Спецпроект

Сотруднику не подняли зарплату — и он отомстил. Говорим о провалах в защите баз данных

Автор: Вероника Уласевич. Фото: Анна Иванова, архив редакции. Иллюстрации: Максим Тарналицкий
37 439
30 апреля 2024 в 11:00

Криптовалютную биржу взломали хакеры, и компания потеряла миллионы. Все ничего, если бы провал не повторился дважды. Стратегические планы Mercedes-Benz стали общеизвестными с легкой подачи бывшего сотрудника. А вот база данных BMW попала в сеть по неопытности специалиста: секретный файл был настроен как общедоступный. В совместном с А1 проекте рассказываем о том, как бизнесы пренебрегают защитой данных и лишаются больших денег. Мы рассмотрели типичные кейсы и показали, как делать точно не надо.

Слабые пароли и личные компьютеры

Об информационной безопасности начали задумываться еще в 80-е годы прошлого века. Из самых распространенных рисков тогда были просто хищение компьютера либо ошибка в программе, ведущая к сбою в системе. 

Со временем угрозы стали более жесткими, с соответствующими последствиями для бизнеса. Это связано в первую очередь с развитием интернета, а в дальнейшем — с переходом на удаленную работу и использованием личной техники при выполнении служебных обязанностей, появлением нейросетей.

— Чем больше стало киберугроз, тем активнее компании задумались о защите данных и информационной безопасности, — рассказывает руководитель группы решений информационной безопасности А1 Клавдий Лаптенок. — Защищать понадобилось те активы, без которых существование бизнеса становится невозможным. Например, это каталог Active Directory, web-порталы, серверы электронной почты, базы данных и CRM, продукты интеллектуального труда и исходные алгоритмы машинного обучения. 

Из самых распространенных причин, по которым происходит утечка информации, эксперт выделяет три основные. Это слабые пароли и отсутствие парольной политики; социальный инжиниринг, когда происходит не взлом техники, а взлом сознания человека, манипулирование его чувствами и эмоциями; избыточные права доступа у пользователя для работы в информационной системе компании.

Криптовалютная биржа FixedFloat и двойной факап

В апреле этого года стало известно, что криптовалютную биржу FixedFloat взломали во второй раз с начала года. Разработчики снова обнаружили проблемы в системе безопасности.

В феврале злоумышленники вывели $26 миллионов, во второй раз потери обошлись $2,8 миллиона.

Как сообщила компания после второй кибератаки, эти средства предназначались для операционной ликвидности сервиса, сами пользователи не пострадали.

Что же произошло? Эксперты обратили внимание на подозрительную транзакцию, совершенную с горячего кошелька криптобиржи. Злоумышленники переводили деньги на сомнительные адреса, а затем конвертировали в другие активы и выводили их через альтернативные платформы.

После ряда всех этих транзакций взломанный горячий кошелек FixedFloat перестал работать, а сайт биржи отключили на техобслуживание.

Как бизнес дважды пропустил кибератаку? Вопрос с подвохом.

— Когда систему взламывают впервые, специалисты по реагированию на такие инциденты внимательно изучают обстоятельства, собирают «улики» и доказательства взлома, формируют список «индикаторов компрометации», выдвигают гипотезы и проверяют их, формируя отчет с описанием хронологии события и рекомендациями по недопущению повторения.

Что я вижу тут: или в расследовании принимали участие специалисты, которые не расследовали всю цепочку атаки, или рекомендации были даны не совсем полные, или владельцы сервиса проигнорировали либо вообще забыли выполнить советы. Случается так, что компании атакуют повторно уже другие киберпреступники. Важно иметь универсальные методы и способы противодействия, которые можно гибко адаптировать под угрозы.

Так, команда по информационной безопасности могла увидеть точку входа и способы закрепления угрозы, предпринять меры по устранению и недопущению такой же кибератаки, но скорее всего не учла возможные вариации других моделей угроз. То есть повторная утечка могла произойти уже по другому сценарию, — предполагает собеседник.

Эксперт уверяет: раз в год обновлять лицензию на антивирус и сканировать активы на уязвимости — такая защита информации не работает. В подобных инцидентах компаниям необходимо привлекать третью сторону для проведения тщательного расследования. А также оперативно сообщить пострадавшим о том, что произошло, дать им полную информацию по минимизации рисков и ущерба.

Mercedes-Benz и бывший сотрудник

В феврале этого года от утечки важной информации пострадал Mercedes-Benz. Да, провалы случаются и у бизнес-гигантов.

