Информационная безопасность

Ежедневно сотрудники службы информационной безопасности регистрируют, анализируют сотни событий и инцидентов информационной безопасности и реагируют на них. Однако одна из важнейших тенденций современности — смещение от «массовых» атак к более узким, целенаправленным атакам. Как от них защититься? Расскажем об опыте КБ «РосинтерБанк».

Целенаправленнные атаки (advanced persistent threats, APT) — это основательно подготовленные, специализированные кибератаки, направленные на достижение конкретных целей злоумышленников. Даже серьезные компании, такие как Sony, RSA, Google, Adobe, потратившие десятки миллионов долларов на защиту своих ресурсов, остаются незащищенными и несут потери в результате успешных целенаправленных атак. Пристальное внимание разного рода злоумышленников всегда привлекали финансовые организации, и сегодня они являются одними из основных объектов нападения.

Современные банки, как правило, представляют собой совокупность распределенных и разнородных информационных систем различной сложности и защищенности — иначе говоря, «зоопарк» ИТ-систем. Это усложняет построение комплексной системы защиты и позволяет злоумышленникам находить наименее защищенные компоненты, чтобы производить атаки по пути «наименьшего сопротивления».

Оценка рисков

Первым шагом к созданию эффективной защиты от APT является объективная и разносторонняя оценка рисков. КБ «РосинтерБанк» в рамках ежегодной оценки рисков проанализировал риски нарушения информационной безопасности и оценил потенциальный ущерб от реализации целенаправленных атак (см. врезку).

Проанализировав риски нарушения информационной безопасности, мы выявили наиболее критичные компоненты ИТ-инфраструктуры: база данных, содержащая сведения о клиентах банка; автоматизированная банковская система; система дистанционного банковского обслуживания; информационные системы, содержащие сведения, составляющие коммерческую тайну.

Ключевые принципы

К настоящему времени в банке успешно внедрены разнообразные технические средства защиты, которые снижают данные риски до приемлемого уровня. Компоненты комплексной системы обеспечения ИБ, отвечающей современным требованиям бизнеса, можно разделить на два логических уровня — технический и организационный. Ключевые принципы технического уровня следующие.

• Эшелонированность. Каждый уровень информационной инфраструктуры закрыт соответствующими средствами защиты (например, сетевой защиты, защиты от вредоносного кода, криптографической защиты и т. д.).
• Стандартизация. Каждый компонент информационной инфраструктуры настроен в соответствии с требованиями внутренних стандартов.
• Централизованное управление. Оно осуществляется централизованно и максимально оперативно.
• Аудит и мониторинг. Производятся регистрация всех действий (событий) на каждом уровне функционирования информационной инфраструктуры и централизованный анализ данной информации сотрудниками управления информационной безопасности.
• Контроль и анализ. Осуществляется периодический контроль всех компонентов информационной инфраструктуры на наличие уязвимостей (анализ защищенности, тестирование на проникновение).

На организационном уровне применяются следующие принципы.

• Минимальность. Пользователи и процессы наделены минимально необходимыми правами доступа для выполнения соответствующих задач.
• Разделение прав. Это минимизирует риск некорректного или несанкционированного использования информационных систем.
• Ответственность. Назначение ответственных за функционирование каждого бизнес-процесса.
• Выделение ресурсов. Для функционирования каждого бизнес-процесса определены соответствующие ресурсы и сотрудники.
• Документированность. Каждый бизнес-процесс и его отдельные элементы документально описаны и закреплены.
• Повышение осведомленности. Каждый сотрудник должен быть ознакомлен с документами, регламентирующими бизнес-процессы.

План действий на случай атаки

Процесс реагирования на кибератаки (они рассматриваются как разновидность инцидентов ИБ) в нашем банке включает следующие этапы: планирование, обнаружение и информирование, оценка и идентификация, реагирование, извлечение уроков.

