Если вы увольняете сотрудника, будьте с ним предельно вежливы и убедитесь, что все его требовани удовлетворены, дайте ему рекомендации и выходное пособие. Особенно если это программист, системный администратор или человек из подразделения DevOps. Некорректность со стороны работодателя может дорого обойтись.В британском городе Рединг завершился суд над 36-летним Стефаном Нидхэмом (Steffan Needham, на фото). После девятидневного разбирательства бывший сотрудник IT-подразделения одной из местных компаний получил два года тюремного заключения.
Стефан Нидхэм всего четыре недели проработал в компании цифрового маркетинга и программного обеспечения под названием Voova, после чего его уволили. Мужчина не остался в долгу. Сразу после увольнения 17 и 18 мая 2016 года он воспользовался учётными данными своего коллеги, авторизовался в системе Amazon Web Services (AWS) и удалил 23 инстанса бывшего работодателя.
Нидхэм не признал себя виновным. Против него выдвинули два обвинения: несанкционированный доступ к компьютерным материалам и несанкционированное изменение компьютерных материалов. В обоих случаях речь идёт о нарушении закона Computer Misuse Act. Суд принял обвинительный приговор в январе.
Как сообщает полиция, в результате деструктивной деятельности сотрудника его бывший работодатель потерял крупные контракты с транспортными компаниями. Общий ущерб оценивается примерно в ?500 000 (около $700 000 по курсу на тот момент). Сообщается, что фирма так и не смогла вернуть удалённые данные.
На поиски преступника ушли месяцы. Наконец, Нидхэма вычислили и задержали в марте 2017 года, когда он уже работал девопсом в одной из компаний в Манчестере.
В ходе судебного разбирательства эксперты по вопросам безопасности согласились с тем, что компания Voova могла предпринять лучшие меры в области безопасности. Например, реализовать двухфакторную аутентификацию (2FA), что значительно затруднило бы Нидхэму вход в аккаунт на AWS.
Комментарии (61)
Caracat
24.03.2019 11:46Если оставить в стороне этичность и смысл поступка… Но так лажануться оставив следы...
qnok
24.03.2019 11:53Вычислили через несколько месяцев…
Из-за данной «ошибки» фирма потеряла кучу денег (хотя тут неясно — они потеряли потенциальных клиентов или уже текущих)…
Он сам причастности не признавал…
Так что может быть и не он это делал или оказался удобным козлом отпущения.
elve
24.03.2019 11:51Обстоятельства конфликта непонятны. А так любой сотрудник может очень сильно навредить компании, если поставит себе такую цель.
nile1
24.03.2019 12:12авторизовался в системе Amazon Web Services (AWS) и удалил 23 инстанса бывшего работодателя
… инстанса чего? У AWS куча сервисов. В заголовке вообще «23 удалённых инстанса AWS».
По оригинальной ссылке AWS не упоминается, зато говорится об удалении серверов с данными:
a former employer and deleted 23 servers of data, which related to clients of the company… The company was never able to retrieve the deleted data.
Тоже без конкретики, но видимо речь об RDS, DynamoDB или собственных серверах с постоянным хранилищем.
Elmot
24.03.2019 13:40+2А это важно? Ясно только одно, он не пул микросервисов снес, а нечто с данными.
Framework
24.03.2019 12:14А ведь у некоторых нет ни ролей, ни разделения прав доступа и все заходят на сервер под одной учёткой с рутовым доступом с паролем записанным на листок бумаги и пароль этот никогда не меняется.
Сюжет из ночного кошмара безопасников.
nile1
24.03.2019 12:17Например, реализовать двухфакторную аутентификацию (2FA), что значительно затруднило бы для Нидхэму вход в аккаунт на AWS.
Если логин пользователя не удалили из системы после увольнения, то и 2FA бы не отозвали.
Главное это выделить бэкапы в отдельный аккаунт AWS, и изолировать доступ к нему (в идеале одни люди не должны одновременно иметь доступ к оригиналу и бэкапу). Это защитит и от ошибки, и от злоумышленников.DracoL1ch
24.03.2019 12:20+1воспользовался учётными данными своего коллеги
nile1
24.03.2019 12:36Похоже он вообще работал на подрядчика, а не непосредственно на Voova.
