21 мая 2018

5 оттенков человеческого фактора в ИБ



Gartner прогнозировала, что в 2018 году расходы на корпоративную информационную безопасность вырастут на 8% и превысят 96 млрд долларов. Основные статьи расходов – инструменты для управления учетными данными, оборудование для безопасности инфраструктуры и сетей, ИБ-сервисы, ПО для защиты клиентских данных.


Компании тратят больше под впечатлением от глобальных инцидентов. И неудивительно, что внимание бизнеса, особенно крупного, направлено на защиту от внешних угроз. Взять эпидемию WannaCry: в первые же два дня пострадали больше 200 тыс. пользователей из 150 стран мира – такое не может не впечатлять! Но если все внимание (и бюджет) уделять хакерам, уязвимостям нулевого дня, вирусам-вымогателям и шифровальщикам, легко пропустить инцидент, к которому приводят случайные клики или всего одно решение сотрудника. Казалось бы, угроза внутри одна – человеческий фактор. Но проявляется она по-разному, а оборачивается для компаний не меньшими потерями.

Вариант 1: Эмоции и чувства


Экс-шеф безопасности Uber – Джо Салливан – специалист с богатым послужным списком, а не человек «с улицы». Он участвовал в расследовании громких киберпреступлений в США, работал в Facebook, eBay и PayPal – в общем всю жизнь успешно ловил «плохих парней». Видимо, Джо решил, что кража данных, случившаяся прямо под его носом в 2016 году, – это досадное пятно на безупречном бэкграуде и нужно как-то, но скрыть инцидент. Пусть даже для этого придется договариваться с собственными «врагами». В смятении, он заплатил хакерам 100 тыс. долларов за молчание и больше года скрывал факт взлома с кражей данных 57 млн пассажиров и водителей.

Компания и так имела множество проблем с законом – в конце 2017 года только в США все еще продолжались минимум пять расследований в отношении Uber. Учитывая это, поступок теперь уже бывшего ИБ-директора ударил по самому больному – и без того подмоченной репутации компании. Как результат – серьезные проблемы с инвесторами: японская венчурная компания SoftBank и партнеры, которые хотели купить 14% акций, – оценили компанию на треть меньше, в 48 млрд, хотя на последнем раунде привлечения инвестиций фигурировать цифра в 69 млрд.

Движущей силой другого инцидента стало тщеславие. В феврале 2017 года американский бизнесмен, как и другие члены закрытого гольф-клуба, стал свидетелем встречи президента США Дональда Трампа и премьер-министра Японии Синдзо Абэ. Когда в разгар ужина главам государств сообщили об очередном испытании баллистической ракеты, проведенном КНДР в Японском море, бизнесмен не смог сдержаться и выложил фото происходящего на личной странице в Facebook. Подпись автора цитировали СМИ: «Было потрясающе увидеть во время ужина шквал деятельности, когда пришли новости о запуске Северной Кореей ракеты в сторону Японии». Снимок набрал 77 лайков и 139 перепостов. Бизнесмен удалил аккаунт в Facebook, когда журналисты завалили его запросами. Однако новостные ресурсы успели сохранить и растиражировать фотографии.

На одном из снимков запечатлен момент, когда помощники светят на документы с помощью мобильных телефонов. На другом снимке видно, что президент США говорит по телефону, отвернувшись от премьер-министра Японии. И тут человеческий фактор проявляется минимум в двух проблемах. Во-первых, главы государств поспешили обсуждать гипотетически секретную информацию при посторонних. Во-вторых, естественное желание добавить света с помощью экранов несет угрозу утечки: взломав телефон любого из помощников, хакеры могли получить доступ к содержанию документов.

Вариант 2: Забывчивость или незнание


Этим часто грешат подрядчики, обнародуя данные своих клиентов. Подтверждений масса – чего только не находят независимые эксперты по информационной безопасности в открытом доступе. Например, на Amazon Web Service (AWS).

В 2017 году американский телекоммуникационный гигант Verizon потерял данные 14 млн клиентов: имена, адреса, данные учетных записей и PIN-коды для верификации клиентов. На Amazon они оказались «благодаря» подрядчику, нанятому для улучшения работы портала колл-центра. Тот не позаботился о настройках безопасности – и в результате данные были доступны по URL.

Аналогично из базы резюме и заявлений о приеме на работу в частную охранную фирму утекли тысячи файлов с личной информацией военных, полицейских, сотрудников спецслужб и подразделений ООН. По версии фирмы, ответственность за инцидент несет рекрутинговая компания, которая использовала сервис AWS для пересылки резюме.

Там же в разное время обнаруживали информацию о 198 млн зарегистрированных избирателях США (архив, не защищенный даже паролем, загрузила в «облако» фирма, которая собирала сведения для предвыборного штаба Дональда Трампа); данные 2,2 млн подписчиков компании Dow Jones; данные 3 млн клиентов развлекательной корпорации WWE (крупнейшая в мире федерация рестлинга, организует до 500 шоу в год и транслирует бои на аудиторию в 150 странах) и данные 4 млн учетных записей клиентов Time Warner Cable (вторая по охвату кабельная сеть США).

