Меня зовут Дмитрий Тыльный, и мне 32 года. В этом возрасте, могу гордо сказать, что являюсь человеком, потратившим десятилетие своей жизни на профессиональное развитие в мире информационных технологий.
Мой путь начался скромно — с позиции специалиста технической поддержки в аутсорсинговых компаниях после службы в армии, а дальше понеслось: системный администратор в Mail Ru Group, Badoo, Positive Technologies, Rambler Group. Мой рост не остановился на этом, и я продолжил свою карьеру в качестве DevOps инженера в различных компаниях, таких как Devino Telecom, Банк Открытие, Wildberries и другие...
Внутренние угрозы информационной безопасности
Собственно, Habr я активно начал читать года с 2016, и с тех пор были мысли написать статью на тему внутренних угроз, основываясь на своем опыте, я практически не видел, если вообще видел подобных статей.
Многое говорится о информационной безопасности, системах обнаружения вторжений, мерах по предотвращению утечек данных и многих других интересных аспектах, однако...
Меня всегда удивляло, как легко можно устроиться на работу в качестве, например, специалиста технической поддержки или системного администратора в любую компанию. Там вам сразу предоставляют доступ ко всей инфраструктуре. Иногда это происходит даже до окончания испытательного срока, и у вас есть возможность управлять всеми системами, серверами и персональными компьютерами.
Например, рассмотрим специалиста технической поддержки, чьи обязанности включают в себя замену картриджей в принтерах, установку программного обеспечения на персональные компьютеры, добавление оперативной памяти, мелкий ремонт техники и другие эникейские задачи, совмещенные с любимыми играми на рабочем месте :-)
В вашей компании сотни сотрудников, огромное количество контуров информационной безопасности, разработчики имеют доступ только к своим проектам, все действия логируются, администрируются и мониторятся. Контурные системы изолированы друг от друга, и в целом, всё устроено надёжно и работает с точностью швейцарских часов. Однако техническая поддержка, как правило, выполняет свои обязанности в то время, когда это не мешает пользователям. И ничто не мешает специалисту поддержки, например, во время установки банковского клиента, отвернуть пару винтов, извлечь жёсткий диск, клонировать его за 30 минут, вставить обратно, и ни одна система не отследит этого действия.
Здесь можно было бы утверждать, что диски следует шифровать, но встречали ли вы хотя бы одну ситуацию, где применяется суперсовременное шифрование всех дисков у всех пользователей, чаще это простая парольная защита, а все данные в открытом виде...
Представьте ситуацию: известная студия разрабатывает некую игру, работая в суперзакрытых контурах. Системные администраторы, проверенные временем, работают годами, все данные шифруются, и всё заперто на десять замков. И вдруг компания хочет провести закрытую демонстрацию для инвесторов. В этой цели серверная и клиентская части, вместе с множеством служебных программ, документами, исходниками сервера и клиента, а также уже собранными клиентом и сервером, устанавливаются на ноутбук. Зачем туда нужно было клонировать ещё и репозиторий со всеми исходниками, для остаётся загадкой, но это реальный кейс, не из моей практики, но имел место быть.
Но представим ситуацию, когда этот ноутбук за день до демонстрации приносят в техническую поддержку с просьбой проверить, всё ли в порядке, всё ли работает, или, возможно, установить и настроить дополнительное программное обеспечение, оставив ноутбук до следующего дня. Таким образом, у специалиста технической поддержки оказывается в руках ноутбук с исходными кодами проекта, который разрабатывался много лет, десятками разработчиков, и стоит огромных денег и усилий. И это не говоря уже о возможном ущербе репутации компании, если конфиденциальные данные попадут к конкурентам... Что может сделать сотрудник поддержки, понимая ценность данных ?
Представьте ситуацию: сотрудник, будь то специалист технической поддержки или системный администратор, устраивается на работу в ведущую компанию, разрабатывающую программное обеспечение для защиты от утечек информации и интернет-угроз. Ему незамедлительно предоставляют доступ ко всем необходимым ресурсам, включая тестовые сборки и документацию. Все компьютеры опломбированы, внешние порты заблокированы, доступ в файлообменники и социальные сети закрыт, но интернет открыт.
Что мешает этому сотруднику злоупотребить своим положением? Он может просто заархивировать все нужные файлы под паролем, подключиться по SSH к своему арендованному серверу и перенести архив туда. Таким образом, он может получить исходные коды продуктов или альфа-версии продукта до их официального выпуска на рынок. И это всего лишь один из тысячи возможных вариантов, казалось бы, в безопасной среде.
Этот пример подчеркивает, как важно тщательно продумывать систему безопасности, учитывая все возможные угрозы и уязвимости.
Возможные меры безопасности и уязвимости:
Ограничение Доступа: Несмотря на кажущуюся защиту, назначение полного доступа этому сотруднику создает угрозу. Определение уровней доступа в соответствии с ролью и обязанностями сотрудника может снизить риск. Если это добросовестный сотрудник, или сотрудник который держится за место...
Мониторинг Действий: Введение системы отслеживания и аудита действий сотрудников может помочь обнаружить подозрительную активность, такую как необычные запросы к данным или попытки подключения к внешним серверам. Но если если сотрудник преследует собственные цели, все это бесполезно...