«One of their customers is Valtech, and the defendant was employed by Valtech in Manchester and was dismissed… at the time of the attack,» Moss said.
In January the court heard how Needham's May 2016 rampage hinged on his having acquired the login credentials of fellow Voova worker Andy «Speedy» Gonzalez and set about shutting down the firm's Amazon Web Services instances
www.theregister.co.uk/2019/03/20/steffan_needham_aws_rampage_prison_sentence_voova
Airee
25.03.2019 08:03Или иметь DR-аккаунт. Ну и хотя бы разобраться в IAM политиках, благо там настраивается каждый чих.
MFA можно обойти, если есть доступ на инстанс ЕС2 с подходящей IAM ролью — тогда никакие креды не нужны, aws cli с треском, но может работать через STS. Но вероятность такого варианта крайне мала.
1c80
24.03.2019 14:24-5да, как-то странно, если его кинули, то понятно, что он там им все удалил, любой бы так же поступил, но вот так глупо попасться, это вызывает вопросы о его квалификации и вообще был ли мальчик, может сами там накосячили, а не пацана свалили, пишут, данные не смогли вернуть, бэкапов что ли не было, как назло, я не верю в общем.
olezh
24.03.2019 15:09+5А что, в Англии можно легко кинуть сотрудника на деньги?
Меня неприятно удивляет, что альтернативно одаренные проповедники с ютуба советуют заранее готовить возможность подложить свинью своему работодателю и это мнение не вызывает отторжения у людей.1c80
24.03.2019 18:33-8А почему же оно должно вызывать отторжение? Это нормальная практика, если работодатель вызывает подозрения в своей чистоплотности и потому если он решится кинуть, то надо что бы на всю жизнь это запомнил и другим еще рассказал.
Kocmohabt314
25.03.2019 09:25+1Например, потому что можно решить вопрос через суд. Если компания нарушила трудовое законодательство, то кроме компенсации уволенному работнику будет еще и немаленький штраф. А так он поставил крест на своей дальнейшей карьере и еще неизвестно заставят ли его после отсидки оплачивать нанесенный фирме ущерб.
1c80
25.03.2019 16:44да, я не про этого конкретно чувака, там вообще дело темное, возможно он просто обычный псих. а суд дело затратное и вести дела так что бы потом судиться пришлось, не стоит, работа на этапы бьется, которые не сильно напряжны для кармана и в случае каких то проблем, обычно проще привести свою работу в непригодный для дальнейшего использования вид, через закладку, чем терять время на суды, хотя конечно если по приколу можно и судиться
и даже выиграть, процесс, что ни в коем случае не гарантирует возврат денег.
Я смотрю много минусов, интересно платить не любят люди или что то ещё?
Kanut
25.03.2019 17:14+3Просто если вы считаете нормальной практикой просто взять и кинуть нечистоплотного с вашей точки зрения работодателя, то тогда работодатели могут например начать считать нормальной практикой нанять братков, чтобы они переломали ноги нечистоплотному с их точки зрения работнику. Или изнасиловали его жену. Или похитили его детей. Или…
Ну чтобы работник на всю жизнь запомнил и другим еще рассказал.
1c80
25.03.2019 18:20Да пускай себе пробует, разве кто против? Нам доступны такие же опции, если даже не больше.Тут личный выбор каждого, молчать или разбираться до конца, разве не так?
Kanut79
25.03.2019 18:25+2Я например против.
И лично мне опция "нанять братков" недоступна по двум причинам:
- У меня нет знакомых братков.
- Я в принципе не считаю ломание ног, изнасилования и похищение нормальным поведением.
1c80
25.03.2019 18:32Любой вопрос можно решить, при наличии сильного желания, его решить. и конечно, для цивилизованного общества, такое поведение нормальным не считается, но к сожалению в жизни бывает всякое, будем верить, что такой экстрим будет обходить нас всех стороной. Война весьма накладное и сложное занятие и конечно оно не для всех.
