Утечка информации является серьезной опасностью для многих предприятий. В корпоративном сегменте утечки происходят по трем причинам:
- С целью получения прибыли
- Месть сотрудника
- По неосторожности или безалаберности IT службы
С началом пандемии и переводом сотрудников на удаленную работу количество утечек выросло на 70%. В июле этого года Россия вышла в мировые лидеры по количеству умышленных утечек информации по итогам 2020 года. Доля таких утечек составила 79,7%, превзойдя общемировой показатель в 76,8% (данные приводят в ИБ-компании InfoWatch).
Ниже мы рассмотрим три случая утечек, как они расследовались и какие были приняты меры по их предотвращению в будущем.
Кейс 1: Компания по разработке ПО
В компании с конфликтом был уволен сотрудник. Иван Р. решил отомстить за свое увольнение и передать коммерческую тайну конкурентам, продать новые разработки.
Сервер с прошивками, а также разработчики и тестировщики находятся в закрытой сети под контролем SIEM системы (SIEM — объединение двух терминов, обозначающих область применения ПО: SIM — управление информацией о безопасности, и SEM — управление событиями безопасности). Из этой сети был доступ только к ПК, находящемуся в переговорной.
Иван, зная о SIEM системе, поступил следующим образом: создал многотомный архив со всей необходимой информацией, изменил расширение на pdf и отправил его в общую папку с этим ПК.
После, попав в переговорную под предлогом подготовки к совещанию, открыл свою корпоративную почту и с помощью черновиков сообщений сохранил архивы у себя в почте. Затем, зайдя в корпоративную почту со своего ПК из открытой сети, выкачал архивы на флеш карту.
Факт обращения к каталогу был зарегистрирован SIEM системой, но на него никто не обратил внимания.
При расследовании данного инцидента, после восстановления информации на сервере, были найдены части многотомного архива. Восстанавливая информацию на ПК в переговорной, сотрудники также нашли файлы профиля почтового клиента, где находились следы черновиков сообщений с искомыми архивами. При предъявлении Ивану имеющихся доказательств, он признался в содеянном и пояснил, что материалы продать еще не успел.
Что было сделано: проведено компьютерно-криминалистическое исследование данных с компьютера сотрудников, собраны цифровые доказательства причастности к утечке конкретного человека, разработаны рекомендации по повышению уровня зрелости ИБ, подготовлено заключение специалиста.
После данного инцидента было принято решение о внедрении DLP, переработаны правила для SIEM системы и регулярное повышение квалификации IT отдела.
Кейс 2: Кража средств со счетов компании
Компании ООО «Осень» предоставляет консалтинговые услуги.
Один из сотрудников, назовем его Сергей И., обзавелся финансовыми трудностями, связанными с игровой зависимостью. И после ссоры с руководителем, решил совершить кражу средств компании.
Вступив в сговор с неустановленным лицом на теневом форуме, Сергей разработал план кражи. От своего нового знакомого он получил вредоносное ПО для удаленного администрирования и, использовав шаблон письма с корпоративным стилем, отправил его на почту главному бухгалтеру. Главбух, получив типовое корпоративное письмо с незнакомого адреса, ничего не заподозрила, скачала и открыла вложение.
Получив удаленный доступ к компьютеру, Сергей завладел и банк-клиентом. Уличив момент, когда главбух уйдет с работы раньше времени, он подключился к ее компьютеру и отправил на полученные от сообщника счета все средства по типовым платежным поручениям. А чтобы скрыть преступление, запустил программу для форматирования дисков.
Кража была обнаружена на следующий день, в ходе расследования удалось восстановить данные и получить картину произошедшего.
На компьютере главного бухгалтера был найден docx файл с реквизитами, на которые совершался перевод. В метаданных этого файла обнаружился автор последних изменений, а при дальнейшем расследовании были получены и другие факты причастности Сергея к произошедшему. По итогу было возбуждено уголовное дело, но к сожалению, средства вернуть не удалось.
Причины инцидента — совокупность факторов: USB-токен от банк-клиента был вставлен постоянно, на компьютерах использовалось нелицензионное и устаревшее ПО (ОС, антивирус и др.), низкий уровень зрелости ИБ, низкая осведомленность персонала по вопросам ИБ (хранение паролей в открытом виде, на стикерах, в текстовых файлах на рабочем столе и т.д.).
Кейс 3: Увольнение
Компания ООО «Зима» занимается розничной торговлей. Денис Н. занимает должность мерчендайзера, работает в компании более 5-ти лет.
Из конкурирующей фирмы Денису поступает более выгодное предложение о работе, которое он принял. Во время отработки положенных перед увольнением дней, Денис решает скачать данные о клиентах и отправляет файл себе на почту. Об этом инциденте начальнику отдела безопасности сообщила DLP-система.
После внутреннего расследования, был приглашен сторонний цифровой криминалист для документирования данного инцидента. Криминалист при исследовании данных с компьютера построил таймлайн всего рабочего дня и действий сотрудника, собрал цифровые доказательства утечки информации и подготовил заключение.
Результат: сотрудник был уволен по отрицательной статье.
В послесловие хочу добавить, что создание системы защиты информации от утечки должно осуществляться на профессиональном уровне, с использованием современных технических средств. Для этого необходимо иметь представление о каналах утечки и способах контроля этих каналов, а также о требованиях, предъявляемых к современным системам безопасности. И экономить на защите не стоит.
Автор: Владислав Воложенко
