Меня зовут Дмитрий Тыльный, и мне 32 года. В этом возрасте, могу гордо сказать, что являюсь человеком, потратившим десятилетие своей жизни на профессиональное развитие в мире информационных технологий.

Мой путь начался скромно — с позиции специалиста технической поддержки в аутсорсинговых компаниях после службы в армии, а дальше понеслось: системный администратор в Mail Ru Group, Badoo, Positive Technologies, Rambler Group. Мой рост не остановился на этом, и я продолжил свою карьеру в качестве DevOps инженера в различных компаниях, таких как Devino Telecom, Банк Открытие, Wildberries и другие...

Внутренние угрозы информационной безопасности

Собственно, Habr я активно начал читать года с 2016, и с тех пор были мысли написать статью на тему внутренних угроз, основываясь на своем опыте, я практически не видел, если вообще видел подобных статей.

Многое говорится о информационной безопасности, системах обнаружения вторжений, мерах по предотвращению утечек данных и многих других интересных аспектах, однако...

Меня всегда удивляло, как легко можно устроиться на работу в качестве, например, специалиста технической поддержки или системного администратора в любую компанию. Там вам сразу предоставляют доступ ко всей инфраструктуре. Иногда это происходит даже до окончания испытательного срока, и у вас есть возможность управлять всеми системами, серверами и персональными компьютерами.

Например, рассмотрим специалиста технической поддержки, чьи обязанности включают в себя замену картриджей в принтерах, установку программного обеспечения на персональные компьютеры, добавление оперативной памяти, мелкий ремонт техники и другие эникейские задачи, совмещенные с любимыми играми на рабочем месте :-)

В вашей компании сотни сотрудников, огромное количество контуров информационной безопасности, разработчики имеют доступ только к своим проектам, все действия логируются, администрируются и мониторятся. Контурные системы изолированы друг от друга, и в целом, всё устроено надёжно и работает с точностью швейцарских часов. Однако техническая поддержка, как правило, выполняет свои обязанности в то время, когда это не мешает пользователям. И ничто не мешает специалисту поддержки, например, во время установки банковского клиента, отвернуть пару винтов, извлечь жёсткий диск, клонировать его за 30 минут, вставить обратно, и ни одна система не отследит этого действия.

Здесь можно было бы утверждать, что диски следует шифровать, но встречали ли вы хотя бы одну ситуацию, где применяется суперсовременное шифрование всех дисков у всех пользователей, чаще это простая парольная защита, а все данные в открытом виде...

Представьте ситуацию: известная студия разрабатывает некую игру, работая в суперзакрытых контурах. Системные администраторы, проверенные временем, работают годами, все данные шифруются, и всё заперто на десять замков. И вдруг компания хочет провести закрытую демонстрацию для инвесторов. В этой цели серверная и клиентская части, вместе с множеством служебных программ, документами, исходниками сервера и клиента, а также уже собранными клиентом и сервером, устанавливаются на ноутбук. Зачем туда нужно было клонировать ещё и репозиторий со всеми исходниками, для остаётся загадкой, но это реальный кейс, не из моей практики, но имел место быть.

Но представим ситуацию, когда этот ноутбук за день до демонстрации приносят в техническую поддержку с просьбой проверить, всё ли в порядке, всё ли работает, или, возможно, установить и настроить дополнительное программное обеспечение, оставив ноутбук до следующего дня. Таким образом, у специалиста технической поддержки оказывается в руках ноутбук с исходными кодами проекта, который разрабатывался много лет, десятками разработчиков, и стоит огромных денег и усилий. И это не говоря уже о возможном ущербе репутации компании, если конфиденциальные данные попадут к конкурентам... Что может сделать сотрудник поддержки, понимая ценность данных ?

Представьте ситуацию: сотрудник, будь то специалист технической поддержки или системный администратор, устраивается на работу в ведущую компанию, разрабатывающую программное обеспечение для защиты от утечек информации и интернет-угроз. Ему незамедлительно предоставляют доступ ко всем необходимым ресурсам, включая тестовые сборки и документацию. Все компьютеры опломбированы, внешние порты заблокированы, доступ в файлообменники и социальные сети закрыт, но интернет открыт.