А вообще-то разговор шёл, об изъятии неоплаченной работы, а если заказчик настолько без башни, что готов рисковать многим, ради такой малости, то он попросту социально опасен и слёт его крыши слабо прогнозируем в любом случае.Kanut79
25.03.2019 19:43Я даже больше скажу: при желании любой вопрос можно решить легальными и адекватными методами. Вне зависимости от того насколько адекватен или неадекватен заказчик.
П. С. Естественно если мыговорим о цивилизованных странах.
1c80
25.03.2019 20:14П. С. Естественно если мы говорим о цивилизованных странах.
а это важный контекст, вообще не разу там с проблемами не сталкивался, всегда было всё культурно и вежливо, а по этой статье вообще нельзя никаких выводов сделать.
Я наших клоунов имел ввиду, когда писал сообщения.
Accounter
25.03.2019 22:46+1За границей очень дорого судиться в случае проигрыша. Если человек подал в суд на крупную компанию, которая наняла крутых дорогих юристов, и проиграл — то суд присудит полную компенсацию расходов на юристов. Т.е. в случае проигрыша в суде простой человек — банкрот. В России же суды присуждают копеечные компенсации судебных расходов в «разумных пределах». Российский суд не волнует дороговизна и крутость адвокатов выигрывавшей стороны.
Stas911
26.03.2019 04:42Это только в сложных случаях, когда неочевидно, кто кому что должен. А если у человека есть контракт на руках и ему банально не оплатили накопленный отпуск или последний месяц — то скорее всего и никакого суда не будет. Работодателю просто позвонят из Министерства Труда и поинтересуются — вот у нас на вас жалоба лежит, не хотите ли оплатить несколько тысяч сотруднику по-хорошему или предпочитаете, чтобы мы открыли кейс и выслали инспекторов с паяльными лампами? А часто и это не требуется — мне однажды все выплатили просто после формального письма владельцу конторы (бухгалтер там был гордый — пока не пнули, не хотел лететь) с описанием по пунктам, чего недоплатили и в какой срок согласно контракту.
Stas911
25.03.2019 00:02Тоже не понял — у кинутого сотрудника в развитой стране, обычно, есть большое количество законных мер восстановить справедливость (а заодно нанести фирме многократно превышающий урон в виде штрафов и негативного пиара), не прибегая к уголовке.
Stepan555
24.03.2019 15:23+3Навредить на несколько лямов баксов в каких-то обстоятельствах может даже уборщица. Например, продать конкурентам ценные документы из мусорного ведра, или залить водой оборудование, если нет продуманного бэкапирования. Или воткнуть жучок в кабинете гендира. Или придти с карабином и перестрелять всех.
Короче, ломать всегда проще, чем строить.
Stas911
24.03.2019 21:39+1Это большая проблема, кстати: довольно низкий порог входа на AWS, потом тяп-ляп и в продакшин. Многие конторы потом оглядываются назад, офигевают от кривизны настройки и заказывают нормальную установку AWS Landing Zone с настройкой организации, ролей, разных аккаунтов и прочего. Это не так дорого, если подумать о возможных последствиях компрометации или утери данных для бизнеса.
EGregor_IV
25.03.2019 08:55-1Если работодатель не соблюдает ранее установленные договорённости, то сотрудник также имеет право их не соблюдать.
Была история в конце 90-х. Попросили оборудовать один цех одного большого завода по очистке и откачке промстоков АСУ ТП. Договорились на одну цену. Систему сделали быстро запустили, но заказчик закозлил и заплатил только половину. Тогда в системе чуть-чуть изменили логику работы и в один прекрасный момент при определённых условиях сгорели все насосы. А у заказчика осталась только черновая документация, которая к реальной системе никакого отношения не имела. В итоге всё похерилось. Ибо нефиг кидать разработчиков.Kanut
25.03.2019 11:03+3Если работодатель не соблюдает ранее установленные договорённости, то сотрудник также имеет право их не соблюдать.