На этапе планирования разрабатываются организационно-распорядительные документы (политики, процедуры, регламенты, должностные инструкции), назначаются ответственные сотрудники (отвечающие за обнаружение, идентификацию, реагирование), формируется рабочая группа по реагированию на инциденты, производится обучение и инструктаж всех сотрудников банка по порядку действий в случае обнаружения инцидента ИБ.

Сотрудник, обнаруживший нетипичное поведение системы, ошибки или сбои в ее работе, обязан в кратчайшие сроки проинформировать ответственного сотрудника управления ИБ. После этого сотрудник управления ИБ производит анализ поступившей информации и на основе критериев (предварительно описанных на этапе планирования) определяет, является ли событие инцидентом ИБ, устанавливает его уровень и передает ситуацию группе по реагированию на инциденты ИБ. Эта группа производит локализацию данного инцидента (инструкции предварительно описаны на этапе планирования) и выполняет мероприятия по снижению негативного воздействия инцидента на бизнес-процессы банка. Рабочая группа по реагированию на инцидент, как правило, включает специалистов по ИБ и ИТ, сотрудника бизнес-направления, специалистов юридического отдела и PR-службы. При необходимости состав рабочей группы может быть расширен. Рабочая группа расследует инцидент, при необходимости привлекаются уполномоченные государственные органы. Затем осуществляются исправление и закрытие уязвимостей, а также возобновление корректного функционирования сервиса.

Очень важный этап — извлечение уроков. На данном этапе производится доработка процедур и регламентов в части реагирования на инциденты, документируются изменения настроек прикладных систем и сервисов, осуществляются мероприятия по минимизации негативного воздействия в будущем и повышению уровня оперативного реагирования.

Насолить злоумышленнику

Предотвратить целевую кибератаку невозможно, но ее можно максимально затруднить. «Целевые» атаки отличаются от «массовых» тем, что предварительно производятся основательный сбор и анализ информации о цели — то есть о компании. Такой сбор можно максимально затруднить стандартными мероприятиями, в числе которых профессиональный отбор кадров и последующая работа с сотрудниками, повышение осведомленности персонала и его мотивации, контроль опубликованной (доступной) информации на предмет паролей и стандартных учетных записей, сведений о конфигурации системы, используемом ПО и архитектуре системы, безопасная настройка всех компонентов информационной инфраструктуры (тем самым снижается уровень информативности для злоумышленников и повышается общий уровень защиты).

После реализации всех мероприятий и построения комплексной системы защиты необходимо сделать акцент на следующих шагах. Во-первых, отработать механизмы реагирования на инциденты (документы должны быть разработаны, персонал должен быть обучен). К сожалению, многие подходят формально или вообще игнорируют данный аспект. Во-вторых, обеспечить централизованный мониторинг и анализ событий — все они должны собираться в одной системе и анализироваться в комплексе. В-третьих, реализовать и поддерживать управление изменениями. Многие забывают или не желают ставить обновления, но надо помнить: нет обновлений — нет защиты. В-четвертых, провести тестирование на проникновение внешней стороны, то есть обеспечить независимый взгляд на ИБ. В-пятых, развернуть системы класса sandbox или honeypot, которые позволят повысить уровень вашей защищенности и провести разбор и анализ действий злоумышленника. Наконец, в шестых, добиться повышения квалификации сотрудников ИБ — это, пожалуй, самый важный пункт, от него зависит эффективность всех средств защиты. Комплекс перечисленных мероприятий позволит максимально предотвратить кибератаку на самых ранних стадиях.

Также советую всем специалистам по информационной безопасности использовать рекомендации по реагированию на инциденты ИБ, содержащиеся в документах: ISO/IEC 27035:2011, ISO/IEC 27043:2015, ISO/IEC 27037:2012, NIST SP 800–61 Rev. 2, NIST SP 800–86 и материалы организаций SANS и CERT.

Альберт Тазетдинов — заместитель начальника управления информационной безопасности АО КБ «РосинтерБанк»; amtazetdinov@gmail.com.

