Обеспечение информационной безопасности бизнеса
Шрифт:
Актуальность угроз ИБ от персонала обозначена в современных нормативных документах по ИБ, например в стандарте Банка России СТО БР ИББС — 1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26]:
«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная
«Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает».
С точки зрения действующего законодательства действия внутренних злоумышленников, направленные против законных интересов организации, в зависимости от их конкретного содержания могут квалифицироваться как различные уголовные и административные правонарушения:
— кража (в соответствии со ст. 158 УК РФ);
— мошенничество (в соответствии со ст. 159 УК РФ);
— присвоение или растрата (в соответствии со ст. 160 УК РФ);
— причинение имущественного ущерба путем обмана или злоупотребления доверием (в соответствии со ст. 165 УК РФ);
— незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (в соответствии со ст. 183 УК РФ);
— злоупотребление полномочиями (в соответствии со ст. 201 УК РФ);
— коммерческий подкуп (в соответствии со ст. 204 УК РФ);
— неправомерный доступ к компьютерной информации (в соответствии со ст. 272 УК РФ);
— создание, использование и распространение вредоносных программ для ЭВМ (в соответствии со ст. 273 УК РФ);
— нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (в соответствии со ст. 274 УК РФ);
— разглашение информации с ограниченным доступом (в соответствии со ст. 13.14 АК РФ).
4.1.4. Примеры инцидентов
Общие сведения
В настоящем разделе приводятся описания опубликованных подробностей некоторых нашумевших инцидентов. При этом обобщение инцидентов дает целый букет обстоятельств, характеризующих разнообразие угроз ИБ от персонала как в части мотивов и условий, так и в части используемых средств. Среди наиболее часто происходящих происшествий отметим следующие:
— утечка служебной информации;
— кража клиентов и бизнеса организации;
— саботаж инфраструктуры;
— внутреннее мошенничество;
— фальсификация отчетности;
— торговля на рынках на основе инсайдерской, служебной информации;
— злоупотребление полномочиями.
Аннотация
В отместку за слишком маленькую премию 63-летний Рожер Дуронио (бывший системный администратор компании UBS Paine Webber) установил на серверах компании «логическую бомбу», которая уничтожила
Описание инцидента
Дуронио был недоволен своей зарплатой, составляющей 125 000 долларов в год, возможно, это и послужило причиной внедрения «логической бомбы». Однако последней каплей для системного администратора стала полученная им премия в размере 32 000 долларов вместо ожидаемых 50 000 долларов [38, 39]. Когда он обнаружил, что его премия гораздо меньше, чем он ожидал, Дуронио потребовал от начальства перезаключить трудовой договор на сумму 175 000 долларов в год, или же он покинет компанию. В повышении зарплаты ему было отказано, кроме того, его попросили покинуть здание банка. В отместку за такое обращение Дуронио решил воспользоваться своим «изобретением», внедренным заранее, предвидя такой поворот событий.
Внедрение «логической бомбы» Дуронио осуществил с домашнего компьютера за несколько месяцев до того, как получил слишком маленькую, на его взгляд, премию. «Логическая бомба» была установлена примерно на 1500 компьютеров в сети филиалов по всей стране и настроена на определенное время — 9.30, как раз на начало банковского дня [40].
Уволился Дуронио из UBS Paine Webber 22 февраля 2002 г., а четвертого марта 2002 г. «логическая бомба» последовательно удалила все файлы на главном сервере центральной базы данных и 2000 серверов в 400 филиалах банка, при этом отключив систему резервного копирования.
Адвокат Дуронио в течение судебного процесса указывал на то, что виновником происшедшего мог быть не один только обвиняемый: учитывая незащищенность ИТ-систем UBS Paine Webber, под логином Дуронио туда мог попасть и любой другой сотрудник. О проблемах с ИТ-безопасностью в банке стало известно еще в январе 2002 г.: при проверке установили, что 40 человек из ИТ-службы могли войти в систему и получить права администратора по одному и тому же паролю, и понять, кто именно совершил то или иное действие, не представлялось возможным. Адвокат также выдвигал обвинения в адрес UBS Paine Webber и компании @Stake, нанятой банком для расследования случившегося, в уничтожении доказательств атаки. Однако неоспоримым доказательством вины Дуронио были найденные на его домашних компьютерах отрывки вредоносного кода, а в его шкафу — распечатанная копия кода.
Возможности инсайдера
Как на одного из системных администраторов компании на Дуронио была возложена ответственность за всю компьютерную сеть UBS PaineWebber, и, соответственно, он имел к ней доступ. У него также был доступ к сети со своего домашнего компьютера посредством безопасного интернет-соединения.
Причины
Как уже указывалось ранее, его мотивами были деньги и месть. Дуронио получил годовую зарплату 125 000 долларов и премию 32 000 долларов, в то время как ожидал 50 000 долларов, и таким образом отомстил за свое разочарование.