно максимально затруднить. «Целевые» атаки отличаются от «массовых» тем, что предварительно производятся основательный сбор и анализ информации о цели — то есть о компании. Такой сбор можно максимально затруднить стандартными мероприятиями, в числе которых профессиональный отбор кадров и последующая работа с сотрудниками, повышение осведомленности персонала и его мотивации, контроль опубликованной (доступной) информации на предмет паролей и стандартных учетных записей, сведений о конфигурации системы, используемом ПО и архитектуре системы, безопасная настройка всех компонентов информационной инфраструктуры (тем самым снижается уровень информативности для злоумышленников и повышается общий уровень защиты).

После реализации всех мероприятий и построения комплексной системы защиты необходимо сделать акцент на следующих шагах. Во-первых, отработать механизмы реагирования на инциденты (документы должны быть разработаны, персонал должен быть обучен). К сожалению, многие подходят формально или вообще игнорируют данный аспект. Во-вторых, обеспечить централизованный мониторинг и анализ событий — все они должны собираться в одной системе и анализироваться в комплексе. В-третьих, реализовать и поддерживать управление изменениями. Многие забывают или не желают ставить обновления, но надо помнить: нет обновлений — нет защиты. В-четвертых, провести тестирование на проникновение внешней стороны, то есть обеспечить независимый взгляд на ИБ. В-пятых, развернуть системы класса sandbox или honeypot, которые позволят повысить уровень вашей защищенности и провести разбор и анализ действий злоумышленника. Наконец, в шестых, добиться повышения квалификации сотрудников ИБ — это, пожалуй, самый важный пункт, от него зависит эффективность всех средств защиты. Комплекс перечисленных мероприятий позволит максимально предотвратить кибератаку на самых ранних стадиях.

Также советую всем специалистам по информационной безопасности использовать рекомендации по реагированию на инциденты ИБ, содержащиеся в документах: ISO/IEC 27035:2011, ISO/IEC 27043:2015, ISO/IEC 27037:2012, NIST SP 800–61 Rev. 2, NIST SP 800–86 и материалы организаций SANS и CERT.

Альберт Тазетдинов — заместитель начальника управления информационной безопасности АО КБ «РосинтерБанк»; amtazetdinov@gmail.com.

Взлом наносит большой ущерб, особенно когда похищены или скомпрометированы данные клиентов. Но то, как компания отреагирует на атаку, может иметь большое значение в отдаленной перспективе.

Быстрая и эффективная реакция позволяет свести к минимуму ущерб или, по крайней мере, выставить организацию в положительном свете перед клиентами, бизнес-партнерами и обществом в целом. А замедленная и неудачная реакция способна усугубить ситуацию и принести убытки на много лет вперед.

Приведем шесть рекомендаций, которым стоит последовать, если ваша компания оказалась жертвой хакерского взлома.

1. Сохраняйте спокойствие и осуществляйте план реагирования

Первое, что нужно сделать после взлома, — ввести в действие хорошо продуманный план реагирования на происшествия. Если, конечно, он у вас есть. А если нет, то надо его быстро подготовить.

В таком плане нужно предусмотреть, кто будет отвечать за реагирование в целом, перечислить других участников, меры, которые должны принять разные группы, технические средства, которые понадобятся для распознавания атаки и противодействия ей, и т. д.

«Легко запаниковать, начав пытаться ограничивать ущерб, — отмечает Эрик Коул, преподаватель, директор программы киберзащиты SANS Institute. — Но часто, когда нет плана реакции, вы можете неосознанно начать уничтожать улики и делать все только хуже».

В план надо включить: оценку масштабов взлома; идентификацию скомпрометированных данных; совместное с юридическим отделом выяснение, нужно ли довести инцидент до сведения правоохранительных органов; определение того, насколько атака скомпрометировала организацию в целом; оценку ущерба.

