Журнал "Директор по безопасности" Май 2020 | Page 7

ФИЛОСОФИЯ ЗАЩИТЫ
внутренних
утечек, которых
можно было
избежать
ДМИТРИЙ КАНДЫБОВИЧ,
генеральный директор StaffCop
(ООО «Атом Безопасность»)
У
течки данных случаются в разных
компаниях. Размеры предприятия,
направление деятельности, объемы
производства и годовая прибыль не силь-
но влияют на риски, потому что 34 %
утечек, по данным 2019 Verizon Data
Breach Investigations Report, происходят
через внутренних нарушителей, причем
не всегда в основе преступный замысел –
часто речь идет о безответственности или
пренебрежении правилами информаци-
онной безопасности.
Отследить внутренние утечки инфор-
мации намного сложнее: инсайдер ве-
дет себя как примерный сотрудник или
обычный клиент. В представленном
Топ-5 мы разберем пять реальных ситуа-
ций, связанных с деятельностью инсай-
деров, и рассмотрим, как можно было
избежать утечки данных.
Инсайдер – кто он?
Основная опасность инсайдера в том,
что он имеет или может получить до-
ступ к закрытой конфиденциальной ин-
формации в процессе работы или зло-
употребив своими правами. Получив
информацию, такой человек может ис-
пользовать ее во вред компании.
Помимо сотрудников и бывших ра-
ботников инсайдером может стать дело-
вой партнер, поставщик товаров и услуг,
контрагент – все, кто так или иначе по-
лучает частичный доступ к информации
о компании. Такие люди гораздо опаснее
внешних нарушителей, поскольку распо-
лагают данными о внутренней структуре
компании, методиках защиты данных и
возможных уязвимостях.
Похищение данных осуществляют
для личной выгоды, в качестве мести ра-
ботодателю при громком увольнении, с
целью разрушения репутации компании
или даже на всякий случай – иногда по-
хищенные данные не рассекречивают
и не продают, используя как страховку
или инструмент для шантажа.
Последствия утечки данных
через инсайдера
1. Финансовые: стоимость украденной
информации может быть очень внуши-
тельной, и более того – она будет расти
вплоть до момента обнаружения похи-
щения. Часто речь идет о миллионах
долларов.
2. Юридические: даже если от утечки
конфиденциальной информации никто
не пострадал, регуляторы ФСТЭК и ФСБ
обяжут руководство компании выпла-
тить штраф, сумма которого будет за-
висеть от тяжести обнаруженных нару-
шений.
3. Репутационные: клиенты переста-
нут доверять вашей компании, что сни-
зит конкурентоспособность и отразится
на оборотах.
4. Технологические: используя полу-
ченные через инсайдера данные, кон-
куренты могут раньше вас вывести на
рынок продукт, над которым работала
ваша фирма.
5. Дополнительные непрогнозируе-
мые потери: могут пострадать клиенты
и партнеры, если были украдены лич-
ные данные.
Топ-5 инсайдерских скандалов
и их последствия
1. Бывшие работники Waymo.
В 2016 году ведущий инженер авто-
мобильного проекта Waymo от Google
Энтони Левандовски покинул свой пост,
чтобы начать разработку самодвижу-
щихся грузовых машин в стартапе Otto.
Через несколько месяцев молодую ком-
панию Otto перекупил Uber, а Левандов-
ски получил повышение: теперь он от-
вечал за отдел разработки беспилотных
автомобилей Uber. К тому же Левандов-
ски ушел из Google Waymo не с пустыми
руками: афера с хищением информации
была тщательно спланирована. Он пере-
дал своему новому руководству:
маркетинговую информацию;
некоторые фрагменты исходного
кода;
видеозаписи тестовых поездок;
данные по методике обнаружения и
определения дальности света – LIDAR;
технологии создания радаров, а так-
же диаграммы симуляций.
В качестве дополнения Uber получил
папку с конфиденциальной PDF-доку-
ментацией.
В Google обнаружили, что Левандов-
ски подключался к серверу с конфиден-
циальной информацией со своего ноут-
бука и успел скопировать около 14 тыс.
файлов непосредственно перед покуп-
кой Otto.
Причина утечки.
Служба безопасности Waymo не про-
вела мониторинг привилегированных
пользователей и не закрыла доступ к
серверам для уволенного сотрудника,
поэтому Левандовски смог спокойно
скопировать файлы на персональный
ноутбук. Утечка была обнаружена в ре-
зультате расследования, которое прове-
ли только тогда, когда Uber уже был го-
тов выкупить Otto.
Последствия для Waymo, Uber
и инсайдера.
Разработка украденной технологии
велась в Waymo с 2009 по 2015 год, и
вложения в проект на момент похище-
ния составили 1,1 млрд долларов. Дока-
зать, что информация была украдена,
Waymo все же смогла, и Uber выплатил
компенсацию в 245 млн долларов, что,
конечно, не покрыло потери. Также Uber
пообещал не пользоваться получен-
ными данными при разработке своих
беспилотников. Левандовски по итогам
расследования объявлен банкротом, по-
скольку всю сумму потерь Waymo пыта-
ется взыскать именно с него.
Как можно было избежать утечки
данных?
Утечку можно было предотвратить
еще до похищения информации с помо-
щью технологии Data Leak Prevention
(DLP), которая позволяет это сделать.
