Часть 1

Инсайдеры существовали всегда и везде. Но в большинстве случаев их воспринимали лишь как некое неизбежное зло. Однако, когда со второй половины 1980-х информационные технологии начали играть ключевую роль в деятельности большинства предприятий и организаций, неожиданно выяснилось, что именно IT-инфраструктура, как ничто другое, уязвима перед инсайдерами. Компьютерные технологии, в большинстве своем наспех внедренные, в сочетании с низкой квалификацией большинства корпоративных пользователей моментально оказались одновременно инструментом и жертвой инсайдеров. А с появлением интернета ситуация лишь усугубилась. Сегодня IT-инфраструктура - самый уязвимый для атак инсайдеров элемент абсолютного большинства предприятий.

Совсем недавно, весной нынешнего года, по информационным ресурсам пролетела новость: дескать, появился новый вид хакерской атаки/вымогательства. Схема преступления проста: хакер взламывает защиту компьютера, проникает в него и устанавливает пароли на важные для пользователя файлы. Через некоторое время жертва получает письмо с требованием заплатить энную сумму денег. Специалисты по информбезопасности предприятий тогда лишь грустно усмехнулись. Нечто подобное давно уже практикуют инсайдеры по всему миру. Уничтожать данные "просто так" опасно, да и невыгодно - нечем при случае шантажировать начальство. А программ для шифрования в интернете - пруд пруди, чем и пользуются недобросовестные сотрудники. Вот и происходит так, что жизненно необходимые данные вдруг оказываются недоступны, хотя сами, вроде бы, никуда и не исчезают. Впрочем, все вышеописанное - лишь один из бессчетного множества примеров деятельности инсайдеров...

Проблема атак инсайдеров на IT-инфраструктуры организаций в развитых странах стала в последнее время столь серьезной, что ею вплотную занялась Секретная служба США совместно с CERT (Computer Emergency Response Team). Недавно они опубликовали результаты своего исследования.

Нащупывая слона

Самое важное, что установили исследователи, так это то, что подавляющая часть сотрудников, которые тем или иным образом саботировали IT-инфраструктуру компании, занимали технические должности в пострадавшей организации. Ничего удивительного: когда, скажем, вся бухгалтерия завязана на компьютерную сеть, а бухгалтерши до сих пор ищут на клавиатуре "Any Key", сисадмин в такой ситуации оказывается царь и бог. И если его обидеть...

Тем же исследованием выявлена закономерность: любой неприятный инцидент на работе подстегивает саботирующие действия недобросовестных сотрудников. Многие злоумышленники стараются вести себя на рабочем месте "как положено" и не вызывать подозрения, при этом большая часть планирует свои вредоносные действия заранее. Будущие "корпоративные диверсанты" часто при найме на работу получают права администратора на доступ к корпоративной сети или становятся привилегированными пользователями, но вот очень важный факт: на момент саботажа авторизованный доступ к IT-инфраструктуре имеют меньше половины злоумышленников.

Кроме того, сотрудник, который хочет навредить своему работодателю, в большинстве случаев предпочитает какой-либо простой метод или незамысловатое средство, нарушающее работу приложений, бизнес-процессов, процедур и т.д. Очень часто объектом атаки становятся необходимые для работы данные. Иногда недобросовестные служащие применяют уже готовые инструменты, в которых реализованы довольно сложные механизмы атак - великое множество подобных программ можно без труда найти в интернете.

Большая часть корпоративных диверсантов специально компрометируют учетные записи других пользователей, создают неавторизованные учетные записи для скрытого входа в систему, а также используют многопользовательские учетные записи. Чаще всего деструктивные действия осуществлялись при удаленном доступе к корпоративной сети. Подавляющее большинство внутренних атак становится заметными только тогда, когда в компьютерной системе появляется серьезное отклонение или она становится вовсе неработоспособной.

"Портрет злодея"

Чтобы понять суть проблемы, в первую очередь, необходимо разобраться, кто же такие IT-инсайдеры. Все же провести внутреннюю компьютерную диверсию - не песок в смазку станка подсыпать.

Сразу было определено, что в большинстве своем внутренние злоумышленники - бывшие служащие компании. По данным CERT, на момент совершения атаки 59% саботажников уже не состояли в штате постоянных или временных сотрудников организации. Что касается бывшего персонала, то 48% саботажников были уволены, 38% уволились сами, а 7% были уволены в связи с остановкой производства.

На долю внутренних диверсантов, ранее занимавших технические должности, приходится 86% инцидентов. Оно и понятно: кому, как не им, лучше всего знать устройство системы. Среди них 38% системных администраторов, 21% программистов, 14% инженеров, 14% специалистов по IT. Что же до инсайдеров, не работающих в технических департаментах, 10% работают редакторами, менеджерами, аудиторами и т.д. 4% саботажников приходится на сферу обслуживания, в частности, на общение с клиентами.

В 77% случаев внутренние диверсанты трудятся полный рабочий день, в 8% - по скользящему графику, а еще в 8% являются консультантами или подрядчиками. При этом в 4% случаев в роли саботажников выступают временные служащие, а в 2% - субподрядчики.

Другой крайне важный момент - криминальное прошлое инсайдеров. Широко распространено мнение, что "вредители" в прошлом совершали уголовные преступления. Не совсем так. Эксперты CERT установили, что арестам в прошлом подвергались только 30% злоумышленников. Среди них 18% - за насильственные преступления, 11% - за преступления, связанные с алкоголем или наркотиками, 11% - за мошенничество.

(Продолжение следует)

Виктор ДЕМИДОВ