При осуществлении плана нужно сосредоточиться на нескольких ключевых задачах. Одна из них — сдерживание. Необходимо позаботиться о том, чтобы вытеснить атакующего из сети. Атакующие могут вести себя очень агрессивно, и если, все еще сохраняя доступ к данным, они поймут, что вы пытаетесь очистить систему, то могут нанести большой ущерб.

Чтобы свести к минимуму возможный дальнейший ущерб от атаки, обычно пытаются изолировать систему и поставить под контроль поток трафика.

Вторая задача — ликвидация уязвимостей. Полное отключение систем на период инцидента — не лучшее решение, однако необходимо уделить время устранению проблемы для предотвращения повторного заражения. Во время инцидента в организациях часто стремятся все восстановить из резервных копий, чтобы как можно быстрее вернуться к работе, но при этом не уделяют внимания устранению самих брешей, которые были использованы атакующим для взлома.

Если противник ворвался в сеть однажды, а проблема не устранена, он сделает это снова.

Третья задача — восстановление. После устранения брешей, использовавшихся для компрометации систем, нужно переключить внимание на восстановление данных и возвращение систем к работе: важно всегда проверять системы, прежде чем вводить их в рабочую эксплуатацию. В процессе восстановления нередко происходит повторное заражение систем.

После проверки систем нужно выполнять их мониторинг, чтобы не позволить атакующему вернуться. «Акцент нужно делать не на активном противодействии противнику, а на пассивном мониторинге процессов и предотвращении повторного взлома и заражения», — добавляет Коул.

2. Соберите команду реагирования

«Если произошел взлом, оценкой ситуации должна заняться команда реагирования на инциденты», — подчеркивает Тим Фрэнсис, руководитель по киберстрахованию Travelers.

В такую команду надо включить бизнес-руководителей, сотрудников ИТ-службы и представителей операционного, кадрового, юридического и PR-отделов.

«Возможно, вам понадобится “инструктор по взломам” — адвокат с опытом работы по делам, связанным с нарушениями безопасности и приватности. Он поможет с юридической защитой и толкованием законов и декретов, которые могут быть применены к вашей организации в связи с утечкой данных», — уточняет Фрэнсис.

3. По мере необходимости взаимодействуйте с поставщиками и специалистами в области безопасности

Когда надо выяснить причину взлома и позаботиться о предотвращении дальнейших атак, во многих случаях может понадобиться помощь поставщиков ИТ-систем предприятия и компаний, специализирующихся на консультировании по вопросам безопасности.

В начале 2014 года инфраструктура виртуальных машин Иллинойсского технологического института оказалась задействованной в распределенной атаке на отказ в обслуживании, направленной против другого вуза.

«Мы выяснили, что причиной стала уязвимость в платформах VMware, для которой мы не поставили заплату, — сообщает Луис Макхью, системный администратор, преподаватель института. — Брешь нашли в результате проведенного нами исследования и консультаций со специалистами техподдержки VMware. Оказалось, что через нас осуществлялось отражение пакетов NTP для усиления основной DDoS-атаки; мы тогда все еще пользовались NTP для синхронизации времени на серверах».

По признанию Макхью, заплату не установили вовремя в нарушение рекомендаций по лучшим практикам. «Теперь мы внесли изменения, которые нам посоветовали в VMware, — установили заплаты и укрепили серверы для защиты от будущих атак. Кроме того, мы отключили ненужные сервисы на всех системах, регламентировали правила установки заплат для Windows- и Linux-серверов и настроили межсетевые экраны на периферийных маршрутизаторах», — рассказал Макхью.

4. Решите юридические вопросы

После инцидента со взломом топ-менеджерам по ИТ, безопасности и другим нужно провести собрание с участием корпоративных и внешних юристов для обсуждения возможных последствий.

«Адвокаты помогут решить вопросы, касающиеся уведомления властей, а кроме того, могут быть особые требования к таким уведомлениям в контрактах с поставщиками и процессинговыми центрами», — отмечает Ларри Кунин, председатель практики по безопасности и утечкам данных адвокатской конторы Morris Manning & Martin.

