СОИБ: 30% офисных сотрудников за вознаграждение готовы стать инсайдерами

30% офисных сотрудников за вознаграждение готовы стать инсайдерами

Александр Панасенко

Компания LETA провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников российских компаний. Результаты исследования позволили выявить низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.

Специалистам, отвечающим за информационную безопасность в организациях, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников российских компаний оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 14 процентов респондентов регулярно проходят инструктаж по информационной безопасности, сообщает cybersecurity.ru.

При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 37% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям.

Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных. Причем речь идет не только о паролях для почты – в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить злоумышленникам задачу по проникновению в корпоративную сеть.

Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать еще одним каналом утечки данных.

Результаты опроса показывают, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. В России тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен российских компаний различных сфер деятельности. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в августе-сентябре 2013 года.

Сотрудница Федерального суда Лос-Анджелеса оказалась инсайдером

Сотрудница Федерального суда Лос-Анджелеса оказалась инсайдером

Бывшая сотрудница Федерального суда Лос-Анджелеса Нуне Геворкян (Nune Gevorkyan) приговорена к шести месяцам тюремного заключения и трем годам условно за разглашение секретной информации в интересах подозреваемых, состоящих в одной из самых влиятельных криминальных группировок Лос-Анжелеса – «Армянская Сила» (Armenian Power).

Федеральный прокурор Мартин Эстрада (Martin Estrada) приговорил также мужа преступницы Оганеса Кошкаряна (Oganes Koshkaryan) почти к 5 годам (57 месяцев) тюремного заключения. Семейная пара признала себя виновной и по другим пунктам обвинения, сообщает информационная служба InfoWatch со ссылкой на myfoxla.com.

Геворкян работала клерком, поэтому имела прямой доступ к различной конфиденциальной  документации. Злоупотребляя должностными полномочиями, Нуне передавала секретную документацию своему мужу, а тот, в свою очередь, продавал ее «партнерам» из «Армянской Силы».

Расследование также показало, что у Геворкян был доступ к другим документам под грифом секретно, которые проходят еще, как минимум, по двум следствиям.

Opera подала в суд на сотрудника, который ушёл в Mozilla

Opera подала в суд на сотрудника, который ушёл в Mozilla

Норвежская компания Opera Software подала в суд на своего бывшего сотрудника, 36-летнего дизайнера, программиста и музыканта Тронда Вернера Хансена (Trond Werner Hansen), требуя от него компенсации ущерба в размере 20 миллионов крон, что соответствует примерно 3,4 миллиона долларов США.

Хансен работал в компании Opera с 1999 года, где он отвечал за дизайн и пользовательский интерфейс браузера. Он проделал немалую работу и сильно изменил дизайн программы в 2000-2005 годы.

Хансен работал в Opera Software ещё и в 2009-2010 годы, в качестве консультанта. Обычно условия подобных контрактов подразумевают, что сотрудник не имеет права работать на конкурирующую компанию в течение определённого времени.

Руководство норвежской фирмы начало подозревать Хансена в «краже торговых секретов» и фирменных ноу-хау летом 2012 года, когда он выступил с презентацией инновационных дизайнерских разработок в Mozilla. Вероятно, именно это видео и стало яблоком раздора.

Хансен говорит, что он семь лет «пытался упростить дизайн браузера Opera, но так и не преуспел полной мере», а теперь продолжит начатое в Firefox, с использованием накопленного опыта. Коллеги признали, что именно Хансен изобрёл много полезных опций, как поисковая строка в браузере и интерфейс быстрого доступа к часто посещаемым сайтам (Speed Dial). Некоторые из его изобретений теперь стали стандартными функциями во многих браузерах.

Рассмотрение дела назначено на 22 августа 2013 года в окружном суде Осло, если стороны до этого не придут к соглашению.

Злонамеренные действия инсайдеров могут дорого обойтись организациям

Организации стараются  защититься от хакеров и кибератак, но иногда самая большая угроза исходит изнутри.