Нет, нет и ещё раз нет. Если работодатель не соблюдает договорённости, то для этого есть суды.
P.S. Естественно если мы говорим о цивилизовaнныннх странах, к котоpым лично я Англию всё ещё отношу.
Berkof
25.03.2019 09:10Так а есть какие-то данные, что сотрудника уволили некорректно или ещё как обидели, или он просто некомпетентный и неуравновешенный типчик, который так обиду выплеснул? Я вот статью прочитал и не понял кто виноват то?
Stas911
26.03.2019 04:47Я хз что там в Англии, но по другую сторону Атлантики уволить сотрудника проще пареной репы и делается одним днем в полном соответствии с законом.
evgwed
25.03.2019 09:14+1Теперь этого девопса явно не возьмут ни в одну IT-компанию. Так что он не только навредил работодателю, он на своей карьере крест поставил. Видимо, ему сильно насолили…
Magnus
25.03.2019 10:00Интересно каким образом доказали его причастность? Знал учетные данные коллеги и этого оказалось достаточно? Больше похоже что нашли козла и повесили на него чью-то некомпетентность.
Kanut
25.03.2019 11:35Как-то вот так'Experts agree that the user login accessed AWS Voova and the user login Speedy terminated servers. What they disagree on is whether the evidence shows it was the defendant — there are three key areas of dispute between experts.
'One, whether the termination of the servers was deliberate… two, whether the same person carried out the action described on May 17 to 18 2016… and three, IP address 252. The prosecution say there is evidence this defendant was using this ID address.
'The full IP address is registered to a company called Metronet. One of their customers is Valtech, and the defendant was employed by Valtech in Manchester and was dismissed… at the time of the attack.glowingsword
25.03.2019 22:21Очень странный тип. Хороший специалист не станет гадить даже на бывшем месте работы, не стоит так делать там, где работаешь или работал, и не факт что не будешь работать когда-то в будущем. Лояльность приносит доверие и укрепляет репутацию. А репутация для админа, сетевика и DevOP'са значит много…
Что касается IP, то IP он как школьник какой-то попался… Пара-тройка грошовых прокси и столько же копеечных VPS-ок, для поднятия дополнительных своих прокси, и уничтоженных сразу после атаки — и не было бы проблемы. А на VPS-ках можно юзать root-раздел в tmpfs, что-бы быстро и гарантированно можно было за секунду удалить все что было использовано для атаки, и что-бы следы этого не осели где-то на дисках хостноды VPS-провайдера. Главное не лохануться при заказе VPS-ок и прокси. Но и тут публичные Tor/Proxy, да даже банальные фейковые маки при использовании общественного или чужого WiFi и использование криптовалюты многое могут запутать. Если уж настолько глуп, что-бы делать гадости, то нужно быть хотя-бы достаточно умным, что-бы за них не отхватить…
rPman
Очень мало кто из управляющего звена, да и сами DevOps сами, осознают простую истину — it-отдел в организации в большинстве своем имеет наивысшие права к работе организации, ну может еще только что бухгалтерия и юристы, а уж навредить и подавно могут.
Админы и программисты — царь и бог в вашей организации, помните об этом.
К сожалению качественное решение лежит примерно там же, где находится эта опасность, т.е. защитить организацию от злонамеренного 'компьютерщика' может только другой 'компьютерщик'. Разделение полномочий, децентрализация… все это хорошо но сильно замедляет и усложняет работу, а сильная забюрократизированность даже отпугивает специалистов… не каждому хочется неделями ждать решение о выдачи пропуска в туалет, при смене офиса ;)
tvr
А кто защитит организацию от «другого компьютерщика», буде он тоже переобуется на ходу по какой-нибудь причине? «Quis custodiet ipsos custodes?» (сколько лет этому выражению?) применительно к «компьютерщикам».
Имхо, проблема не решается таким образом.
rPman
В этом и заключается проблема.