Так как первопричина появления бреши не всегда сразу ясна, на решение проблем может уйти определенное время и нужно будет принять меры по сохранению всех улик, подчеркивает Скотт Верник, глава практики по приватности и защите данных юридической фирмы Fox Rotshild.

Нужно всегда помнить, что у правоохранительных или регулирующих органов могут возникнуть какие-то требования и что впереди вас может ждать судебное разбирательство. Поэтому при проведении расследований и устранении проблем нужно заботиться о сохранении улик. Возможно, надо будет «клонировать» содержимое серверов, ноутбуков и настольных систем, а также сделать снимки документов и провести расследование по копиям, а не оригиналам.

Юридические вопросы обычно касаются возможности расследования правительством местного или федерального уровня, а также уведомления различных заинтересованных сторон, в том числе бизнес-партнеров, согласно соответствующим нормативным требованиям.

Некоторые правила и процедуры уведомления о взломе могут зависеть даже от отрасли.

Необходимо стараться быть максимально честными и открытыми. Это может быть непросто, поскольку не всегда сразу выясняются все подробности. Но что касается заинтересованных сторон, особенно клиентов, работников и представителей госструктур, то чем быстрее вы все раскроете и чем более открытыми будете, тем лучше, как правило, все заканчивается для вас.

5. Урегулируйте вопросы страхования

После взлома как можно скорее уведомите свою страховую компанию. Необходимо, чтобы ИТ-персонал собрал и задокументировал факты относительно инцидента. Часто важную роль в уточнении времени начала атаки и выявлении компьютеров, через которые был совершен взлом, играют протоколы событий безопасности сети.

Данные нужно классифицировать, чтобы выяснить, были ли скомпрометированы финансовая информация и сведения, позволяющие установить личность (например, номера социальной страховки, электронные медицинские карты и иные конфиденциальные сведения). Это позволит сосредоточиться на защите самых важных конфиденциальных данных. Нужно задокументировать в человеко-часах время, затраченное на борьбу с атакой, а также затраты на восстановление.

6. Будьте на связи

Важно держать служащих, клиентов, бизнес-партнеров и другие заинтересованные стороны в курсе последней информации об атаке, ее влиянии и реакции организации. Молчание может указывать на вашу некомпетенцию, путаницу или что-то худшее.

«Компаниям очень часто приходится многократно менять публикуемую информацию о масштабах взлома, — отмечает Даррен Хэйес, доцент, директор по кибербезопасности факультета компьютерной науки Университета Пейс. — В Target, возможно, до сих пор не знают, сколько именно записей о покупателях было украдено. Поэтому вам придется уведомить всех клиентов, которым нужно быть бдительными. Также не стоит быть консервативными в оценках последствий взлома».

Пользуйтесь инструментами анализа эмоциональной окраски высказываний, чтобы отыскивать клиентов, жалующихся в социальных сетях, и отвечать на эти жалобы. Считается, что инструменты такого рода нужны прежде всего для маркетинга, но они могут быть эффективными и после инцидентов со взломом.

Но эффективная связь — это еще не все. Нужно также учесть психологические последствия атаки для служащих и клиентов, особенно если результатом стала утечка данных электронной почты или информации, позволяющей установить личность.

«Когда в систему компании проник чужак, это вызывает ощущение серьезного нарушения личного пространства, — полагает Том Кинан, профессор компьютерной науки и природоохранного проектирования Университета Калгари. — Большинство людей воспринимают информацию из электронной почты, даже рабочей, как личную переписку. После взлома стоит найти профессиональных психологов, которые помогут людям справиться с шоком, вызванным тем, что их частная информация попала в чужие руки».

- Bob Violino. You’ve Been Hacked. Now What? Network World. Feb 23, 2015

Пока технологические гиганты Microsoft, Google и Apple, регулярно выпуская обновления, заплатки и исправления своего программного обеспечения, пытаются защититься от уязвимостей нулевого дня и других угроз, слабое звено в цепи безопасности — беспечный и несведущий сотрудник — остается самым слабым, как и прежде.