Все ничего, если бы в сеть улетела пара-тройка незначительных документов. Здесь же общедоступными стали стратегически важные данные: планы компании, сделки-контракты, проектная документация, чертежи, юридические материалы.

Внутреннее расследование показало, что цифровой ключ для аутентификации в общем доступе унес бывший сотрудник немецкого автоконцерна. Больнее всего, что этот ключ обеспечивал доступ к бесконечному количеству просмотров. 

Киберугрозу удалось отследить по истории редактирования. Оказалось, все банально: специалиста вовремя не лишили доступа к системе.

До того как обнаружили угрозу, цифровой ключ провисел в интернете несколько месяцев. Радует только то, что на пострадавших серверах не было никаких данных о клиентах.

Представители автомобильного гиганта заверили, что попыток взлома или компрометации компании за это время не произошло. А цифровой ключ сразу же был обезврежен и удален.

Клавдий делится похожим случаем из практики. Он работал над анализом инцидента в компании, где произошло шифрование базы данных 1С. Его сразу удивило то, что был зашифрован не весь компьютер, а конкретная база данных, а именно зарплатная. То есть шифровальщик знал, что поставит под угрозу и где это находится. К тому же на электронную почту организации пришло письмо о том, что нужно лучше относиться к сотрудникам и не задерживать зарплату.

— Наконец, карты сошлись. Злоумышленником оказался бывший сотрудник, которому отказались поднять зарплату. Такие кейсы встречаются повсеместно. Обиженные сотрудники — очень опасные люди, на эмоциях они могут принести огромный ущерб компании.

Эксперт уверен, что в компаниях должны быть заранее прописаны инструкции по работе с доступами уволенных сотрудников.

Во-первых, нужно знать, с какими активами они работали и в каких бизнес-процессах участвовали. Эти права и привилегии должны быть ежемоментно изъяты.

Во-вторых, важно вести анализ активности данных ученых записей и по возможности пересматривать протоколы доступа.

В-третьих, менять пароли не только по плану парольной политики, но и после увольнения сотрудников, а также обязательно использовать многофакторную аутентификацию.

BMW и досадная ошибка

Еще один автомобильный гигант пострадал из-за утечки данных в феврале 2024 года. Кто-то неправильно настроил облачный сервер в BMW. 

В компании сообщили, что из-за неправильной конфигурации сервер хранения данных был случайно настроен как общедоступный, а не как частный. Ошибку обнаружили сотрудники профильной службы во время регулярного сканирования интернета.

Информация, которая попала в общий доступ, содержала конфиденциальные сведения о бизнесе, в том числе закрытые ключи и внутренние данные. К счастью, в этом кейсе тоже не пострадали клиентские и личные данные.

— Даже такие бизнес-гиганты не застрахованы от человеческих ошибок, — убежден Клавдий. — Кратный рост таких инцидентов зафиксирован с 2020 года, когда многие ушли на удаленку и стали использовать свои компьютеры и сервисы в служебных целях. Легко можно недосмотреть галочку и поставить статус «публично» там, где будет храниться коммерческая тайна. Так, компании допускают халатность, когда разрешают работать со своих компьютеров и не применяют системы проверки, верификации, идентификации, аутентификации и других механизмов контроля за действиями пользователя, пренебрегая философией «нулевого доверия».

Как минимизировать риски?

Во-первых, делите рабочее и личное. Если сотрудник использует домашний планшет, компьютер или телефон, важно разработать средства контроля за этими устройствами. И в то же время нужно уважать право на конфиденциальность и личную жизнь, иначе есть риск воспитать инсайдера, готового мстить:

— Сейчас на многих устройствах можно разделять пространство на рабочее и личное. Не нужно лезть в личные папки сотрудников, лучше создать отдельный профиль на компьютере, помочь его настроить для подключения в корпоративную сеть и контролировать работу именно с этим профилем. 

Во-вторых, не увлекаться нейросетями. Во многих компаниях, особенно где разрабатывают эксклюзивный продукт, нейросети вообще запретили. Все потому, что искусственный интеллект легко запоминает информацию и затем использует ее же для запросов других пользователей.

Twitter и фишинг по телефону

Летом 2020 года в Twitter произошла крупнейшая утечка данных. Тогда сотрудник скомпрометировал доступ к учетной записи администратора и использовал ее для доступа к данным высокопрофильных пользователей, включая политиков и знаменитостей.

Фото: depositphotos.com

Это был фишинг по телефону. Мошенник убедил администратора предоставить доступ к системе. То есть даже профессионалы из большого бизнеса подвержены социальной инженерии.