при принятии решений и не злить лихо. Просто некоторые считают айтишников этакими уборщиками, бегает мальчик на побегушках, ведет себя наивно и не солидно, значит мелкая сошка, а то что у него в руках фактически сердце жизни компании, даже не задумываются.Решение — в децентрализации и размазывания полномочий, введение усложнений и бюрократических заграждений. Не должно быть незаменимых людей, на любого человека в любой момент времени в компании должна быть возможна замена, это как минимум защитит компанию от его болезни или внезапных отпусков.
Ну и самое главное, обычно, на практике, работники не желают зла компании, а значит если компания собирается сделать что то нехорошее работнику, за что этот работник изменит к ней отношение (а осознает управляющий персонал это заранее), то прежде чем сделать это, необходимо 'подложить соломку' и проверить, не создаст ли это проблем.
Ну и конечно же, помнить о главном правиле:
kunix
Каждый человек хочет стать сверхценным, незаменимым, уникальным.
А бизнесу нужны люди-утилиты, эффективные, послушные, и желательно дешевые.
При этом сам владелец бизнеса конечно же хочет быть незаменимым в своей сфере.
Кто тут прав? Тут нет правды, только вечный конфликт :)
rjhdby
Tangeman
Я знаю несколько компаний с такой политикой, когда для такой банальной вещи как сделать изменение на сайте в виде коррекции синтаксической ошибки в тексте футера (один символ) требуется две недели — на создание задачи, согласования и отлов людей которые должны всё это обсудить, проверить, разрешить и сделать, причём как заявка так и разрешение должны быть в бумажном виде (печать из трекера), с живыми подписями, со скриншотами «до» и «после». Если же речь идёт про то чтобы разрешить банальный icmp echo для мониторинга, то время увеличивается до 4 недель, так как к делу подключают службу безопасности (которая всячески сопротивляется, грозя потенциальными уязвимостями).
Но всё это, увы, не спасёт от обиженного сотрудника который имеет непосредственный доступ к системе — если только за ним не наблюдать постоянно.
rPman
В вашем случае виноват не подход а его реализация.
Если делать все правильно, от начала и до конца на бюрократию уйдут минуты.
Главная проблема, участники процесса сами затягивают, потому что выжидают отведенный им лимит времени (вспомните как госчиновники на местах выдерживают положенные 29 из 30 суток и в последний день начинают собственно работу по вашему делу), причины разные но все они от неправильной организации процесса, потому что всем участникам почему то вдруг не очень выгодно делать все максимально оперативно.
Solann
Но получается, что на одного незаменимого нужно 2, а лучше 3 подменяющих его человека. Причём, им придётся осваивать не только свой отрезок работы, но 2-3 других, чтобы подменять выбывших. Не дороговато-ли будет?
uvelichitel
Кажется мишенями социального хакинга в большинстве случаев являются не бухгалтеры, юристы или админы а напротив персонал нижнего звена. Специалисты высокой квалификации с высокими уровнями допуска слишком дорожат своей репутацией и будущей карьерой и их преданность компании хорошо оплачивается.
Stepan555
Айтишники, как впрочем и все остальные, очень любят размышлять о своей значимости. Это тешит самолюбие, но это не так. Любой сотрудник от уборщицы, сторожа, повара также делится с коллегами своими соображениями о собственной важности и так же имеет достаточно способов нагадить.
Max2UP
Ну все же у айтишников это подтверждается доступами к реальным данным. И возможностью влиять на эти данные. Плюс, чаще всего it люди имеют стек знаний выходящих за пределы свой работы.
Но многие руководители оперируют мыслями похожими на ваши и особо не напрягаются.
Могу привести пример пример из опыта работы моего коллеги — он долгое время проработал на очень крупную компанию. Занимался поддержкой ERP систем. Был в курсе всей финансовой информации(причем не только своего офиса, но и в принципе данных по всему миру. Можно было на акциях играть, имея всю финансовую информацию в реальном времени), имел практически все ключи и знал все привычки и процессы локального отдела финансов(включая знания, в какой тумбочки те прячут токены безопастности генерирующие дополнительные пароли).