Пока технологические гиганты Microsoft, Google и Apple, регулярно выпуская обновления, заплатки и исправления своего программного обеспечения, пытаются защититься от уязвимостей нулевого дня и других угроз, слабое звено в цепи безопасности — беспечный и несведущий сотрудник — остается самым слабым, как и прежде.

В значительной степени это объясняется тем, что не существует технологии, которая могла бы полностью исключить капитуляцию очередного отдельно взятого пользователя перед все более сложными атаками социальной инженерии. За последний год мы много раз слышали, что самые масштабные бреши в данных за всю историю были пробиты атакующими, которые вводили в заблуждение сотрудников организаций. И все это — несмотря на настойчивые предупреждения специалистов о том, что в вопросах повышения безопасности нельзя ограничиваться поверхностными лекциями раз в полгода или презентациями в PowerPoint.

По итогам недавнего опроса, проведенного компанией Dark Reading, более половины из 633 респондентов считают, что «опасность угроз социальной инженерии обусловлена прежде всего тем, что сотрудники организаций имеют о них недостаточное представление». Тест из десяти вопросов McAfee Phishing Quiz, в котором приняли участие более 30 тыс. человек из 49 стран, показал, что 80% из них не смогли отличить по крайней мере одно фишинговое сообщение электронной почты от настоящего. Среди бизнес-пользователей лучшие результаты продемонстрировали сотрудники ИТ-служб и научно-исследовательских подразделений, но и у них точность распознавания составила лишь 69%.

Из всего этого можно сделать вывод, что обмануть человека по-прежнему не составляет особого труда. Главный специалист компании Social-Engineer по вопросам взлома систем с использованием человеческого фактора Крис Хаднаджи в интервью Dark Reading заметил: «Как видно из новостей, атаки через социальные медиа проводятся очень успешно». По его словам, это обусловлено тремя основными причинами. Первые две связаны с человеческими слабостями, а третья — с заметным совершенствованием самих атак.

Во-первых, люди запрограммированы на то, чтобы помогать другим. Такова уж человеческая природа, что нам всегда хочется доверять людям.

Во-вторых, у большинства пользователей недостаточные знания о характере угроз. «Компании не уделяют необходимого внимания тому, чтобы обучать своих сотрудников вопросам безопасности, и это отражается на действиях работников, — указал Хаднаджи. — Психологические факторы, помноженные на недостаток образования, создают благодатную почву для социальной инженерии. Особенно опасны для пользователей хорошо подготовленные атаки. Все начинается со сбора информации в Сети или в открытых источниках. Именно отсюда социальная инженерия черпает свою жизненную силу. После того как информация собрана, злоумышленникам становится ясно, какой вектор атаки сработает лучше».

Тереза Пэйтон, занимавшая прежде пост директора ИТ-службы Белого дома, а ныне являющаяся генеральным директором компании Fortalice Solutions, согласна с тем, что информация, добытая из открытых источников, предоставляет атакующим гораздо более мощные инструменты для ввода своих жертв в заблуждение. «Они выясняют, кто входит в состав высшего руководства организации, какая юридическая фирма ее обслуживает, узнают имена корпоративных серверов, текущие проекты, характер взаимоотношений с поставщиками и многое другое, — пояснила она. — Перед началом сложной атаки с использованием методов социальной инженерии проводится разведка, на которую чаще всего уходит менее одного дня».

Атакующие уже практически устранили одно из наиболее слабых своих мест. Остались в прошлом те дни, когда в их письмах присутствовало множество орфографических и грамматических ошибок, не оставлявших сомнений в том, что мы имеем дело с фишингом.

Сегодня они используют средства орфографической и грамматической проверки и нанимают специалистов, корректирующих текст их писем. В прошлом такое встречалось крайне редко.

И наконец, все большее распространение приобретает «вишинг», когда атакующий совершает телефонный звонок, представляясь сотрудником соседнего отдела, и побуждает получателя письма щелкнуть по указанной в нем ссылке без тщательной проверки присланного.

