Саботажник хуже хакера. Как уволенный «топ» чуть не похоронил бизнес

Индустрия ИБ учит остерегаться атак извне. В большинстве кейсов источником бедствия становится непременно «внешний» персонаж. Злой хакер, враждебный к компании, приходит и действует максимально разрушительно: крадет деньги, похищает данные, сеет хаос в производственных и логистических процессах. Но ИБ-практика знает достаточно случаев, когда источником опасности был инсайдер. Хуже того – когда им оказывался один из главных людей в компании, которому по умолчанию доверяли другие «топы» и акционеры.

Эта история произошла с крупным поставщиком медицинских средств индивидуальной защиты. В составе правящей верхушки выделялся вице-президент по финансам. Он прекрасно знал свое дело, умело вел отчетность и грамотно управлял финансовыми потоками, обеспечивая компании одобряемый акционерами рост.

Да вот беда: личностные качества руководителя оставляли желать лучшего. Своими поступками и высказываниями в адрес коллег он настроил против себя практически весь коллектив. Не останавливали даже дисциплинарные взыскания, которых главному финансисту всего за пару лет «впаяли» несколько штук. И после очередной выходки вице-президенту указали на дверь.

«Топ» сделал вид, что стоически воспринял «увольнение по статье». После того, как процедура расставания с компанией завершилась, и менеджер получил окончательный расчет, бывший вице-президент решил, что пришло время для удара возмездия. Он вернулся в систему под чужим именем, отредактировал примерно 115 тыс. записей и удалил около 2,3 тыс. записей в системе доставки средств индивидуальной защиты. После того, как дело было сделано, он вышел из системы.

Атака нарушила логистику поставок медикаментов и критически важных средств защиты в разгар пандемии COVID-19. Задержки отправки товара клиентам составляли от 24 до 72 часов. За часами промедления – репутационные потери и риск для жизни реальных людей.

Компания бросилась расследовать инцидент. Больше всего вопросов вызывала учетная запись, под которой действовал бывший вице-президент по финансам. Откуда она вообще появилась? Выяснилось, что наряду с другими задачами «топ» курировал внедрение ERP-системы. Оно благополучно закончилось за год-полтора до инцидента. Именно тогда финансист получил тестовый доступ с суперправами, который «переехал» из теста в продакшен и не был удален. То есть, отключив официальную учетную запись, системные администраторы забыли (или вовсе могли не знать) про тестовый аккаунт. И через него мстительный «экс» нанес свой удар.

Для расследователей сопоставить факты было вопросом техники. Разрушителя быстро вычислили, арестовали, и он предстал перед судом. С бывшего инсайдера взыскали потери компании на расследование инцидента и затраты на восстановление (они превысили совокупный размер его зарплаты за год) и отправили за решетку.

Работа над ошибками указала на очевидные слабости корпоративной культуры, которые в конечном счете стали проблемой с точки зрения обеспечения ИБ.

Во-первых, отсутствие четкого разделения обязанностей. Очевидно, что вице-президент по финансам не должен был обладать админскими правами в ERP. Это прямые издержки роста в компаниях с хорошим потенциалом развития: кто первый взялся за задачу, тот и главный. Злополучный вице-президент по финансам воспользовался этим обстоятельством сполна — но не во благо, а во вред.

Во-вторых, допущена классическая ошибка в управлении: один и тот же человек контролировал финансовую отчетность и одновременно имел абсолютный доступ к системам, в которых она формировалась. Налицо конфликт интересов, идеальные условия для злоупотреблений и практически нулевые возможности для беспристрастного аудита.

В-третьих, отсутствовала «здоровая паранойя» в ИТ и службе безопасности. В организациях, где регулярно принято ставить под сомнение надежность корпоративной ИБ, аудит учетных записей с доступом к критическим системам обычно проводится регулярно и делается безотносительно того, произошли инциденты или нет. В рамках рассматриваемого кейса беспечность стоила дорого в буквальном смысле слова.

Впрочем, отдадим должное ИТ- и ИБ-специалистам. Чтобы не допустить подобных инцидентов впредь, они предприняли целый ряд важных шагов:

• Все учётные записи сотрудников автоматически деактивируются в момент оформления увольнения. Реализован централизованный offboarding-процесс с участием HR, IT и службы безопасности;
• Проведена инвентаризация всех систем: неиспользуемые учетные записи удалены. Введен регулярный аудит пользователей с отчетностью и оповещениями при появлении новых привилегированных аккаунтов;
• Внедрены системы поведенческого анализа и корреляции событий, позволяющие отслеживать массовое редактирование или удаление записей, а также другие аномальные действия в ИТ-системах;
• После инцидента проведена полная смена паролей, ключей доступа и токенов API. Дополнительно внедрены решения PAM для управления привилегированными сессиями;
• Ключевые системы регулярно резервируются. Разработан и протестирован план быстрого восстановления после саботажа или инцидентов.

Люди делают погоду в бизнесе. Поэтому логично, что иногда они же становятся причиной настоящего урагана нежелательных событий. Этот кейс демонстрирует: даже самый компетентный сотрудник может стать угрозой из-за личностного изъяна, который никак не влияет на его профессиональную эффективность. Особенно если дать ему слишком много возможностей и не обеспечить должного контроля.

Поэтому повторим тезис, который считаем важным «подсвечивать» регулярно. Чтобы оградить компанию от атак, мало превратить ее в неприступную крепость с помощью средств защиты. Не менее важно создать процессы и культуру, при которой внутренний риск не превратится в катастрофу.