В случае каких-либо инцидентов с финансами, безопасники собрали подписи о неразглашении с самых мелких сошек в финансовом отделе, но с человека, который собственно помогал эти инциденты разбирать(и находил), ничего не просили.
Плюс люди просто не понимали даже «стоимость» такого человека. Люди думали — «Да это же просто it-шник». А в реальности, по зарплате — в финансовом отделе больше получал только главбух…
А рассказ он мне об этом, найдя на одном из своих старых зашифрованных дисков полный дамп баз данных с предыдущего места работы, подготовленный для аудита Ernst & Young и много другой информации(диск конечно был потерт после этого, вместе и с инфой).
Kanut
А у менеджера наверняка есть знакомства среди конкурентов и знания, какую информацию им нужно передать чтобы нанести максумальный урон. У уборищицы есть доступ к большинству помещений и возможность вылить ведро с водой на любой сервер или распределительный щиток. У повара есть доступ к испорченным продуктам и возможность отправить 90% работников на больничный. И т.д. и т.п.
То есть на мой взгляд количество «пользы», которую человек приносит фирме, горздо теснее коррелирует с его должностью и зарплатой, чем количество «вреда», который он может нанести :)
Max2UP
разница в прозрачности, контроле и личной выгоде. И всего, что вы тут перечислили, только случай с менеджером является явной корпоративной угрозой и поэтому менеджеры и контролируются по другому. Тут и соглашения о неразглашении и доступ к ограниченной информации.
Все остальное — это просто вредительство. В этом нет смысла и это остановит 99.9999% персонала от таких действий. А от психов никто не защищен. С таким же успехом к вам в офис завалиться уволенный сотрудник с AK-47 и отомстит всему офису.
Вопрос в возможном контроле. Психованная ли у вас уборщица или нет — сложно сказать. А вот то, что у вас IT имеет доступ ко всему — прозрачно и поддается контролю.
p.s. вот у меня из опыта был пример, когда человек находящийся на достаточно низкой позиции, но имел доступ ко многому и при этом его игнорировали как угрозу исключительно из-за его позиции. Как результат — он увел у компании около 4 миллионов. Вполне таких полноценных 4 миллиона зеленого цвета (его зарплата лет так за 200). Причем если бы у него было чуть больше доступов или знаний (как у IT), тогда бы это ему вообще сошло с рук. Максимум что бы смогли сделать — уволить. А так, он получил 4 года, и вышел по досрочному через 2 )))) Деньги найти не смогли, полную сумму так же не смогли доказать, поэтому на него там повесили копейки ущерба.
Kanut
Хм, а где и как вы проводите границу между «корпоративной угрозой» и «обыкновенным вредительством».
И описываемый в статье случай по вашему к какой категории относится?
Max2UP
то, что в статье это вообще не поддается объяснению. Это вредительство. Которое можно было просто предотвратить просто введя доп. уровень контроля в виде генерируемых ключей. И еще вопрос — как он получил данные коллеги.
Stepan555
Задним умом все умные. Прекрасно себе представляю молодую ИТ-компанию на 100-150 человек, где бизнес-процессы не отлажены, болезни роста, всё сложилось стихийно, все друг другу доверяют, админ Вася на всём хозяйстве и всё делает по просьбе «Вась» и вообще традиционное «здоровое» айтишное раздолбайство. Все очень креативные и очень не любят дисциплину и регламенты. Эджайл, смузи, кресла-мешки и всё такое :-)
Max2UP
на 100-150 человек??? И без нормальных бизнес-процессов(и это даже не бизнес процессы, это best practice)? Такие долго не живут.
То что вы описали, можно еще простить в команде до 10-15 человек. Дальше начнутся проблемы.
denisshabr
Хотелось бы услышать чуть побольше информацию. Как увёл 4 миллиона? Кем он там был?
JordanoBruno
Мне кажется, пора внедрять на ответственные операции двойное-тройное подтверждение, когда требуется действие от 2 или 3 человек соответственно. Плюс безусловные бакапы, которые нельзя удалить.