Подробнее с этой технологией можно
познакомиться на примере систем мо-
ниторинга и защиты данных StaffCop от
ООО «Атом Безопасность».
Привилегированный пользователь
получал доступ к серверу компании с
личного ноутбука. Если на сервере с
чувствительной информацией установ-
лен агент DLP, то при копировании ин-
формации на сторонние носители со-
трудникам службы информационной
безопасности направляется уведомле-
ние и появляется возможность задер-
жать нарушителя до передачи похищен-
ной информации конкуренту.
2. Похищенные секреты Allen & Hoshall.
В маленьких компаниях кража ин-
формации – нередкая проблема. Конеч-
но, здесь не будет миллиардных исков и
убытков, однако ущерб для фирмы мо-
жет стать критическим. Кража данных
Allen & Hoshall демонстрирует одну из
типичных проблем, связанных с бывши-
ми сотрудниками.
В 2013 году компанию Allen & Hoshall
покинул Джейсон Нидхэм – он организо-
вал собственную фирму HNA Engineering.
Джейсон сохранил добрые отношения с
одним из коллег – и через него получил
доступ к закрытой информации.
Нидхэм регулярно заходил на корпо-
ративную почту и сетевые диски A & H,
копировал данные о проектах и разра-
ботках инженеров, финансовую доку-
ментацию – более сотни PDF-файлов и
82 документа AutoCAD. Причем Allen &
Hoshall не подозревала об этой активно-
сти и не отслеживала ее, так что, если бы
не случайность, хищение информации
могло продолжаться и сегодня.
Вмешался случай: в 2016 году одно-
му из потенциальных клиентов посту-
пило предложение от HNA Engineering,
очень похожее на предложение от Allen
& Hoshall. Пострадавшая компания ини-
циировала расследование и обратилась
за помощью к ФБР. Похитителя высле-
дили, и уже в апреле 2017 года ему были
предъявлены обвинения.
Причина утечки.
Система предоставления доступа в
Allen & Hoshall была достаточно хорошо
продумана: сотрудник получал доступ
только к той информации, которая ему
требовалась. После увольнения доступ
сотрудника аннулировали, а его учет-
ную запись удаляли. Однако Нидхэм
воспользовался корпоративной почтой
коллеги – там обнаружились и данные
FTP-аккаунта сотрудника.
Последствия для Allen & Hoshall
и Нидхэма.
Суд постановил, что украденные дан-
ные стоили от 250 до 550 тыс. долларов.
Вина Нидхэма была доказана, с него
взыскано 172 тыс. долларов в пользу по-
страдавшей фирмы.
Как можно было избежать утечки?
Предотвратить использование акка-
унта сотрудника можно было с помощью
двухфакторной аутентификации – до-
полнительная авторизация и подтверж-
дение доступа не позволяют войти в
аккаунт даже с использованием данных
учетной записи, найденных в почте.
Также утечку информации мог об-
наружить StaffCop: контроль за фай-
ловыми операциями на FTP-серверах
является одной из функций DLP. При
возникновении подозрительной актив-
ности на FTP-ресурсе сотрудники служ-
бы безопасности получают все данные
о подключении, включая IP-адрес нару-
шителя.
Помимо сотрудников
и бывших работников
инсайдером может стать
деловой партнер, поставщик
товаров и услуг, контрагенты –
все, кто так или иначе
получает частичный доступ
к информации о компании
3. Anthem и их поставщики.
В 2017 году от утечки данных через
стороннего поставщика пострадала вто-
рая по величине страховая фирма в США.
По сообщению LaunchPoint, коорди-
натора страховых услуг, один из сотруд-
ников отправил на личную почту файл,
содержащий персональные данные кли-
ентов Anthem. Было ли это злонамерен-
ным действием или ошибкой и исполь-
зовались ли полученные данные не по
назначению, неизвестно. Пострадало
18 580 человек, в числе украденных дан-
ных были номера страховых договоров,
даты рождения и конфиденциальная ме-
дицинская информация.
В течение двух лет с момента хищения
LaunchPoint бесплатно предоставляла по-
страдавшим услуги мониторинга утечки
личных данных и их восстановления.
Причина утечки.
Утечка данных через LaunchPoint
произошла потому, что сотрудник, име-
ющий доступ к чувствительной инфор-
мации, мог копировать ее и отправлять
на личную почту. Прямой вины Anthem в
хищении данных нет, единственное, что
могла сделать компания, – выбрать стра-
хового координатора с более высоким
уровнем защиты персональных данных.
Последствия для LaunchPoint
и Anthem.
Вся финансовя ответственность лег-
ла на LaunchPoint как виновника утечки
данных, однако для репутации Anthem
удар оказался очень серьезным: компа-
ния утратила доверие многих клиентов.
Как можно было избежать утечки?
С помощью DLP и мониторинга по-
чтовых каналов можно контролировать
и пресекать хищение информации: на-
стройки позволяют уведомлять службу
безопасности даже об отправке писем
самому себе или о пересылке писем на
некорпоративные адреса.
Поиск по ключевым словам дает воз-
можность не только отслеживать сам
факт пересылки сообщения, но и опре-
делять, какие персональные данные
передаются таким путем. Гибкость на-
строек позволяет исключить несанкцио-
нированную пересылку информации.