«Представьте, что атакующий направляет секретарю зараженную электронную почту, а затем звонит ему по телефону и просит подтвердить получение письма, утверждая, что в нем содержится нечто очень важное для организации, — предлагает свой сценарий генеральный директор компании ThetaRay Марк Газит. — Причем обычно инициатор звонка остается на линии до тех пор, пока не убедится, что сотрудник запустил присоединенный файл».

К вишингу относится и отправка сотрудникам SMS со ссылкой на фишинговый сайт или электронного сообщения, в котором говорится, что их платежные карты блокированы. Отвечая на это сообщение, взволнованная жертва зачастую раскрывает атакующему свои банковские учетные сведения или персональные данные.

Единственный эффективный способ противодействия атакам подобного рода — это улучшение качества обучения. Необходимо менять преобладающую сейчас модель, когда гораздо больше внимания уделяется соблюдению требований к «проверке ящика», чем непрерывному повышению осведомленности сотрудников в вопросах безопасности.

«Тренировки не следует превращать в какое-то событие, — считает Пэйтон. — Занятия должны приводить к позитивным результатам и укреплению системы безопасности. Сегодня же большинство подобных мероприятий вырождается в компьютерные тренировки с дремлющими участниками — и от них нет никакого толку».

Необходимо поддерживать с сотрудниками обратную связь, выяснять, почему протоколы безопасности мешают им выполнять свою работу. Предлагаемые советы должны помогать людям и на работе, и дома, а рекомендации должны превратиться в нечто большее, чем просто упражнение по выполнению определенных требований.

Эффективное обучение подразумевает демонстрацию реальных примеров. «В рабочие часы мы иногда имитируем поведение других сотрудников, чтобы получить доступ в здание, — рассказал Хаднаджи. — Цель состоит не в том, чтобы люди выглядели глупо, а в том, чтобы выявить слабые места и найти способы их укрепления».

«Одноразовые тренировки, проводимые в больших группах в стиле учебного лагеря, не работают, — добавил Газит. — Обилие информации, никак не связанной с повседневной деятельностью сотрудников, вряд ли пойдет им на пользу. Они сразу забудут все, как только вернутся на свое рабочее место».

Сотрудники должны почувствовать, что обучение действительно им нужно. Руководители, бухгалтеры, администраторы и рабочие не подвергаются одним и тем же киберугрозам, и обучение должно помочь каждой из этих групп научиться распознавать и отражать конкретные атаки, с которыми им приходится сталкиваться.

Конечно, как и в технологической сфере, ничто не может сделать организацию полностью пуленепробиваемой. Но хорошее обучение значительно снижает риск. Хаднаджи упомянул об одной компании, решившей проверить уровень осведомленности своей команды, набранной два года тому назад. Тесты показали, что 80% сотрудников инициировали переход по ссылкам в фишинговой электронной почте, 90% стали жертвами вишинга и 90% не приняли никаких мер, для того чтобы защититься от коллег, которые, выдавая себя за них, проникали на их рабочее место.

«Мы провели разъяснительную беседу, после чего уже на более сложных тестах они все успешно заблокировали, — вспоминал Хаднаджи. — Нам так и не удалось войти в систему под их именем».

Это показывает, насколько эффективной может оказаться хорошая тренировка. «Утверждения, согласно которым «лекарства от человеческой глупости не существует», разбиваются о нашу веру в возможность исправления ситуации, — подчеркнул Хаднаджи. — Ведь дело вовсе не в том, что люди глупы, а в том, что, будучи недостаточно осведомленными и образованными, они просто не знают, как следует поступать в моменты, когда на них обрушивается атака».

- Taylor Armerding. The human OS: Overdue for a social engineering patch. CSO (US). 10/13/2014

ИТ — это мир не только компьютерных систем, но и людей, которые с ними работают. Взаимодействие, взаимоуважение, страсть к работе — все это необходимо для высоких результатов, чем бы ни занимался ваш ИТ-отдел: написанием кода, уничтожением «багов», поддержкой бизнес-пользователей или защитой корпоративных систем.