В значительной степени это объясняется тем, что не существует технологии, которая могла бы полностью исключить капитуляцию очередного отдельно взятого пользователя перед все более сложными атаками социальной инженерии. За последний год мы много раз слышали, что самые масштабные бреши в данных за всю историю были пробиты атакующими, которые вводили в заблуждение сотрудников организаций. И все это — несмотря на настойчивые предупреждения специалистов о том, что в вопросах повышения безопасности нельзя ограничиваться поверхностными лекциями раз в полгода или презентациями в PowerPoint.

По итогам недавнего опроса, проведенного компанией Dark Reading, более половины из 633 респондентов считают, что «опасность угроз социальной инженерии обусловлена прежде всего тем, что сотрудники организаций имеют о них недостаточное представление». Тест из десяти вопросов McAfee Phishing Quiz, в котором приняли участие более 30 тыс. человек из 49 стран, показал, что 80% из них не смогли отличить по крайней мере одно фишинговое сообщение электронной почты от настоящего. Среди бизнес-пользователей лучшие результаты продемонстрировали сотрудники ИТ-служб и научно-исследовательских подразделений, но и у них точность распознавания составила лишь 69%.

Из всего этого можно сделать вывод, что обмануть человека по-прежнему не составляет особого труда. Главный специалист компании Social-Engineer по вопросам взлома систем с использованием человеческого фактора Крис Хаднаджи в интервью Dark Reading заметил: «Как видно из новостей, атаки через социальные медиа проводятся очень успешно». По его словам, это обусловлено тремя основными причинами. Первые две связаны с человеческими слабостями, а третья — с заметным совершенствованием самих атак.

Во-первых, люди запрограммированы на то, чтобы помогать другим. Такова уж человеческая природа, что нам всегда хочется доверять людям.

Во-вторых, у большинства пользователей недостаточные знания о характере угроз. «Компании не уделяют необходимого внимания тому, чтобы обучать своих сотрудников вопросам безопасности, и это отражается на действиях работников, — указал Хаднаджи. — Психологические факторы, помноженные на недостаток образования, создают благодатную почву для социальной инженерии. Особенно опасны для пользователей хорошо подготовленные атаки. Все начинается со сбора информации в Сети или в открытых источниках. Именно отсюда социальная инженерия черпает свою жизненную силу. После того как информация собрана, злоумышленникам становится ясно, какой вектор атаки сработает лучше».

Тереза Пэйтон, занимавшая прежде пост директора ИТ-службы Белого дома, а ныне являющаяся генеральным директором компании Fortalice Solutions, согласна с тем, что информация, добытая из открытых источников, предоставляет атакующим гораздо более мощные инструменты для ввода своих жертв в заблуждение. «Они выясняют, кто входит в состав высшего руководства организации, какая юридическая фирма ее обслуживает, узнают имена корпоративных серверов, текущие проекты, характер взаимоотношений с поставщиками и многое другое, — пояснила она. — Перед началом сложной атаки с использованием методов социальной инженерии проводится разведка, на которую чаще всего уходит менее одного дня».

Атакующие уже практически устранили одно из наиболее слабых своих мест. Остались в прошлом те дни, когда в их письмах присутствовало множество орфографических и грамматических ошибок, не оставлявших сомнений в том, что мы имеем дело с фишингом.

Сегодня они используют средства орфографической и грамматической проверки и нанимают специалистов, корректирующих текст их писем. В прошлом такое встречалось крайне редко.

И наконец, все большее распространение приобретает «вишинг», когда атакующий совершает телефонный звонок, представляясь сотрудником соседнего отдела, и побуждает получателя письма щелкнуть по указанной в нем ссылке без тщательной проверки присланного.

«Представьте, что атакующий направляет секретарю зараженную электронную почту, а затем звонит ему по телефону и просит подтвердить получение письма, утверждая, что в нем содержится нечто очень важное для организации, — предлагает свой сценарий генеральный директор компании ThetaRay Марк Газит. — Причем обычно инициатор звонка остается на линии до тех пор, пока не убедится, что сотрудник запустил присоединенный файл».