На конференции RSA в прошлый четверг выступила Дон Каппелли, технический менеджер CERT Insider Threat Center Университета Карнеги-Меллона. Она привела целый ряд случаев, когда сотрудники компании (в том числе бывшие) наносили целенаправленный вред своей организации: внедряли вредоносное ПО, крали конфиденциальную корпоративную информацию или действовали в сговоре со взломщиками. С 2001 г. Insider Threat Center документировал 800 таких случаев с участием инсайдеров.

В случаях, связанных с кражей интеллектуальной собственности, например бизнес-планов или исходного кода, виновником может оказаться один из тех, кто участвовал в проекте, говорит Каппелли. «Они могут сбросить информацию на USB-диск и, скорее всего, поймать их не удастся», — сказала она.

Большинство таких инсайдеров — это персонал поддержки низового уровня: сотрудники службы помощи или банковские служащие, вступающие в сговор с мошенниками со стороны, говорит она. Вредителями могут оказаться недовольные ИТ-специалисты, например, системный администратор, который уволен (или уходит) и напоследок запускает атаку в корпоративной сети, сказала Каппелли.

Организации должны уделить особое внимание защите служб коллективного использования файлов, таких как Dropbox, и виртуальных машин, посредством которых служащие могут выудить информацию, считает  она.

В одном реальном случае оказался замешан менеджер по разработке продукта в компании сетевых решений, имевший доступ к производственным секретам клиентов, что требовалось  для предоставления услуг, рассказала Каппелли. Этот менеджер имел доступ к информации, принадлежавшей двум клиентам в полупроводниковой отрасли; он скачал себе 80 документов перед тем, как покинуть компанию, перейдя на работу к одному из этих клиентов. 18 документов принадлежали конкуренту его нового нанимателя, который и обратился в правоохранительные органы.

Данный случай подчеркивает, сколь важно обеспечить защиту информации своих деловых партнеров, сказала она. «Вы должны провести аудит их механизмов защиты и ввести это в договора», — сказала она.

Компьютеры общего пользования — еще один источник потенциальной угрозы со стороны инсайдера, говорит Каппелли. В университете два студента внедрили вредоносное ПО на компьютеры, находящиеся в общем доступе, чтобы красть регистрационные данные и шпионить за личными делами студентов и перепиской преподавателей. В больнице недовольный охранник, который раньше был системным администратором, установил на компьютеры вредоносное ПО и похвастался  своей «работой», выложив видеозапись на сайт, где другой хакер увидел ее и указал сотрудникам ФБР. «Если бы это ПО сработало, то наверное могло бы стоить жизней», — сказала Каппелли.

У одного ретейлера инженер по сетям, узнавший, что будет уволен, создал токен VPN на имя фиктивного служащего. Он позвонил в службу помощи в организации и, представившись новым сотрудником, попросил активировать этот токен. Спустя несколько месяцев он стер корпоративные аккаунты электронной почты, виртуальные машины и вообще нанес серьезный ущерб.

Еще один случай оказался просто неприятным для главного управляющего компании. Он выступал с презентацией PowerPoint на заседании правления; внезапно презентация закрылась и вместо нее стала демонстрироваться порнография. Шутником, установившим клавиатурный шпион, был директор по управленческим ИС, недавно уволенный этим CEO.

В другом случае трое сотрудников юридической фирмы через Dropbox передали 78 тыс. файлов клиентов за пределы организации, а потом внезапно уволились. Они установили синхронизацию информации в обоих направлениях, так что в результате все данные были  изменены, а клиенты — весьма недовольны бывшим работодателем шутников.
Организации могут принять  меры по снижению этих рисков — например, настройку системы обнаружения вторжений на слежение за веб-протоколами, связанными с услугами типа Dropbox, чтобы исключить злонамеренные действия, советует Алекс Николл, руководитель команды технических решений CERT. Также, организации могут вести мониторинг системного трафика, чтобы отследить несанкционированный доступ служб коллективного использования файлов, сказал он.

Каппелли описала еще один случай, когда инсайдер — инженер фирмы, управляющей хеджевым фондом — выкрал секретный алгоритм, использовав две виртуальные машины, чтобы обойти систему защиты. Он планировал открыть свой собственный хедж-фонд в Китае.

Организации могут предотвратить злонамеренное использование виртуальных машин, обеспечив сканирование файлов в памяти и привязку виртуальной среды к имеющимся системам безопасности, указал Николл.

Источник