По данным компании Vormetric, лидирующей в области компьютерной безопасности, 54 % управленческого персонала в крупных и средних организациях разделяют мнение, что обнаруживать и предотвращать инсайдерские атаки сегодня сложнее, чем в 2011 году. При этом подобных атак становится все больше – как в количественном выражении, так и в процентах от всех кибератак, о которых сообщают организации: исследование, проведенное компанией KPMG, показало, что их число увеличилось с 4 % в 2007 году до 20 % в 2010 году. Результаты нашего анализа показывают, что этот процент продолжает расти. Кроме того, внешние атаки могут включать в себя помощь изнутри – как осознанную, так и непреднамеренную. Случай с Target – наглядный тому пример.

Причины роста

Эта растущая угроза объясняется целым рядом факторов, связанных с меняющимся IT-ландшафтом. Они не вызывают особого удивления – и в этом суть проблемы. Открытые двери, которые делают организации уязвимыми для инсайдерских атак, – обыденное явление, они повсюду.

Резкое увеличение масштабов и усложнение информационных технологий

Известно ли вам, кто управляет вашими облачными сервисами, кто хранит свои данные на тех же серверах, что и вы, насколько эти сервера безопасны? Заслуживают ли доверия те, кто предоставляет вам другие аутсорсинговые услуги, – кол-центры, логистика, уборка, подбор персонала, CRM? В 2005 году четыре клиента Citibank в Нью-Йорке были обмануты сотрудниками кол-центра в городе Пуна (Индия) на сумму около $350 000. Но на самом деле вина лежала на сотрудниках компании по обслуживанию программного обеспечения, которой Citibank передал работу на аутсорсинг, – это они сумели собрать личные данные клиентов, PIN-коды и номера счетов.

Сайты даркнета, где не слишком щепетильные посредники торгуют большими объемами конфиденциальной информации, множатся и процветают. На таких подпольных площадках можно купить все что угодно – от паролей покупателей и данных кредитных карт до интеллектуальной собственности. Инсайдеры часто готовы предоставить доступ к этим активам, причем стоить это будет куда дешевле, чем на черном рынке. Это только способствует развитию индустрии «киберпреступность как услуга».

Сотрудники, использующие для работы личные устройства

Все чаще сотрудники компаний – как правило, непреднамеренно – подвергают своих работодателей риску, используя для работы электронные гаджеты. Наша команда, как и другие специалисты, выяснила, что службы безопасности компаний не в состоянии противостоять опасностям, связанным с распространением этих устройств. Согласно недавнему отчету Alcatel-Lucent, в мире одномоментно – в каждую секунду – насчитывается около 11,6 млн инфицированных мобильных устройств, а в 2013 году количество заражений таких устройств вредоносным ПО выросло на 20 %.

Виноваты не только смартфоны и планшеты, это могут быть и более простые устройства – флэш-накопители, телефонные карты памяти. «Самый простой способ проникнуть в неподготовленную компанию – разбросать на парковке зараженные USB-флэшки с логотипом компании, – рассказывает Майкл Голдсмит, член нашей команды и помощник директора Оксфордского центра кибербезопасности, имея в виду атаку на голландскую химическую компанию DSM в 2012 году. – Кто-то из сотрудников непременно поднимет хотя бы одну из них».

Широко сообщалось, что участникам саммита G20 под Санкт-Петербургом в 2013 году были розданы USB-накопители и зарядные устройства для мобильных телефонов, содержащие вирусы для кражи информации. А червь Stuxnet, поразивший иранский завод по обогащению урана в 2008–2010 годах, по имеющимся сведениям, был внедрен в системы, не подключенные к интернету, с помощью USB-накопителей.

Честно говоря, мы все уязвимы.

Зараза в соцсетях

Социальные сети создают все условия для утечки различного рода деловой информации и распространения ее по всему миру – часто без ведома компании. Они также позволяют вербовать инсайдеров и с их помощью получать доступ к корпоративным ресурсам. Очень успешно работают мошеннические схемы на сайтах знакомств: опытный аферист, изображающий любовный интерес, успешно морочит голову сотруднику или сотруднице компании, чтобы выведать конфиденциальную информацию. Другие стратегии предполагают использование информации, полученной в социальных сетях, для давления на сотрудников: кибершантажист может угрожать удалить файлы или загрузить порнографические изображения на офисный компьютер жертвы, если та откажется передать ему служебную информацию.