К вишингу относится и отправка сотрудникам SMS со ссылкой на фишинговый сайт или электронного сообщения, в котором говорится, что их платежные карты блокированы. Отвечая на это сообщение, взволнованная жертва зачастую раскрывает атакующему свои банковские учетные сведения или персональные данные.

Единственный эффективный способ противодействия атакам подобного рода — это улучшение качества обучения. Необходимо менять преобладающую сейчас модель, когда гораздо больше внимания уделяется соблюдению требований к «проверке ящика», чем непрерывному повышению осведомленности сотрудников в вопросах безопасности.

«Тренировки не следует превращать в какое-то событие, — считает Пэйтон. — Занятия должны приводить к позитивным результатам и укреплению системы безопасности. Сегодня же большинство подобных мероприятий вырождается в компьютерные тренировки с дремлющими участниками — и от них нет никакого толку».

Необходимо поддерживать с сотрудниками обратную связь, выяснять, почему протоколы безопасности мешают им выполнять свою работу. Предлагаемые советы должны помогать людям и на работе, и дома, а рекомендации должны превратиться в нечто большее, чем просто упражнение по выполнению определенных требований.

Эффективное обучение подразумевает демонстрацию реальных примеров. «В рабочие часы мы иногда имитируем поведение других сотрудников, чтобы получить доступ в здание, — рассказал Хаднаджи. — Цель состоит не в том, чтобы люди выглядели глупо, а в том, чтобы выявить слабые места и найти способы их укрепления».

«Одноразовые тренировки, проводимые в больших группах в стиле учебного лагеря, не работают, — добавил Газит. — Обилие информации, никак не связанной с повседневной деятельностью сотрудников, вряд ли пойдет им на пользу. Они сразу забудут все, как только вернутся на свое рабочее место».

Сотрудники должны почувствовать, что обучение действительно им нужно. Руководители, бухгалтеры, администраторы и рабочие не подвергаются одним и тем же киберугрозам, и обучение должно помочь каждой из этих групп научиться распознавать и отражать конкретные атаки, с которыми им приходится сталкиваться.

Конечно, как и в технологической сфере, ничто не может сделать организацию полностью пуленепробиваемой. Но хорошее обучение значительно снижает риск. Хаднаджи упомянул об одной компании, решившей проверить уровень осведомленности своей команды, набранной два года тому назад. Тесты показали, что 80% сотрудников инициировали переход по ссылкам в фишинговой электронной почте, 90% стали жертвами вишинга и 90% не приняли никаких мер, для того чтобы защититься от коллег, которые, выдавая себя за них, проникали на их рабочее место.

«Мы провели разъяснительную беседу, после чего уже на более сложных тестах они все успешно заблокировали, — вспоминал Хаднаджи. — Нам так и не удалось войти в систему под их именем».

Это показывает, насколько эффективной может оказаться хорошая тренировка. «Утверждения, согласно которым «лекарства от человеческой глупости не существует», разбиваются о нашу веру в возможность исправления ситуации, — подчеркнул Хаднаджи. — Ведь дело вовсе не в том, что люди глупы, а в том, что, будучи недостаточно осведомленными и образованными, они просто не знают, как следует поступать в моменты, когда на них обрушивается атака».

- Taylor Armerding. The human OS: Overdue for a social engineering patch. CSO (US). 10/13/2014

ИТ — это мир не только компьютерных систем, но и людей, которые с ними работают. Взаимодействие, взаимоуважение, страсть к работе — все это необходимо для высоких результатов, чем бы ни занимался ваш ИТ-отдел: написанием кода, уничтожением «багов», поддержкой бизнес-пользователей или защитой корпоративных систем.

Но по мере того как технологии становятся все более развитыми, а компьютерные системы — все богаче конфиденциальными данными, одному из аспектов человеческой натуры — доверию — приходится уделять все больше внимания.