Но по мере того как технологии становятся все более развитыми, а компьютерные системы — все богаче конфиденциальными данными, одному из аспектов человеческой натуры — доверию — приходится уделять все больше внимания.

Наверняка вам приходилось нанимать прекрасных специалистов, тех, кто, как подсказывало вам чутье, были идеальными кандидатами. А потом нередко оказывалось, что они превосходили лучшие ожидания. Но время от времени вы все же упускали предупреждающие знаки, указывающие на то, что с виду прекрасному претенденту или талантливому трудолюбивому сотруднику недоставало, скажем так, твердых нравственных принципов.

Нет большего разочарования, чем когда кто-то, кем вы восхищались, кому доверяли и в кого вкладывали свои силы, начинает воровать у компании, тайно получает доступ к конфиденциальным сообщениям электронной почты или покупает себе компьютерное «железо», пользуясь банковской картой клиента.

Конечно, далеко не всегда можно разглядеть в ком-то несуна. Но есть несколько сигналов тревоги, на которые обязательно надо обращать внимание. Они не дают стопроцентной гарантии выявления жуликов, и всегда нужно следовать принципу презумпции невиновности. Считайте нижеследующее не то чтобы лакмусовой бумажкой для выявления воров, скорее, набором уроков, усвоенных на горьком опыте работы со служащими, которые позднее оказывались недобросовестными.

Сигнал № 1: несовпадения при проверке биографических данных

Один из лучших специалистов, которого я нанял за последние три десятка лет, это женщина, которая призналась на интервью, что совершила ужасную ошибку в подростковом возрасте. Она подрабатывала в продовольственном магазине на военно-морской базе, и ее вместе с другими поймали на присвоении сумм, которые списывались как якобы возвращенные покупателям. Результат — судимость.

Во время интервью она предельно откровенно рассказала об этом, и было видно, что она глубоко раскаивается. Она заверила меня, что больше подобного не произойдет. Проверка биографии показала, что это ее единственная неприятность с законом — не было даже штрафов за превышение скорости.

Я нанял ее, и она остается одним из лучших сотрудников вот уже десять лет. Сейчас она менеджер, подчиненные любят ее, она ни разу нас не подвела. А еще она одна из лучших моих помощниц в выявлении несунов среди служащих. Это очень ценный навык и подтверждение того, что не стоит безапелляционно отказываться от найма людей, показавших, что оставили прошлые ошибки позади.

Совсем другое дело — еще несколько кандидатов, которые не признались в наличии судимости, пока это не обнаружилось при обязательной у нас проверке биографии. Для меня подобный обман теперь имеет решающее значение. Обычно к тому времени, когда приходят результаты проверки, человек уже приступает к работе на испытательном сроке. Нет ничего хуже, чем выяснить, что кто-то, на кого вы потратили время и кому поверили, был с вами нечестен. Да, рассказывать о судимостях неприятно, но доверие в этом случае завоевывается либо теряется уже в самом начале.

Это был урок, усвоенный на трудном опыте. Единственный сотрудник, которого я оставил после того, как он не признался в судимости, в итоге украл у компании компьютерное оборудование на несколько тысяч долларов. Я узнал об этом, когда он попросил зайти к нему помочь с диагностикой вируса на домашнем компьютере. Войдя, я обнаружил компьютерную стойку за несколько тысяч долларов, компьютеры и сетевое оборудование, идентичное тому, что было у нас на работе. По изменившемуся выражению его лица было видно, что он понял мою догадку.

Он пытался оправдываться, заявив, что это старое, уже списанное оборудование и что предыдущий начальник разрешил забрать его домой для «обучения». Но телефонного звонка и проверки серийных номеров оказалось достаточно, чтобы выяснить, что аппаратура числится в активе компании.

Сигнал тревоги № 2: кандидат жалуется, что предыдущие работодатели ему не доверяли

Не зря говорят: «Если ты всегда оказываешься жертвой, то проблема, скорее всего, в тебе». Неудачный опыт работы с предыдущими начальниками был у многих, если не у большинства. Нередко это становится причиной ухода с работы. Но если сотрудник жалуется на своих бывших руководителей, то при малейшей провокации вы тоже гарантированно попадете в его список злодеев.

