в этот день
24.02.17
10:18
В Екб.12:18
В Екатеринбурге горожане попытались "обнять" пруд, в котором должен появиться храм
Генпрокуратура России просит Верховный Суд освободить Евгению Чудновец
"Все те же лица": люди без энтузиазма оценили последние назначения новых губернаторов

Статьи по теме "наука и техника":


Новости

09:46 Мск
Российские и украинские депутаты совместно с ОБСЕ обсудили конфликт в Донбассе
09:35 Мск
срочно Назначен исполняющий обязанности постпреда России при ООН
09:22 Мск
Американские активисты обвинили Обаму и Сороса в поддержке "неонацистского переворота" на Украине
Вчера 20:00 Мск
Депутата Верховной Рады Гончаренко мог похитить отец молодого человека, погибшего во время резни в Доме профсоюзов
Вчера 19:54 Мск
срочно Канцлер Австрии предложил снять с России санкции, раз они не принесли "желаемого эффекта"
Вчера 17:06 Мск
Рамзан Кадыров проклял Иосифа Сталина
Вчера 16:59 Мск
Владимир Путин рассказал, что поход "Адмирала Кузнецова" был его личной инициативой
Вчера 16:49 Мск
Путин: Сирия может сохранить единство, если не будет внешнего вмешательства в дела страны
Вчера 16:42 Мск
В Москве мужчина и женщина упали с 12 этажа
Вчера 15:48 Мск
Владимир Путин встретился с членами Совета безопасности
Вчера 15:38 Мск
На Украине похищен одиозный депутат Верховной Рады и соратник Порошенко
Вчера 15:34 Мск
В Томске из-за упавшего с гаража снега погиб семилетний мальчик. Его товарищ госпитализирован
Вчера 15:28 Мск
срочно В Одессе у памятника Неизвестному матросу случилась потасовка
Вчера 15:17 Мск
Тело Виталия Чуркина доставили в Москву
Вчера 15:12 Мск
В Великом Новгороде пьяный пациент сильно избил медиков, оказавших ему помощь
Вчера 15:04 Мск
В московских аэропортах задерживаются рейсы из-за непогоды
Вчера 14:51 Мск
Владимир Путин выразил соболезнования родным скончавшегося актера Алексея Петренко
Вчера 14:44 Мск
У екатеринбуржцев не получилось обнять городской пруд целиком
Вчера 13:55 Мск
В Раде заявили, что не будут мириться с "непрофессионализмом" ОБСЕ по Крыму
Вчера 12:50 Мск
ВСУ "поздравили" ДНР с Днем защитника Отечества, обстреляв более 700 раз
Вчера 12:42 Мск
Владимир Путин возложил венок к Могиле Неизвестного Солдата
Вчера 12:01 Мск
В Екатеринбурге горожане попытались "обнять" пруд, в котором должен появиться храм
Вчера 11:30 Мск
срочно В Екатеринбурге в центре содержания иностранцев мигрант попытался устроить "бунт"
Вчера 10:44 Мск
Путин поздравил севастопольцев с годовщиной "судьбоносного" Дня защитника Отечества
Вчера 10:37 Мск
В Донецке ВСУ обстреляли фильтровальную станцию
Вчера 10:30 Мск
Виновным в ДТП с 20 пострадавшими на Камчатке может быть водитель автобуса
Вчера 10:20 Мск
Япония выразила протест в связи с планом России разместить на Курилах дивизию
Вчера 10:12 Мск
Джон МакКейн тайно отправился в Сирию
Вчера 10:04 Мск
Россия отмечает День защитника Отечества
Вчера 09:55 Мск
В Подмосковье столкнулись 27 машин. Есть пострадавшие
Вчера 09:43 Мск
Не стало актера Алексея Петренко
Вчера 09:26 Мск
В Домодедово из-за взрыва в жилом доме возник пожар. Два человека пострадали
Вчера 09:21 Мск
В День защитника Отечества первые лица Зауралья и Кургана возложили цветы и венки к Вечному огню
Вчера 09:13 Мск
В Конго повстанцы захватили грузинского летчика и требуют за него выкуп
Вчера 09:04 Мск
ВСУ за сутки 11 раз обстреляли территорию ЛНР
Вчера 08:55 Мск
На Камчатке в ДТП с автобусом и КамАЗом пострадали 11 человек
Вчера 08:39 Мск
Генпрокуратура России просит Верховный Суд освободить Евгению Чудновец
Вчера 08:30 Мск
В ДТП на севере Свердловской области пострадали восемь человек, в том числе двое детей
Вчера 08:17 Мск
Правительство выдвинуло Анатолия Сердюкова в совет директоров ОАК
Вчера 08:07 Мск
В Томске обрушилась крыша многоквартирного дома
Вчера 07:41 Мск
Астрономы обнаружили несколько новых экзопланет, на которых может существовать жизнь
Ранее 22.02.2017 23:24 Мск
Банк "Открытие" выпустил новое мобильное приложение для Android
Ранее 22.02.2017 20:24 Мск
"Фейсбук" заблокировал страницу советника президента России по интернету
Ранее 22.02.2017 20:03 Мск
На сайте МИД появилась рубрика о фейковых новостях про Россию
Ранее 22.02.2017 19:35 Мск
Спрос на паспорта ДНР вырос в десятки раз после признания их в России
Ранее 22.02.2017 19:13 Мск
Активисты РВС представят президенту отчет по изъятию детей из семей
Ранее 22.02.2017 18:29 Мск
Глава Верх-Исетского района признался в содеянном и отправился под домашний арест
Ранее 22.02.2017 18:00 Мск
Украина не будет отводить технику от линии фронта
Ранее 22.02.2017 17:59 Мск
Ротация губернаторского корпуса: Станут ли пришедшие "молодые технократы" электоральными "машинами" на президентских выборах?
Ранее 22.02.2017 17:00 Мск
Политолог: Программа сноса "хрущевок" может стать предвыборным ходом для Собянина
Ранее 22.02.2017 16:52 Мск
EBITDA «Роснефти» выросла по итогам 2016 года
Ранее 22.02.2017 16:44 Мск
В честь Дня защитника Отечества свердловские полицейские поздравили коллег, несущих службу на Северном Кавказе
Ранее 22.02.2017 15:12 Мск
В Челябинске уголовное дело "маньяка с ЧТЗ" передано в суд
Ранее 22.02.2017 15:02 Мск
Политический кризис в вотчине Гаффнера и Павлова близок к разрешению? Появился фаворит на выборах спикера Белоярской думы
Ранее 22.02.2017 15:01 Мск
Дмитрий Самойлов назначил нового начальника департамента образования
Ранее 22.02.2017 15:00 Мск
Администрация Нижнего Тагила формирует заявку для получения статуса территории опережающего социально-экономического развития
Ранее 22.02.2017 14:58 Мск
Дело тюменского блогера, получившего два года за оправдание терроризма, ушло в Верховный суд
Ранее 22.02.2017 14:55 Мск
"Она никуда не делась": Порошенко вновь предупредил об угрозе "полномасштабной войны" с Россией
Ранее 22.02.2017 14:52 Мск
Скончался архимандрит Кирилл (Павлов). В СМИ по-прежнему пытаются представить его как знаменитого Якова Павлова
Ранее 22.02.2017 14:49 Мск
В Верх-Исетком районе Екатеринбурга назначили нового главу вместо задержанного
Ранее 22.02.2017 14:46 Мск
"Куйвашев - лидер", - на Среднем Урале озвучены результаты первой социологии накануне губернаторских выборов
Ранее 22.02.2017 14:44 Мск
В Новом Уренгое обсудили строительство инфраструктуры нефтепровода "Заполярье - Пурпе"
Ранее 22.02.2017 14:42 Мск
В бюджет Кургана внесены изменения, доходы увеличены почти на 200 миллионов рублей
Ранее 22.02.2017 14:41 Мск
"Выбросили одного подонка-президента, но появился еще хуже": в Киеве проходит протестный митинг нацистских сил
Ранее 22.02.2017 14:39 Мск
срочно Защита Бута подала прошение в Верховный суд: предыдущий вердикт неправомерен
Ранее 22.02.2017 14:34 Мск
В Челябинске УФАС проверит управление дорожных работ города на правомерность заключения контракта стоимостью 39,7 млн рублей
Ранее 22.02.2017 14:27 Мск
В Югре не хватает транспорта, соответствующего критериям безопасности перевозки детей