Наверняка вам приходилось нанимать прекрасных специалистов, тех, кто, как подсказывало вам чутье, были идеальными кандидатами. А потом нередко оказывалось, что они превосходили лучшие ожидания. Но время от времени вы все же упускали предупреждающие знаки, указывающие на то, что с виду прекрасному претенденту или талантливому трудолюбивому сотруднику недоставало, скажем так, твердых нравственных принципов.

Нет большего разочарования, чем когда кто-то, кем вы восхищались, кому доверяли и в кого вкладывали свои силы, начинает воровать у компании, тайно получает доступ к конфиденциальным сообщениям электронной почты или покупает себе компьютерное «железо», пользуясь банковской картой клиента.

Конечно, далеко не всегда можно разглядеть в ком-то несуна. Но есть несколько сигналов тревоги, на которые обязательно надо обращать внимание. Они не дают стопроцентной гарантии выявления жуликов, и всегда нужно следовать принципу презумпции невиновности. Считайте нижеследующее не то чтобы лакмусовой бумажкой для выявления воров, скорее, набором уроков, усвоенных на горьком опыте работы со служащими, которые позднее оказывались недобросовестными.

Сигнал № 1: несовпадения при проверке биографических данных

Один из лучших специалистов, которого я нанял за последние три десятка лет, это женщина, которая призналась на интервью, что совершила ужасную ошибку в подростковом возрасте. Она подрабатывала в продовольственном магазине на военно-морской базе, и ее вместе с другими поймали на присвоении сумм, которые списывались как якобы возвращенные покупателям. Результат — судимость.

Во время интервью она предельно откровенно рассказала об этом, и было видно, что она глубоко раскаивается. Она заверила меня, что больше подобного не произойдет. Проверка биографии показала, что это ее единственная неприятность с законом — не было даже штрафов за превышение скорости.

Я нанял ее, и она остается одним из лучших сотрудников вот уже десять лет. Сейчас она менеджер, подчиненные любят ее, она ни разу нас не подвела. А еще она одна из лучших моих помощниц в выявлении несунов среди служащих. Это очень ценный навык и подтверждение того, что не стоит безапелляционно отказываться от найма людей, показавших, что оставили прошлые ошибки позади.

Совсем другое дело — еще несколько кандидатов, которые не признались в наличии судимости, пока это не обнаружилось при обязательной у нас проверке биографии. Для меня подобный обман теперь имеет решающее значение. Обычно к тому времени, когда приходят результаты проверки, человек уже приступает к работе на испытательном сроке. Нет ничего хуже, чем выяснить, что кто-то, на кого вы потратили время и кому поверили, был с вами нечестен. Да, рассказывать о судимостях неприятно, но доверие в этом случае завоевывается либо теряется уже в самом начале.

Это был урок, усвоенный на трудном опыте. Единственный сотрудник, которого я оставил после того, как он не признался в судимости, в итоге украл у компании компьютерное оборудование на несколько тысяч долларов. Я узнал об этом, когда он попросил зайти к нему помочь с диагностикой вируса на домашнем компьютере. Войдя, я обнаружил компьютерную стойку за несколько тысяч долларов, компьютеры и сетевое оборудование, идентичное тому, что было у нас на работе. По изменившемуся выражению его лица было видно, что он понял мою догадку.

Он пытался оправдываться, заявив, что это старое, уже списанное оборудование и что предыдущий начальник разрешил забрать его домой для «обучения». Но телефонного звонка и проверки серийных номеров оказалось достаточно, чтобы выяснить, что аппаратура числится в активе компании.

Сигнал тревоги № 2: кандидат жалуется, что предыдущие работодатели ему не доверяли

Не зря говорят: «Если ты всегда оказываешься жертвой, то проблема, скорее всего, в тебе». Неудачный опыт работы с предыдущими начальниками был у многих, если не у большинства. Нередко это становится причиной ухода с работы. Но если сотрудник жалуется на своих бывших руководителей, то при малейшей провокации вы тоже гарантированно попадете в его список злодеев.

