Корпоративные угрозы ИТ-саботаж

Большинство специалистов по информационной безопасности с легкостью подтвердят информацию о том, что серьезная угроза может таиться не только за пределами компании. Однако  и внутренние угрозы могут быть различных типов: в последнее время всё большую опасность,  как для мелкого, так и для крупного бизнеса представляют корпоративные саботажники.
ИТ-саботаж: портрет явления.
Изначально – и вполне справедливо – основной внутренней угрозой в компаниях признавались инсайдеры – работники, ворующие конфиденциальные данные либо для того, чтобы продолжить карьеру за пределами компании, либо для того, чтобы продать дорогостоящие разработки конкурентам. Второе место печального «рейтинга» занимают просто некомпетентные сотрудники, которые открывают электронные письма с вирусными вложениями, а также наклеивают на мониторы своих компьютеров бумажки, содержащие их логины/пароли.
Однако мало кем принимается во внимание наличие внутренних злоумышленников совсем другого рода. Те, кто занимается ИТ-саботажем, не крадут конфиденциальную информацию, не оставляют лазеек для хакеров. Они попросту модифицируют либо уничтожают данные, которые важны для работы предприятия, нарушают функционирование компьютерной инфраструктуры, блокируют доступ к отдельным элементам системы. Для того, чтобы полностью осознать мотивацию таких саботажников и предотвратить преступление, необходимо погрузиться в самые глубины человеческой психологии. А точнее – в ту ее часть, которая говорит о скрытом стремлении к лидерству или вытеснению обид и внутренних конфликтов в бессознательное.
Впрочем, нередко причина лежит на поверхности – не замечает её лишь начальство саботажника. В целом же, от саботажа ИТ-инфраструктуры не застрахована ни одна компания. Даже самый пустяковый повод может стать причиной для обиды на коллег или руководство. Что здесь можно сказать про такие события, как объявленное увольнение «через три дня», урезание зарплаты или лишение премии? Прежде уравновешенный и благонадежный сотрудник начинает мстить: уничтожает данные, чрезвычайно важные для компании, рассылает клиентам фирмы непристойные письма с корпоративного ящика, отправляет в лазерный принтер бумагу со скрепками….
Безусловно, однозначно оценить ущерб от подобных действий невозможно: он может варьироваться от нарушенного психологического климата в компании до многомиллионного ущерба в результате разорванных контрактов.
Саботажники по определению.
Прежде,  чем подвергать детальному анализу явление корпоративного саботажа, следует дать ему полноценное определение. Одна из наиболее распространенных формулировок звучит так: корпоративный саботаж – это вредительские действия, совершенные сотрудниками в силу мести, уязвленного самолюбия и других причин эмоционального характера. В роли саботажников могут выступать как бывшие, так и действующие сотрудники предприятия, а также работники-фрилансеры и служащие-контрактники. Обязательным условием является то, что саботажник никогда не преследует собственную финансовую выгоду.
Остановимся подробнее на конкретных примерах: 
Мотивы и технологии корпоративных «диверсантов» могут быть различными, однако, чаще всего в их основе лежит знание компьютерных технологий и возможность доступа ко внутренней сети организации. Характерным примером может послужить случай в одной из российских компаний. Начальство узнало, что один из сотрудников обладает навыками программирования и веб-администрирования. Служебные обязанности ему вскоре изменили и дали задание сделать корпоративный сайт – заказывать аналогичный у субподрядчиков вышло бы значительно дешевле. Сотрудник сделал сайт и наполнил его информацией. Однако спустя несколько месяцев этому служащему объявили выговор за систематические прогулы, а затем начальник отдела кадров сообщил ему о предстоящем увольнении. В тот же день обиженный сотрудник вошел в корпоративную сеть с домашнего компьютера, стер важные для компании данные, а затем заменил картинки и тексты на сайте материалами порнографического содержания. После того, как саботажника задержали милиционеры, он пояснил свои действия тем, что разозлился на работодателя. 
Еще один характерный пример произошел в одной из ведущих оборонных компаний: системный администратор по только ему понятной причине разна начальство. Он посчитал, что старания его недооценены, тогда как под его началом находится все корпоративная сеть. Взявшись за дело, администратор подошел к процессу весьма основательно: сперва он перенес на один сервер все программное обеспечение, которое поддерживало промышленные процессы компании. После этого, обманом забрал у своего сослуживца единственную резервную копию данного программного продукта. На следующий день «несправедливо обиженный» сотрудник вошел в сеть из интернет-кафе и стер все данные на сервере. В результате, компания понесла убытки в размере 10 миллионов долларов, что фактически поставило её на грань банкротства. Были уволены восемьдесят работников. Вину же самого саботажника доказать так и не удалось.
Внутренние диверсии и их последствия.
До недавнего времени было принято думать, что в результате корпоративного саботажа компания несет только репутационные и моральные потери, но уж никак не финансовые. Однако утверждение это справедливо опровергает практика. Так, согласно исследованиям американской службы CERT(служба реагирования на компьютерные инциденты), к финансовым потерям не ведут только 20% актов корпоративного саботажа. А 80% инцидентов, так или иначе, влекут за собой прямые или косвенные убытки.  При этом необходимо учитывать, что руководители пострадавших компаний нечасто признаются о том, что у них произошла корпоративная диверсия: во-первых, это серьезный удар по имиджу. Во-вторых, подобные инциденты обычно связаны с ошибками ТОП-менеджеров самой компании.
