Бывший сотрудник IT-отдела заложил «бомбу замедленного действия» в корпоративную сеть

Главная — Блог —

17.04.2017

Компания Allegro MicroSystems, производитель полупроводников, обвинила бывшего сотрудника IT-отдела в саботаже. В исковом заявлении указано, что системный администратор, проработавший в компании 14 лет, внедрил в корпоративную базу данных вредоносный код, который сработал в начале финансового года и уничтожил данные. Специалист IT-отдела отвечал за финансовый модуль Oracle. Во время работы он пользовался двумя ноутбуками, принадлежащими компании. После увольнения его обязали вернуть технику. Расследование инцидента показало, что вместо одного корпоративного компьютера сотрудник вернул другое устройство – еще один ноутбук, который также принадлежал Allegro MicroSystems и был выдан ранее для личного пользования. Для атаки был использован рабочий ноутбук с доступом к внутренней сети. В иске объясняется, что только два сотрудника компании обладали навыками работы с базой данных Oracle. Однако второй специалист вернул все устройства, с помощью которых возможно попасть в корпоративную сеть. Предполагается, что спустя две недели после увольнения бывший системный администратор приблизился к штаб-квартире компании, чтобы подключиться к корпоративной сети Wi-Fi. Как привилегированный пользователь он имел доступ к данным учетных записей сотрудников компании, так что воспользовался паролем одного из бывших коллег, чтобы авторизоваться в сети. После он внедрил в финансовый модуль Oracle вредоносный код с «таймером». Программа запустилась 1 апреля. С этой даты в компании начинается новый финансовый год. Скрипт копировал данные в отдельную таблицу, а затем удалял из модуля. Бывший сотрудник зашел в сеть Allegro MicroSystems легально, поэтому инцидент обнаружили только три недели спустя. Приглашенные ИБ-специалисты установили, что вход в корпоративную сеть осуществили с компьютера, которым пользовался уволенный системный администратор. Кроме того, эксперты зафиксировали многочисленные сессии удаленного подключения с рабочего компьютера экс-сотрудника. В компании заявляют, что восстановление базы данных и работы корпоративной сети обошлось в 100 тысяч долларов. Суд рассмотрит обстоятельства дела в сентябре 2017 года. Аналитики компании «СёрчИнформ» обратили внимание, что подобные инциденты возможно предотвратить, внедрив SIEM-систему. Система предупредила бы специалиста по безопасности о том, что одна учетная запись используется на нескольких ноутбуках одновременно и об обращении к критическим ресурсам. Установив с помощью SIEM способ доступа в корпоративную сеть и проследив действия с помощью DLP, специалисты Allegro MicroSystems могли бы «обезвредить бомбу» и восстановить данные самостоятельно.

ВЕРНУТЬСЯ К СПИСКУ СТАТЕЙ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.