Обучение и Культура Безопасности: Постоянное обучение сотрудников и формирование культуры безопасности в организации также являются ключевыми. Если сотрудники осознают важность безопасности и следуют правилам, вероятность злоупотребления уменьшается, но если ему это нужно, данные он получит.
Внутренние угрозы являются сложным вопросом, и недостаточно просто заблокировать внешние порты или определенные веб-сайты. Полноценный подход включает в себя стратегическое планирование, ограничение доступа, мониторинг, обучение и формирование культуры. Это требует внимания на всех уровнях организации и является неотъемлемой частью успешной стратегии информационной безопасности.
Это все звучит красиво, но действительность в большинстве компаний отличается. Мои выводы основаны на личном опыте работы в известных организациях и позволяют взглянуть на проблему изнутри. Возможно, именно поэтому мне ясно, что теория и практика безопасности зачастую расходятся, и наличие сложных систем защиты не всегда гарантирует полную надежность и неприкосновенность конфиденциальных данных, если у сотрудника свои планы на работу в компании...
Зачем я пишу об этом?
Все истории и примеры, приведенные в данной статье, имеют исключительно ознакомительный характер и не связаны ни со мной лично, ни с компаниями, где я работал.
Часто читая новости о взломах в известных компаниях, или утечке персональных данных, я генерирую массу идей и фантазий, как это было действительно сделано. Особое умиление вызывают обещания провести расследование и наказать виновных. В конечном счете, ответственным за инцидент может оказаться обычный сотрудник, который просто выключил компьютер, склонировал диск или передал информацию, а затем уволился. Данные могли быть опубликованы спустя полгода или даже год после его ухода. В такой ситуации выявить виновника становится практически невозможным, и все обещания кажутся лишь пустыми словами.
Когда компании нанимают разработчиков, их права обычно строго ограничены, доступ предоставляется только к своему проекту, и все правильно настроено. Однако на сотрудников техподдержки и администраторов часто забывают.
Устроиться на работу в этих ролях довольно просто, и с первого дня или после испытательного срока у вас есть доступ ко всем системам, включая компьютеры всей компании. Даже топ-менеджеры имеют массу ограничений к проектам, но человек, меняющий картриджи, может спокойно устанавливать банковские клиенты на ноутбук генерального директора.
Компании часто подчеркивают высокий уровень безопасности своих систем, акцентируя внимание на многочисленных инструментах и уровнях защиты. Однако при этом многие из них упускают из виду главную угрозу: собственных сотрудников с индивидуальными мотивами и целями. Эти цели не всегда соответствуют добросовестному выполнению обязанностей и восторгу от трудового процесса. Таким образом, внутренний фактор остается недооцененным, что может привести к интересным последствиям...
Эта статья — мой первый опыт в написании. Её цель — заставить задуматься и поразмышлять.
Комментарии (9)
Vcoderlab
09.08.2023 15:58+3Уважаемый автор, если уж рисуете проблему, предложите и её решение. А то получается навели панику "Ааа!!! Голактеко опасносте!!!11", а как защититься - задумайтесь сами...
В чём польза от этой статьи, если она не предлагает решения обозначенной проблемы?
PereslavlFoto
09.08.2023 15:58Я так понимаю, статья предлагает всех уволить, а сторожа не пускать к клавиатуре.
Dev0pser Автор
09.08.2023 15:58Решение есть, но это уже тянет на отдельную статью, которую обязательно напишу, а данная статья написана исключительно поразмышлять. Сделать некоторые выводы, ранее статьи не писал, и это просто первый опыт, следующую напишу более детально с проработкой темы...
rader90
09.08.2023 15:58Как понимаю просто высчитать цену убыток и цену защиты. Есть компании, где убытки не значительны и там 1 человек(спец ИБ, системный администратор, эникей). Второй вариант, где куча отделов и систему допусков грамотно выстроить исходя из зоны обслуживания.
PereslavlFoto
То есть вы предлагаете отказаться от доступа из локальной сети к интернету? И глушить сотовую связь? И отключить порты на компьютерах?
Dev0pser Автор
Вообще, статья скорее о том, что может быть бесконечно много различных средств защиты, контуров, а может и вообще не быть доступа к интернету из сети организации, но все забывают что специалист технической поддержки или админ, могут банально скопировать диск, базы, исходники, в свой первый рабочий день, получив доступ к проектам. А могут это сделать, просто при удобном случаи, устанавливая например новый софт главбуху или генеральному директору...
PereslavlFoto
В одном предприятии я видел идеально надёжный способ, который полностью исключал такие опасности.
1) В IT отделе работал ровно 1 человек. Опасность со стороны случайных сотрудников была нулевой.
2) Он запутывал работу, чтобы найм второго сотрудника был невозможен. Опасность от найма второго сотрудника была нулевой.
3) Он не умел ничего, кроме как работать в этом отделе. Опасность от его увольнения была нулевой.
Dev0pser Автор
Отличный пример, я же основывался на опыте работы в более чем десяти крупных IT / Медиа компаний за 10 лет, на разных должностях, но правда в том, что из любой компании можно было незаметно вынести абсолютно любые данные, работая в helpdesk или админ отделе, буквально с первых дней работы, а вот текучка в крупных компаниях высокая...