Сигналом тревоги здесь служат жалобы на то, что предыдущие работодатели не доверяли кандидату, — особенно если это подкрепляется подозрительными историями. Помню, один служащий жаловался, как его прошлому начальнику не нравилось, что тот открывает файлы с ведомостями по зарплате топ-менеджеров. Немного понаблюдав за ним, я выяснил, что он просматривает вообще много всяких данных, которые ему не следовало бы видеть. Уверен: он и меня добавил в свой список врагов.

Сигнал тревоги № 3: сотрудник знает то, чего не должен знать

К работнику, который всегда в курсе событий до того, как о них открыто объявят, стоит относиться с подозрением. Был у меня один такой сотрудник-«прорицатель». По поводу этой его способности в офисе вечно шутили. Он был в курсе предстоящих реорганизаций, знал, когда кого-то собирались нанять или уволить, причем в мельчайших подробностях.

Как-то раз я был включен в состав комиссии, выбиравшей лучшего работника месяца. Сотрудник-всезнайка был в списке претендентов, и после быстрого голосования выбор пал на него. Поскольку все были в курсе, как быстро он узнает новости, мы решили сразу пройти к нему в кабинет, чтобы объявить о награде и поздравить: наконец-то нам удастся его удивить.

Когда я зашел, чтобы пожать ему руку, он мне с улыбкой вложил туда записку: «Уже знаю, лучший работник месяца. Поздравляю себя!» Надо заметить, что это было еще до появления сотовых телефонов и что после голосования все разошлись одновременно. Мы тогда решили, что это было очередное подтверждение его невероятной способности предвидеть будущее.

Оказалось, что на самом деле он просто насовал везде микрофонов и скрытых камер. В конечном счете его поймали на видеосъемке в уборных.

Тревожный знак № 4: сотрудник хвалится, что может взломать системы компании

Как ни странно, большинство из тех, кто взламывает аккаунты своих коллег, хвастают этим перед другими коллегами. Если служащий чем-то недоволен и рассказывает, как он мог бы при желании отомстить, считайте, что вы предупреждены. В большинстве подобных случаев никто не докладывает руководству, а если и докладывает, то начальство не принимает жалобу всерьез.

Но, по опыту, если угрозы такого рода высказываются, этого достаточно, чтобы принять меры. Во-первых, проинструктируйте служащих о необходимости сообщать о подобных «пассивно-агрессивных» угрозах, и когда о них докладывают, отнеситесь к этому серьезно. Пусть вышестоящий начальник побеседует с таким служащим в присутствии работника кадрового отдела, а вы обыщите его жесткий диск на предмет наличия там хакерских инструментов и следов несанкционированного доступа к информации.

То же относится к служащим, застигнутым при пользовании инструментами взлома, если это не входит в их служебные обязанности. То же касается работников, у которых были найдены списки паролей других пользователей.

Если в результате расследования выяснилось, что сотрудник еще не занимался несанкционированным взломом систем, стоит его предупредить, что это недопустимо и может привести к немедленному увольнению, а также что за его действиями будут в течение какого-то времени пристально следить.

Может показаться, что такие меры чересчур строги, но десятки лет опыта научили меня подавлять подобные угрозы в зародыше. Я не раз находил у подчиненных информацию, которой у них быть не должно, и я верю, что нужно подходить к проблеме серьезно и напоминать еще не провинившимся хвастунам о необходимости соблюдать дисциплину и не выходить за рамки дозволенного.

Тревожный сигнал № 5: завидя начальника, сотрудник быстро переключает экран

Такое происходит часто: задержавшись у офисной ячейки, вы видите, как сидящий в ней быстро переключает что-то на экране. Скорее всего, он пытается скрыть, что занимается посторонними делами вместо работы. Но если вы замечаете, что до переключения на экране явно были какие-то ресурсы, относящиеся к работе, это не просто сигнал тревоги, а вой сирены: корпоративный сайт или базу данных, с которой работает сотрудник, нет нужды скрывать от руководителя. Если вы замечали подобное неоднократно, проведите тщательное расследование.