Сигналом тревоги здесь служат жалобы на то, что предыдущие работодатели не доверяли кандидату, — особенно если это подкрепляется подозрительными историями. Помню, один служащий жаловался, как его прошлому начальнику не нравилось, что тот открывает файлы с ведомостями по зарплате топ-менеджеров. Немного понаблюдав за ним, я выяснил, что он просматривает вообще много всяких данных, которые ему не следовало бы видеть. Уверен: он и меня добавил в свой список врагов.

Сигнал тревоги № 3: сотрудник знает то, чего не должен знать

К работнику, который всегда в курсе событий до того, как о них открыто объявят, стоит относиться с подозрением. Был у меня один такой сотрудник-«прорицатель». По поводу этой его способности в офисе вечно шутили. Он был в курсе предстоящих реорганизаций, знал, когда кого-то собирались нанять или уволить, причем в мельчайших подробностях.

Как-то раз я был включен в состав комиссии, выбиравшей лучшего работника месяца. Сотрудник-всезнайка был в списке претендентов, и после быстрого голосования выбор пал на него. Поскольку все были в курсе, как быстро он узнает новости, мы решили сразу пройти к нему в кабинет, чтобы объявить о награде и поздравить: наконец-то нам удастся его удивить.

Когда я зашел, чтобы пожать ему руку, он мне с улыбкой вложил туда записку: «Уже знаю, лучший работник месяца. Поздравляю себя!» Надо заметить, что это было еще до появления сотовых телефонов и что после голосования все разошлись одновременно. Мы тогда решили, что это было очередное подтверждение его невероятной способности предвидеть будущее.

Оказалось, что на самом деле он просто насовал везде микрофонов и скрытых камер. В конечном счете его поймали на видеосъемке в уборных.

Тревожный знак № 4: сотрудник хвалится, что может взломать системы компании

Как ни странно, большинство из тех, кто взламывает аккаунты своих коллег, хвастают этим перед другими коллегами. Если служащий чем-то недоволен и рассказывает, как он мог бы при желании отомстить, считайте, что вы предупреждены. В большинстве подобных случаев никто не докладывает руководству, а если и докладывает, то начальство не принимает жалобу всерьез.

Но, по опыту, если угрозы такого рода высказываются, этого достаточно, чтобы принять меры. Во-первых, проинструктируйте служащих о необходимости сообщать о подобных «пассивно-агрессивных» угрозах, и когда о них докладывают, отнеситесь к этому серьезно. Пусть вышестоящий начальник побеседует с таким служащим в присутствии работника кадрового отдела, а вы обыщите его жесткий диск на предмет наличия там хакерских инструментов и следов несанкционированного доступа к информации.

То же относится к служащим, застигнутым при пользовании инструментами взлома, если это не входит в их служебные обязанности. То же касается работников, у которых были найдены списки паролей других пользователей.

Если в результате расследования выяснилось, что сотрудник еще не занимался несанкционированным взломом систем, стоит его предупредить, что это недопустимо и может привести к немедленному увольнению, а также что за его действиями будут в течение какого-то времени пристально следить.

Может показаться, что такие меры чересчур строги, но десятки лет опыта научили меня подавлять подобные угрозы в зародыше. Я не раз находил у подчиненных информацию, которой у них быть не должно, и я верю, что нужно подходить к проблеме серьезно и напоминать еще не провинившимся хвастунам о необходимости соблюдать дисциплину и не выходить за рамки дозволенного.

Тревожный сигнал № 5: завидя начальника, сотрудник быстро переключает экран

Такое происходит часто: задержавшись у офисной ячейки, вы видите, как сидящий в ней быстро переключает что-то на экране. Скорее всего, он пытается скрыть, что занимается посторонними делами вместо работы. Но если вы замечаете, что до переключения на экране явно были какие-то ресурсы, относящиеся к работе, это не просто сигнал тревоги, а вой сирены: корпоративный сайт или базу данных, с которой работает сотрудник, нет нужды скрывать от руководителя. Если вы замечали подобное неоднократно, проведите тщательное расследование.

