МЫ ОПРОСИЛИ 80 РУКОВОДИТЕЛЕЙ высшего звена на тему их осведомленности об инсайдерских угрозах в сфере кибербезопасности, а затем проанализировали в деталях конкретные случаи из реальной жизни. Вот краткий обзор того, что мы выяснили.

Руководители компаний во всех странах и в большинстве сфер деятельности (исключение составляют банки и энергетические компании) практически ничего не знают об инсайдерских угрозах.

Они склонны считать, что за безопасность отвечает кто-то другой (как правило, IT-отдел).

Лишь немногие из руководителей понимают, как важно отслеживать необычное поведение сотрудников – например, посещение экстремистских сайтов или начало работы в нестандартное время, – для того, чтобы заблаговременно распознать возможную атаку.

Почти две трети специалистов по внутренней и внешней безопасности испытывают трудности, пытаясь убедить советы директоров, что игнорирование вопроса об инсайдерской угрозе сопряжено с серьезными рисками.

Лишь немногие IT-службы получают указания, какие информационные активы представляют наибольшую ценность, какой уровень риска можно считать приемлемым и сколько средств следует вложить в предотвращение атак.

Почему они это делают

При анализе множества примеров из практики как государственных, так и частных организаций было установлено, что инсайдеры, которые осознанно участвуют в кибератаках, руководствуются самыми разными мотивами. Это может быть материальная выгода, месть, потребность в признании, жажда власти, реакция на шантаж, привязанность к другим работникам организации, а также политические убеждения.

В ходе нашего исследования мы рассмотрели один пример – атаку отвергнутого поклонника на небольшую, но быстроразвивающуюся компанию по виртуальному обучению в 2014 году. Менеджер этой компании пожаловался своему начальнику на одного из сотрудников – системного администратора, который присылал ему цветы на работу, отправлял сообщения непристойного содержания и постоянно ездил мимо его дома. Получив явный отказ, злоумышленник испортил базу данных компании с обучающими видеоматериалами и сделал недоступными резервные копии. Его уволили. Однако он, зная, что у компании нет доказательств его вины, занялся шантажом – потребовал несколько тысяч евро, угрожая обнародовать информацию о недостаточной защищенности компании, что могло бы повредить ее предстоящему выходу на биржу. Этот инцидент, дорого обошедшийся жертвам, остался неучтенным – как и большинство преступлений, совершаемых внутри компании.

Все более широкое распространение получает взаимодействие сотрудников компаний с организованной преступностью и группами экстремистов. Во многих странах в настоящее время действуют компьютерные группы реагирования на чрезвычайные ситуации (CERT) для защиты от этой и подобных атак. Из 150 случаев, рассмотренных Центром по противодействию инсайдерским угрозам CERT при Университете Карнеги – Меллона в своем докладе за 2012 год «В центре внимания: злоумышленники-инсайдеры и организованная преступная деятельность», 16 % были связаны с организованной преступностью.

Одним из таких случаев стала кража в 2012 году российской бандой реквизитов 3,8 млн незашифрованных банковских счетов и почти 4 млн налоговых деклараций Департамента доходов Южной Каролины. Расследование показало, что атаке поспособствовал сотрудник, кликнувший по ссылке в электронном письме, – это позволило преступникам украсть его учетные данные и получить доступ к государственным базам данных.