Оценить финансовый ущерб от корпоративного саботажа попытались западные эксперты: по их данным, лишь немногим менее половины компаний, ставших жертвой корпоративного саботажа, понесли урон до 20 тысяч долларов. Для крупных компаний, это, на первый взгляд, немного: однако, одна десятая организаций, пострадавших от саботажников, теряет от миллиона долларов. Но все сводится только лишь к финансовым потерям: в некоторых случаях саботажники могут представлять прямую угрозу национальной безопасности: в случаях, если они работают на химических предприятиях, ядерных электростанциях или других потенциально опасных объектах, включая военные. Особым типом ущерба от корпоративного саботажа являются негативные последствия для бывших коллег диверсанта: в 35% случаев от саботажа страдают конкретные, ни в чем не повинные сотрудники….
 Корпоративный саботаж: мотивация.
По результатам исследований, проведенных Секретной службой США, в 98% случаев саботажниками становятся мужчины. Причем, это может быть как женатый человек, так и холостой, как 18-летний парень, так и служащий, уже уходящий на пенсию. В большинстве случаев, какого-либо криминального прошлого диверсанты прежде не имели. Что же касается мотивации, то, по мнению психологов, всё базируется исключительно на эмоциях. Ни один из диверсантов не руководствуется мыслью об обогащении. В большинстве случаев деструктивные для компании действия становятся следствием более ранних событий, которые вывели психику служащего из равновесия. По данным американских специалистов, в 47% процентах случаев предшествует саботажу такое неприятное событие, как увольнение. В 20% случаев причиной становится спор с коллегами, в 13% - отсутствие повышения по службе, ревность, личностно-интимные конфликты, ревность….
То есть, 85% всех внутренних диверсантов рассержены на кого-то, кого они ассоциируют с компанией.  Неудивительно, что в 57% случаев сослуживцы саботажника характеризуют его как необычайно рассерженного человека. Отдельно следует выделить такой объект анализа, как профессия потенциального саботажника. По данным зарубежных исследований, большинство корпоративных диверсантов – это специалисты в области информационных технологий. На долю системных администраторов приходится 40% инцидентов, 21% преступлений совершают программисты, 14% - инженеры. Если коснуться профессий саботажников, не работающих в технических департаментах – то №% из них трудятся в сфере обслуживания, 10% работают редакторами, менеджерами, аудиторами и т.п. Выходит, что основных особенностей саботажника – всего две: это мужчина, который работает в техническом департаменте компании. Также, по мнению экспертов, 62% корпоративных диверсантов продумывают свои действия заранее. В 47% случаев они производят подготовительные действия: крадут резервные копии важных для компании данных, добывают логины/пароли других работников и т.д.
Как обезвредить злоумышленника?
Когда корпоративная диверсия уже произошла, главной задачей руководства становится поиск виновного. Первый помощник в этом деле – журнал системных событий. Безусловно, следует учитывать и тот факт, что злоумышленник постарается изменить свою личность, или другим образом запутать следы. Поскольку в большинстве случаев они значительно подкованы технически, выйти на верный след становится сложнее. Однако, изучение журнала вовсе не является панацеей – саботажник может как модифицировать, так и полностью удалить журнал событий, создать скрытый вход в систему или подделать свой ай-пи адрес.
По мнению российских специалистов, лучшим средством против корпоративного саботажа является его профилактика. Нанимая сотрудников, следует первым делом проверять рекомендации и места их предыдущей работы. Это изначально позволяет отсеивать работников, которые имеют криминальное прошлое. Во-вторых, не следует пренебрегать психологическим тестированием, которое позволит выяснить, насколько новый сотрудник конфликтен, замкнут или обидчив. Еще одним эффективным методом является проведение групповых психологических тренингов, на которых персонал посвящается в суть проблемы саботажа как таковой. Руководство делает ставку на лояльных сотрудников, которые в офисе общаются с возможным саботажником, видят его нервозное поведение и т.п.
Есть и другой подход – сугубо технический. Это применение принципа минимальных привилегий и четкого разделения функций. Говоря проще, полномочий администратора на своем ПК обычный офисный служащий иметь не должен. А отвечающий за резервные копии сотрудник не должен обладать технической возможностью модифицировать или удалить оригинальные данные. Также этот работник должен сообщать начальству обо всех попытках несанкционированного проникновения в сеть. Ну и, наконец, предельно важно организовать эффективное управление паролями и учетными записями. Система Ит-безопасности ни в коем случае не должна давать удаленный доступ уже уволенным сотрудникам. В свою очередь, администраторы должны особо тщательно следить за правами доступа служащих, уже покидающих компанию. Соответствующие учётные записи следует сразу же аннулировать.
В целом же, никакой системный администратор не может предусмотреть все случаи корпоративного саботажа: преступники становятся всё изобретательнее. Однако снизить потенциальный ущерб от их действий – вполне реально. И главную роль в этом процессе будет отыгрывать топ-менеджмент: его задачей будет создать в коллективе такую атмосферу, чтобы саботажники в нем не появлялись в принципе.
Гринёв Сергей Олегович, для журнала "Генеральный директор" (РБ)