Инсайдеры поневолеисточник

В 2023 году наблюдался резкий рост числа атак на информационные системы изнутри корпоративного периметра.

Федор Трифонов, директор департамента развития решений в области информационной безопасности НОТА КУПОЛ (Холдинг Т1), экосистемы сервисов информационной безопасности.

Инсайдерские атаки в представлении большинства людей совершают нечистоплотные сотрудники. Именно они с корыстными целями передает своим сообщникам-хакерам секретные данные, коды-пароли или помогает проникнуть внутрь ИТ-инфраструктуры организации. Безусловно, такие инсайдеры существуют. Однако в подавляющем большинстве случаев, инсайдерами становятся поневоле: люди просто не осознают, что они делают. В последние два года число таких атак стало в 1,5 раза больше.

Свежий пример — проникновение в ИТ-периметр одного из крупных промышленных предприятий. При отсутствии подключения цехов и иных помещений завода к интернету, хакерам удалось провести сетевую атаку и получить доступ к весьма чувствительным данным, и все благодаря излишне доверчивому сотруднику. Это была четко таргетированная атака на конкретное предприятие, для реализации которой злоумышленники целенаправленно искали через социальные сети людей, указывающих завод как свое место работы. Среди них отбирали кандидатов в инсайдеры и далее вели агентурную работу в течение полугода.

В итоге активист и член профсоюза завода согласился на рабочем принтере распечатать листовки, направленные на защиту прав работников завода (например, на повышение зарплаты и изменение меню в столовой). Однако вставленная в компьютер профсоюзного лидера флешка оказалась не просто флеш-картой, а USB-модемом, который запустил вредоносный скрипт. Благодаря ему злоумышленники подключились к внутренней сети завода и получили доступ к интересующей информации.

Подобная инсайдерская атака возможна в отношении практически любой компании. Это объясняется, в первую очередь, крайне низкой киберграмотностью сотрудников. По просьбе руководства одного из крупнейших в стране промышленных комбинатов мы провели эксперимент: на автопарковке под дворники машин разложили листовки и флешки — поздравления с профессиональным праздником с обращением топ-менеджемента. Неизвестный носитель в рабочий компьютер вставили все без исключения сотрудники, чьи машины были в тот день на парковке.

Фишинговую рассылку с заголовком письма, таким как «Новые фото с корпоратива» также открывают практически в 100% случаев. И при этом большинство компаний периодически проводят тренинги для сотрудников. Но подход к ним зачастую слишком формальный, а самими слушателями курсы воспринимаются как дополнительная возможность отдохнуть от рабочего процесса и пообщаться с коллегами.

Непартнерское поведение

Еще одно расхожее заблуждение заключается в том, что инсайдером может быть исключительно сотрудник организации. На самом деле эту роль может сыграть любой из контрагентов, по собственному желанию или невольно. Например, взлом крупной компании, обладающей огромным штатом специалистов по информационной безопасности и пулом защитных решений, в лоб практически невозможен или очень дорог. Учитывая, что злоумышленник — это бизнесмен, который идет по пути минимизации расходов и максимального роста выгоды, атака разворачивается через контрагента. Она так и называется «атака на цепочку поставок».

Например, у промышленного объекта кибербезопасность, как правило, на самом высоком уровне. А вот у микропредприятия, которое поставляет ему питьевую воду, расходы на информационную безопасность нулевые. Электронная почта у партнера находится на публичном почтовом ящике, поэтому все выставленные им счета за воду традиционно уходят в спам. Злоумышленники взламывают контрагента и от его имени просят бухгалтерию завода добавить их в «белый список», чтобы их письма не приходилось долго искать. Бухгалтерия соглашается и, получив первое же письмо с вредоносом, открывает лазейку в корпоративный периметр для хакеров. В России очень много подобных микропредприятий, через которые можно получить доступ к крупнейшим игрокам, — достаточно просто усыпить бдительность.

Информация как выгодный товар

Впрочем, на фоне роста общего количества инсайдерских атак сотрудники-злодеи, готовые «продать» работодателя злоумышленникам — также не редкость. Причем, в этом году такие люди все чаще сами инициируют контакт со злоумышленниками. На специализированных сайтах растет число объявлений работников разных компаний (включая госучреждения и банки), где люди описывают свою должность, место работы и сообщают, что они готовы сделать за деньги: пронести флешку, скачать файлы или сфотографировать что-то на смартфон, совершить иные действия. Если еще пару лет назад злоумышленники были вынуждены самостоятельно целенаправленно искать инсайдеров, то сейчас они, как на маркетплейсе, могут выбирать, какую организацию с их помощью атаковать.

Все чаще целью инсайдерских атак является не доступ к ценной информации или, например, внедрение вируса-шифровальщика, а просто деструктивные действия. Также инсайдеры активно становятся субъектами конкурентной борьбы. Так, известен случай, что одна из компаний – участниц тендера на поставку оборудования выиграла торги, установила оборудование, которое отказало через месяц. В результате контакт был разорван и заключен со вторым участником торгов. Расследование, инициированное первой компанией, показало, что за выходом оборудования из строя стоял подкуп одного из ее работников. Нельзя сказать, что подобные истории случаются повсеместно, но они есть.

Еще один тренд последнего времени — злоумышленники не выкладывают украденную информацию в открытый доступ мгновенно, а сохраняют для последующего использования. Добытыми сведениями компанию можно шантажировать, можно попробовать перепродать другим хакерам, выставив объявление на специализированных сайтах. Чаще всего реализуются оба сценария одновременно. Также извлеченную информацию шифруют с помощью специального ПО, а за расшифровку требуют выкуп.

И словом, и делом против хакеров

Большинство российских компаний, в случае утечки информации, в том числе персональных данных или иных чувствительных сведений до последнего не признаются в случившемся, опасаясь репутационных рисков. Финансовая ответственность за такие нарушения пока незначительна. Сейчас в Минцифре разрабатывают законопроект об оборотных штрафах за утечку конфиденциальной информации. После его принятия ситуация может измениться: компаниям будет выгоднее признаваться в инсайдерских атаках, поскольку при сокрытии этой информации штрафы будут существенно больше.

Но вне зависимости от регуляторных изменений, противодействие инсайдерским атакам и утечкам чувствительных данных — зона ответственности каждой организации. И решением проблемы будет не только ограничение доступа сотрудников в интернет, защита данных от скачивания и пересылки, установка специализированных систем, не позволяющих, например, фотографировать экран, и четко разграничивающих доступ к информации. Кроме того, крайне важно периодически актуализировать политики информационной безопасности.

Как показывает практика, слабое звено всегда — человек. И потому важно не только внедрять эффективные решения по информбезопасности, но и работать с коллективом, чтобы, как минимум, избежать столь популярной атаки с инсайдерами поневоле.

Этому служит даже простой рассказ о том, чем занята ИБ-служба. Многие сотрудники компании зачастую даже не знакомы с людьми, работающими в подразделении информационной безопасности. Стоит начать с их представления и рассказа о том, почему важны те или иные политики безопасности. Во многих компаниях внедряется система повышения осведомлённости рядовых сотрудников. Она может быть реализована в формате игровых тренингов киберграмотности.

Среди действенных методов предотвращения инсайдерских атак можно упомянуть и тщательные проверки контрагентов. Разработка и внедрение корпоративных правил для проверки подрядных организаций позволит избежать возможных проблем в будущем.