Специалист уточняет, что есть три наиболее интересные для злоумышленников категории должностных лиц. Это руководители, бухгалтеры и эйчары. Первые обладают самыми крупными административными правами компании. Вторые имеют доступ к финансовой информации. А третьи работают с бесконечным потоком людей и писем от внешних кандидатов. Чаще всего через них и происходят кибератаки.

— В данном случае важно понимать, что кибератака нацелена не на компьютер, а на человека. И здесь защищать нужно людей, помогать сотрудникам безопасно решать рабочие задачи, а не делать их рабами бизнес-процессов.

Чтобы проанализировать модели угроз для каждого из вектора сотрудников, важно понимать, какие задачи они решают и какие бизнес-процессы закрывают. Здесь очень поддерживает, когда руководитель работает в тесной связке со специалистом по информационной безопасности. Так, владелец бизнеса ориентирует, что именно нужно защищать, а задача специалиста по информационной безопасности — сказать, как это сделать. 

Эксперт уверен в необходимости проведения внутренних тестов для сотрудников, включая тестирование на склонность попасться на фишинг. Если исходить из расчетов статистики инцидентов за 2023 год, 450 человек из 1000 откроют фишинговое сообщение, 135 человек перейдут по ссылке, а 65 человек введут свои данные.

Сколько денег теряют бизнесы и как защищаться?

Клавдий уверен: чтобы подсчитать убытки от потенциальной кибератаки, нужно исходить из анализа бизнес-процессов. Для начала понять, какие процессы являются драйвером бизнеса, наложить активы на процессы, оценить угрозы для каждого актива, присвоить риск-фактор и принять меры по защите.

Как посчитать недополученную прибыль во время простоя компании из-за кибератаки? К примеру, в организации работает 10 человек. Пускай день работы каждого сотрудника стоит как минимум 50 рублей. Получается, один день простоя бизнеса стоит 500 рублей, и это без учета электричества, аренды офиса, интернета, привлеченных специалистов. 

В среднем после кибератаки бизнес не работает 2—3 дня, а период восстановления может занимать от двух недель до месяца. В таком случае минимальный ущерб составит около 1500 рублей. А дальше все тоже самое плюс дополнительные расходы.

— На эти деньги компания могла бы вместо антивируса приобрести более усовершенствованный и профессиональный сервис защиты конечных устройств. Его стоимость на одного пользователя составила бы всего 60 рублей за год, — объясняет эксперт. — Конечно, если мы возьмем сайт какой-нибудь криптобиржи, где он является непосредственным инструментом зарабатывания денег, то ущерб для бизнеса будет огромным. Если же сайт — это просто визитка владельца компании, то подход к информационной безопасности здесь будет куда проще.

Клавдий отмечает, что у всех бизнесов — свои цели, подходы и стратегии. В зависимости от этого и выстраиваются принципы информационной безопасности. Эксперт рекомендует простые для реализации меры, которые помогут компаниям защититься от кибератак. Они подходят абсолютно всем.

Во-первых, придерживаться философии «нулевого доверия». Что это значит? Всегда помните, что все за пределами контролируемой зоны опасно, и допускайте, что внутри вашей зоны уже находится киберпреступник.

Здесь важно уменьшить количество внешних и внутренних подключений, чтобы мошенник не мог передвигаться по сети.

Во-вторых, важно составить детальную схему сети и понимать, как обновляется информационная система и как защищаются рабочие точки, где находятся логины и пароли.

Третье правило — свести к минимуму привилегии для сотрудников, а не только количество и размер сетей. Специалистам должно хватать прав на столько, сколько необходимо в бизнес-процессах, где он задействован, все остальное — излишек.

И напоследок эксперт предлагает подкорректировать парольную политику компаний и всем дружно сменять пароли каждые два месяца. Также важно включать многофакторную аутентификацию.

Собеседник уверен, что каждая третья кибератака может быть обезоружена этими простыми способами. 


Партнер проекта — А1

Облачные решения, информационная безопасность и центр кибербезопасности от А1 — все, что нужно вашему бизнесу для стабильной работы в условиях стремительно развивающихся цифровых технологий.

Мы гарантируем:

— полную конфиденциальность ваших данных;

— круглосуточную техническую поддержку;

— защиту от DDoS-атак;

— высокую скорость передачи данных;

— возможность хранить данные на территории Республики Беларусь. 

Доверьте свою IT-инфраструктуру профессионалам и сосредоточьтесь на развитии бизнеса!

Спецпроект подготовлен совместно с унитарным предприятием «A1», УНП 101528843.

Наш канал в Telegram. Присоединяйтесь!

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро