Кто охраняет охранников
Западная квазиоткрытая культура кибербезопасности, основанная на жестких законодательных ограничениях, тем не менее не очень охотно делится данными о том, кто же был причиной того или иного киберинцидента. Иногда самые интересные данные приходят не из корпораций, а из специальных служб или из здания суда – и нам, вовсе не привыкшим к открытости, остается с любопытством наблюдать за подноготной событий.
К примеру, одна из дошедших новостей – суд над сотрудником подрядчика, обвиненного в удаленном доступе к городской водоочистной станции. Обвинение против калифорнийца Рамблера Галло утверждает, что тот удаленно отключил важные системы и поставил под угрозу безопасность населения. Как инженер-технолог АСУ, Галло установил программное обеспечение (ПО), которое позволило ему получить удаленный доступ к системам водоочистного сооружения. После увольнения в январе 2021-го он подал команду на удаление ПО, которое было основным центром учреждения и защищало всю систему очистки воды, включая давление, фильтрацию и химическую очистку. В связи в этим грех не вспомнить июнь 2021 года и взлом водоочистной станции в Сан-Франциско, когда был использован TeamViewer бывшего сотрудника.
Другая история стала публичной по результатам судебного заседания в Великобритании, посвященного сотруднику, воспользовавшемуся успешной кибератакой. В этой ситуации оказалась компания Oxford BioMedica, которая получила требование выкупа от хакера. Компания проинформировала полицию и начала расследование инцидента своими ИТ-сотрудниками. Среди них был ИБ-аналитик Эшли Лайлс, который получил доступ к почте члена правления и изменил содержание письма о выкупе, указав ссылку на собственный биткойн-кошелек. Далее он отправил серию писем борду, выдавая себя за злоумышленника и требуя выкупа. Следы привели полицию к Лайлсу, который не смог надежно уничтожить все цифровые улики, и недавно в Королевском суде Рединга он признал себя виновным.
Вишенка на торте – свежая новость о программисте Ubiquiti Networks, осужденном на шесть лет за кражу данных, попытку вымогательства и нанесение ущерба репутации компании. В январе 2021-го производитель сетей Ubiquiti обнаружил, что неизвестный получил доступ к данным на его серверах AWS и в репозиториях GitHub. Одним из сотрудников Ubiquiti, которому было поручено расследовать взлом, был Николас Шарп, работающий в департаменте облачных сервисов. Чего не знала компания – того, что именно Шарп, используя свой удаленный доступ, украл данные, удалил логи и потребовал выкуп в размере $2 млн за безопасный возврат данных и за подробности об уязвимости. Сообщения в СМИ о сбоях в системе безопасности в Ubiquiti, как утверждается, стали причиной 20-процентного падения цены акций компании и потери рыночной капитализации на сумму более $4 млрд.
Как защитить себя от подобных инцидентов?
- Всегда учитывайте угрозу инсайдера.
- Жестко контролируйте доступы к любым системам, удаляйте их в момент увольнения сотрудника.
- Не сосредотачивайте все ключи доступа в одних руках.
- Проверяйте личные дела и устраивайте проверки сотрудников ваших подрядчиков так же придирчиво, как если бы это был ваш персонал.
- Внедряйте стандарты кибербезопасности для всей цепочки ваших поставщиков, скрупулезно оценивайте безопасность тех аппаратных и программных устройств подрядчика, которые соприкасаются с вашей инфраструктурой.
- Распространите проведение регулярного теста на проникновение на постоянных подрядчиков.
- Повышайте культуру киберграмотности по всей цепочке поставщиков.