Что мешает этому сотруднику злоупотребить своим положением? Он может просто заархивировать все нужные файлы под паролем, подключиться по SSH к своему арендованному серверу и перенести архив туда. Таким образом, он может получить исходные коды продуктов или альфа-версии продукта до их официального выпуска на рынок. И это всего лишь один из тысячи возможных вариантов, казалось бы, в безопасной среде.

Этот пример подчеркивает, как важно тщательно продумывать систему безопасности, учитывая все возможные угрозы и уязвимости.

Возможные меры безопасности и уязвимости:

• Ограничение Доступа: Несмотря на кажущуюся защиту, назначение полного доступа этому сотруднику создает угрозу. Определение уровней доступа в соответствии с ролью и обязанностями сотрудника может снизить риск. Если это добросовестный сотрудник, или сотрудник который держится за место...

• Мониторинг Действий: Введение системы отслеживания и аудита действий сотрудников может помочь обнаружить подозрительную активность, такую как необычные запросы к данным или попытки подключения к внешним серверам. Но если если сотрудник преследует собственные цели, все это бесполезно...

• Обучение и Культура Безопасности: Постоянное обучение сотрудников и формирование культуры безопасности в организации также являются ключевыми. Если сотрудники осознают важность безопасности и следуют правилам, вероятность злоупотребления уменьшается, но если ему это нужно, данные он получит.

Внутренние угрозы являются сложным вопросом, и недостаточно просто заблокировать внешние порты или определенные веб-сайты. Полноценный подход включает в себя стратегическое планирование, ограничение доступа, мониторинг, обучение и формирование культуры. Это требует внимания на всех уровнях организации и является неотъемлемой частью успешной стратегии информационной безопасности.

Это все звучит красиво, но действительность в большинстве компаний отличается. Мои выводы основаны на личном опыте работы в известных организациях и позволяют взглянуть на проблему изнутри. Возможно, именно поэтому мне ясно, что теория и практика безопасности зачастую расходятся, и наличие сложных систем защиты не всегда гарантирует полную надежность и неприкосновенность конфиденциальных данных, если у сотрудника свои планы на работу в компании...

Зачем я пишу об этом?

Все истории и примеры, приведенные в данной статье, имеют исключительно ознакомительный характер и не связаны ни со мной лично, ни с компаниями, где я работал.

Часто читая новости о взломах в известных компаниях, или утечке персональных данных, я генерирую массу идей и фантазий, как это было действительно сделано. Особое умиление вызывают обещания провести расследование и наказать виновных. В конечном счете, ответственным за инцидент может оказаться обычный сотрудник, который просто выключил компьютер, склонировал диск или передал информацию, а затем уволился. Данные могли быть опубликованы спустя полгода или даже год после его ухода. В такой ситуации выявить виновника становится практически невозможным, и все обещания кажутся лишь пустыми словами.

Когда компании нанимают разработчиков, их права обычно строго ограничены, доступ предоставляется только к своему проекту, и все правильно настроено. Однако на сотрудников техподдержки и администраторов часто забывают.

Устроиться на работу в этих ролях довольно просто, и с первого дня или после испытательного срока у вас есть доступ ко всем системам, включая компьютеры всей компании. Даже топ-менеджеры имеют массу ограничений к проектам, но человек, меняющий картриджи, может спокойно устанавливать банковские клиенты на ноутбук генерального директора.

Компании часто подчеркивают высокий уровень безопасности своих систем, акцентируя внимание на многочисленных инструментах и уровнях защиты. Однако при этом многие из них упускают из виду главную угрозу: собственных сотрудников с индивидуальными мотивами и целями. Эти цели не всегда соответствуют добросовестному выполнению обязанностей и восторгу от трудового процесса. Таким образом, внутренний фактор остается недооцененным, что может привести к интересным последствиям...

Эта статья — мой первый опыт в написании. Её цель — заставить задуматься и поразмышлять.