Тревожный сигнал № 6: сотрудник никогда не уходит в отпуск

К тем, кто никогда не берет отпуск, нужно относиться с подозрением. Чтобы не попасться, жуликам нужно постоянно заметать следы, поэтому они не могут позволить себе даже отгул. Именно поэтому во многих компаниях отпуск для сотрудников является обязательным.

У нас была одна женщина, которая проработала в компании больше сорока лет. Она была старательной, и ее все любили, несмотря на некоторые причуды. Например, она никогда не уходила в отпуск, даже когда ей грозили за это санкциями. Я был ее начальником пять лет. Каждый раз, когда мы подводили итоги года, я замечал, что она не брала отпуск, и пытался уговорить ее все же сделать это. Она отшучивалась и давала обещание скоро отдохнуть. Но проходил еще год, а отпуск она так и не брала.

На третий год я пригрозил ей увольнением, если она не возьмет отпуск. Я даже снизил ее итоговый рейтинг за год и уменьшил премию. Она не ушла в отпуск, а выполнить угрозу мне совесть не позволила — все же ветеран компании.

На пятый год мы все-таки заставили ее уйти в отпуск на неделю. Но вот чудеса — она продолжала появляться день ото дня «посмотреть, как без нее идут дела». Мне приходилось ее буквально под руки выводить из офиса — я всерьез беспокоился по поводу ее здоровья, учитывая, сколько она работала без перерывов.

А потом на ее имя начали приходить чеки: оказалось, что она больше двадцати лет получала «откаты» от операторов связи, с которыми мы работали. А еще она фиктивно устроила к нам на работу сына, и компания платила ему по страховке. В общей сложности она украла за два десятка лет больше полумиллиона долларов.

Эта милая пожилая женщина, которую все называли «наша бабушка», основательно обобрала своего работодателя. Никогда не позволяйте эмоциям брать верх над рассудком.

Сигнал тревоги № 7: сотрудник покидает компанию в гневе

Если сотрудника увольняют, это в любом случае для него стресс, в том числе в ситуации, когда такое происходит не в наказание за его действия. Сокращение может стать для сотрудника очень неприятной неожиданностью, особенно если случается в трудный для него период. Иногда недовольство может перейти все границы. А если речь идет о сотруднике, у которого на протяжении многих лет был удаленный доступ к корпоративной сети с привилегиями уровня root, компанию может ждать настоящее бедствие.

Естественно, при увольнении работника необходимо отключать его аккаунты; компании не раз страдали, когда этого не делалось. Нередко сотрудник с админскими привилегиями также знает «общеизвестные» пароли других сисадминов (на самом деле делиться паролями, конечно, ни в коем случае нельзя) и может знать имена и пароли других пользователей. Бывают очень сложные случаи: если среднестатистический работник может иметь доступ к 10–15 различным системам, то в распоряжении админов комплектов верительных данных намного больше.

Необходимо также выяснить, к каким внешним онлайн-сервисам и системам в сетях партнеров имел доступ увольняемый. Все верительные данные, которые он мог знать, нужно изменить. «Общие» аккаунты с высоким уровнем привилегий, пароли к которым не менялись на протяжении многих лет, тоже необходимо исправить.

Не стоит подозревать всех подряд

Перечисленные тревожные сигналы могут быть многим знакомы. Возможно, вы сталкивались с какими-то из них буквально на днях. Может, даже вы сами подавали какой-то из них, но это не значит, что вы взламывали сеть работодателя.

Следить, чтобы сотрудники не занимались на работе противозаконными вещами, разумеется, стоит, но надо знать меру. Если кто-то из работников пользуется заслуженным доверием, не бойтесь давать ему дополнительные полномочия: не переусердствуйте с подозрениями.

— Roger A. Grimes. 7 warning signs an employee has gone rogue. InfoWorld. Mar 2, 2015