Все инциденты, зафиксированные экспертами на серверах AWS, объединяет одна причина: те, кто загружал данные в облако забывали, а может, и не предполагали, что нужно отключить возможность общественного доступа. Иначе любой, кто найдет ссылку, без дополнительных хакерских уловок получит доступ к данным. Сканировать сеть в поисках незащищенных, открытых хранилищ – несложно, понадобится только свободное время, а инструментов достаточно в свободном доступе.

В такой ситуации, по мнению ИБ-экспертов, Amazon как провайдер услуг мог бы внедрить дополнительный контроль, чтобы выявлять ошибки конфигурации и закрывать доступ к чувствительным данным, не защищенным паролем. И хотя утечки случались по вине пользователей Amazon в ноябре 2017 года все же представила решение: в панели управления появилось предупреждение о том, что из-за неправильных настроек информация публично доступна. Сервис также включил полное шифрование всех данных в облаке по умолчанию.

Вариант 3: Корыстные цели


Использовать свое положение с выгодой – большой соблазн, лежащий в основе многих инцидентов. Люди продают информацию, отдают ее в обмен на услуги или используют, чтобы получить выгоду иначе. Причем диапазон «аппетитов» очень широк.

Например, летом 2017 года в региональных СМИ «всплыла» история о полицейском из Сургута, который информировал местных журналистов. Редакция раньше других узнавала о потерпевших и подозреваемых в преступлениях, получала фото и видеозаписи с мест происшествий. А в благодарность – оплачивала походы в кино и посещение фитнес-клуба для всей семьи полицейского. Служебную проверку начали после того, как редакция сослалась на источник в полиции, опубликовав слишком много деталей об убийстве. Разглашение данных негативно сказалось на расследовании дела – и инсайдера, хоть и «нежадного» уволили.

А вот ИБ-директор американской Ассоциации лотерей не мелочился. В 2017 году в США вновь получила продолжение история о том, как он… взломал генератор случайных чисел. Проработав 10 лет в компании, специалист создал вредоносное ПО и заразил компьютеры, которые определяли выигрышные комбинации для лотерей Ассоциации. Покупать заведомо выигрышные лотерейные билеты помогали брат и лучший друг. Схема работала семь лет с 2005 года. Расследовать пришлось 41 крупный выигрыш в разных лотереях, которые используют систему Ассоциации. Подтасованными оказались результаты четырех розыгрышей, но получить выигрыш удалось только по трем билетам на общую сумму 2,55 млн долларов. Попытка «обналичить» четвертый билет обернулась расследованием, судом и 10-летним сроком в тюрьме. В середине 2017 года появились новые улики, дело отправили на пересмотр, и теперь бывшему ИБ-директору грозит уже 25 лет тюрьмы. Суд обязал его возместить 1,4 млн долларов ущерба.

Вариант 4: Несогласованность действий


Спустя неделю после обновления AWS «жертвой» неправильных настроек стала Национальная общественная вещательная корпорация Австралии. В открытый доступ попали данные подразделения, которое отвечает за продажу контента и лицензий. Возможная причина инцидента в том, что «старая гвардия» из IT-отдела предпочитала стратегию глубокой обороны, то есть сохраняла инфраструктуру внутри компании и применяла различные средства защиты на разных уровнях. А руководство стремилось все больше переводить работу на удобные и дешевые облачные сервисы. Тогда как предотвратить инцидент помогла бы «гибридная» модель.

Вариант 5: Случайность


Но бывает, что причиной утечки становится случай – обычная усталость или автоподбор в почтовом клиенте. Так произошло в Пентагоне в 2017 году – офис по связям с общественностью министерства обороны США нечаянно включил адрес корреспондента Bloomberg в список служебной рассылки. В переписке сотрудники министерства и агентства по чрезвычайным ситуациям обсуждали, как СМИ освещают последствия урагана Мария, и обменивались инструкциями, как направить новостную повестку в позитивное русло.

Журналист несколько раз указал сотрудникам Пентагона на ошибку, но почта продолжала приходить в течение пяти дней. В письмах содержались краткие выдержки из публикаций и рекомендаций, как в позитивном ключе представлять усилия федеральных властей по устранению последствий урагана, от которого больше всего пострадал остров Пуэрто-Рико.

Журналист, который освещает проблемы изменения климата, решил воспользоваться возможностью и привел в статье для Bloomberg Businessweek выдержки из писем, которые получал из Пентагона по ошибке.

Случайно обнародовали закрытую информацию и силовые структуры Финляндии. В конце июля 2017 года жительница финского Оулу получила письмо с перепиской местных полицейских о мерах безопасности во время визита президента России Владимира Путина. В письме оказался подробный маршрут перемещения финского президента Саули Ниинистё и точное время прибытия вертолета с Владимиром Путиным.

В полиции подчеркнули, что безопасности президентов ничего не угрожало, потому что утечка произошла постфактум. Случайное письмо отправили спустя 9 часов после основной рассылки. В это время президенты России и Финляндии уже наслаждались «Иолантой».

В департаменте полиции Восточной Финляндии ошибку скрывать не стали (привет, Uber!) и честно объяснили отправку письма с секретной информацией случайному адресату «человеческим фактором». Почтовая программа автоматически предлагает адреса из списка получателей, кому хотя бы один раз уже отправляли письмо. А имя жительницы Оулу, которая не имеет никакого отношения ни к охране порядка, ни к управлению государством, просто созвучно имени пресс-секретаря полиции.

Комментариев нет:

Отправить комментарий