В Twitter обнаружились «кроты», которые были завербованы спецслужбами Саудовской Аравии. Мировые ИБ-эксперты говорят об уроках этой истории. Предлагаем вам статью издания databreachtoday.com в переводе с сокращением, а также вывод эксперта «СёрчИнформ».
Министерство юстиции США предъявило обвинения трем инсайдерам из Twitter, которые передали персональную информацию о нескольких пользователях соцсети правительству Саудовской Аравии, против них заведено уголовное дело. Саудовские агенты собирали персональные данные известных саудовских оппозиционеров и тысяч других пользователей, используя привилегированный доступ к системе Twitter, заявил прокурор США Дэвид Л. Андерсон.
По данным ФБР, саудовцы заплатили 100 тыс. долларов одному из трех подозреваемых – бывшему сотруднику Twitter Ахмаду Абуаммо, а также подарили ему часы, которые впоследствии были оценены в 20 тыс. долларов. ФБР арестовало Абуаммо на прошлой неделе в Сиэтле.
Какие выводы можно сделать из этого дела? Вот срез мнений экспертов по безопасности со всего мира.
В использовании «крота» для сбора информации нет ничего нового. Внедрение агентов иностранных спецслужб – это одна из самых серьезных проблем безопасности для крупных технологических компаний, пишет в Twitter Микко Хайппонен, главный научный сотрудник финской охранной фирмы F-Secure.
Спецслужбы давно сталкиваются с подобными проблемами. История знает множество примеров, когда двойные агенты оказывались очень успешны. Участники «Кембриджской пятерки» в 1930-х годы были завербованы КГБ для работы против британского правительства. С 1979 по 2001 годы Роберт Ханссен, агент ФБР, специализирующийся на работе с компьютерами, шпионил в пользу военной разведки ГРУ. Он считается самым опасным шпионом в истории ФБР. Его действия привели к раскрытию по меньшей мере 50 разведчиков или потенциальных новобранцев. Другой офицер ЦРУ Олдрич Эймс с 1985 по 1994 год работал двойным агентом КГБ СССР и России.
Для охоты на двойных агентов используют контрразведывательные группы, укомплектованные т.н. специалистами по человеческому мышлению (HUMINT). Эти меры пришли на смену «сигнальной разведке» (SIGINT), т.е. прослушке радиочастот и переговоров.
Для организаций или частных лиц, которые хотят получить доступ к информации, хранящейся в крупных технологических компаниях, подкупить инсайдеров гораздо дешевле, надежнее и безопаснее, чем пытаться взломать корпоративные системы удаленно, говорит эксперт по операционной безопасности, известный как Grugq.
Но, конечно, дело не только в шпионаже. Злоумышленники могут украсть данные или интеллектуальную собственность, чтобы перепродать на подпольных форумах в даркнете. Например, канадский кредитный союз Desjardins Group обвинил бывшего сотрудника в краже информации о 4,2 млн клиентов, включая их номера социального страхования, и продаже этой информации покупателям в даркнете. Стоимость каждой учетной записи жертвы достигает 150 долларов. Полиция пока продолжает расследование.
Технологическим компаниям нужно брать пример с разведслужб в деле выстраивания политики безопасности и выявления неправомерных действий сотрудников, говорит Алекс Стамос, бывший начальник службы безопасности Facebook, а ныне директор лаборатории изучения интернета Стэнфордского университета.
Причем нужно учитывать не только вероятность подкупа (как в случае с сотрудником Twitter), но и шантажа:
«У многих сотрудников за рубежом остались семьи, которым могут угрожать и представители власти, и преступные синдикаты», – поясняет Стамос.
Патриотизм и призывы к национализму – тоже могут быть движущей силой шантажа. В том же деле Twitter двое подозреваемых – граждане Саудовской Аравии, и они остаются на свободе. Один из них бежал из США на родину, где устроился на работу в общественную организацию и занимается мониторингом соцсетей.
Иногда мошенники-инсайдеры не совершают кражи данных, а используют информацию из любопытства. В декабре 2016 года бывший эксперт-криминалист Uber рассказал, что сотрудники компании регулярно пользуются «режимом Бога» для просмотра поездок высокопоставленных политиков, знаменитостей и даже знакомых своих коллег, включая бывших парней/девушек, супругов.
Ранее издание Vice сообщило, что сотрудники Snapchat шпионили за пользователями и просматривали их сохраненные снимки. А в прошлом году журналисты издания писали, что несколько работников Facebook были уволены за злоупотребление доступом к пользовательским данным. Были подозрения, что некоторые из уволенных сотрудников преследовали своих бывших.
«У нас есть строгие правила технического ограничения, которые предполагают, что сотрудники имеют доступ только к тем данным, которые им необходимы для выполнения своей работы. Работников, злоупотребляющих контролем, уволят», – говорил Стамос, занимавший должность глава службы ИБ в Facebook в то время.
По мнению экспертов по безопасности, один из лучших способов предотвращения нарушений безопасности из-за инсайдерской утечки – создание благоприятных условий для сотрудников. Руководители, которые хотят, чтобы их сотрудники вели себя «хорошо», должны вести себя хорошо сами. Это включает недопущение дискриминации и максимальное вовлечение.
На наш взгляд, последний вывод в этой статье недостаточен для обеспечения безопасности данных в компании. Он точно не является лучшим способом и не должен стоять на первой строчке в списке мер, которые необходимо применить для защиты данных. Конечно, необходимо создавать благоприятную обстановку в компании, вовлекать и награждать сотрудников, проводить командообразующие мероприятия. Но этого мало.
В любой, даже самой благоприятной компании найдутся те, кто будет чем-то недоволен, захочет получать больше денег или затаит обиду на руководство по другим причинам. Кроме того, нарушения безопасности могут произойти по нелепой случайности или необразованности сотрудника. Данные от рук инсайдера нужно защищать в том числе техническими методами.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