Тревожный сигнал № 6: сотрудник никогда не уходит в отпуск

К тем, кто никогда не берет отпуск, нужно относиться с подозрением. Чтобы не попасться, жуликам нужно постоянно заметать следы, поэтому они не могут позволить себе даже отгул. Именно поэтому во многих компаниях отпуск для сотрудников является обязательным.

У нас была одна женщина, которая проработала в компании больше сорока лет. Она была старательной, и ее все любили, несмотря на некоторые причуды. Например, она никогда не уходила в отпуск, даже когда ей грозили за это санкциями. Я был ее начальником пять лет. Каждый раз, когда мы подводили итоги года, я замечал, что она не брала отпуск, и пытался уговорить ее все же сделать это. Она отшучивалась и давала обещание скоро отдохнуть. Но проходил еще год, а отпуск она так и не брала.

На третий год я пригрозил ей увольнением, если она не возьмет отпуск. Я даже снизил ее итоговый рейтинг за год и уменьшил премию. Она не ушла в отпуск, а выполнить угрозу мне совесть не позволила — все же ветеран компании.

На пятый год мы все-таки заставили ее уйти в отпуск на неделю. Но вот чудеса — она продолжала появляться день ото дня «посмотреть, как без нее идут дела». Мне приходилось ее буквально под руки выводить из офиса — я всерьез беспокоился по поводу ее здоровья, учитывая, сколько она работала без перерывов.

А потом на ее имя начали приходить чеки: оказалось, что она больше двадцати лет получала «откаты» от операторов связи, с которыми мы работали. А еще она фиктивно устроила к нам на работу сына, и компания платила ему по страховке. В общей сложности она украла за два десятка лет больше полумиллиона долларов.

Эта милая пожилая женщина, которую все называли «наша бабушка», основательно обобрала своего работодателя. Никогда не позволяйте эмоциям брать верх над рассудком.

Сигнал тревоги № 7: сотрудник покидает компанию в гневе

Если сотрудника увольняют, это в любом случае для него стресс, в том числе в ситуации, когда такое происходит не в наказание за его действия. Сокращение может стать для сотрудника очень неприятной неожиданностью, особенно если случается в трудный для него период. Иногда недовольство может перейти все границы. А если речь идет о сотруднике, у которого на протяжении многих лет был удаленный доступ к корпоративной сети с привилегиями уровня root, компанию может ждать настоящее бедствие.

Естественно, при увольнении работника необходимо отключать его аккаунты; компании не раз страдали, когда этого не делалось. Нередко сотрудник с админскими привилегиями также знает «общеизвестные» пароли других сисадминов (на самом деле делиться паролями, конечно, ни в коем случае нельзя) и может знать имена и пароли других пользователей. Бывают очень сложные случаи: если среднестатистический работник может иметь доступ к 10–15 различным системам, то в распоряжении админов комплектов верительных данных намного больше.

Необходимо также выяснить, к каким внешним онлайн-сервисам и системам в сетях партнеров имел доступ увольняемый. Все верительные данные, которые он мог знать, нужно изменить. «Общие» аккаунты с высоким уровнем привилегий, пароли к которым не менялись на протяжении многих лет, тоже необходимо исправить.

Не стоит подозревать всех подряд

Перечисленные тревожные сигналы могут быть многим знакомы. Возможно, вы сталкивались с какими-то из них буквально на днях. Может, даже вы сами подавали какой-то из них, но это не значит, что вы взламывали сеть работодателя.

Следить, чтобы сотрудники не занимались на работе противозаконными вещами, разумеется, стоит, но надо знать меру. Если кто-то из работников пользуется заслуженным доверием, не бойтесь давать ему дополнительные полномочия: не переусердствуйте с подозрениями.

— Roger A. Grimes. 7 warning signs an employee has gone rogue. InfoWorld. Mar 2, 2015