Как найти и обезвредить сотрудника-саботажника
размер шрифта: A A A   в блог   версия для печати

Как найти и обезвредить сотрудника-саботажника

Секретная служба США совместно с CERT (Computer Emergency Response Team) представили результаты собственного исследования внутренних угроз ИТ-безопасности.

Аналитикам удалось установить, что подавляющая часть сотрудников, которые тем или иным образом саботировали ИТ-инфраструктуру компании, занимали технические должности в пострадавшей организации. В результате их действий компании понесли финансовые убытки, столкнулись с негативными последствиями в бизнес-процессах, пострадала так же их репутация. Часто злоумышленников удается привлечь к ответственности, в основном, из-за нарушения федерального законодательства.

Так же были выявлены некоторые другие закономерности:

  • Любой неприятный инцидент на работе подстегивает саботирующие действия недобросовестных сотрудников.
  • Многие злоумышленники стараются вести себя на рабочем месте как положено и не вызывать подозрения, при этом большая часть планирует свои вредоносные действия заранее.
  • Будущие корпоративные диверсанты часто при найме на работу получают права администратора на доступ к корпоративной сети или привилегированные полномочия на управление ИТ-ресурсами, однако на момент саботажа авторизованный доступ к ИТ-инфраструктуре имеют меньше половины злоумышленников.
  • Если сотрудник хочет навредить своему работодателю, то в большинстве случаев он предпочтет какой-нибудь простой метод или незамысловатое средство, которое саботирует приложения, бизнес-процессы, процедуры и т.д. Иногда недобросовестные служащие применяют уже готовые инструменты, в которых реализованы довольно сложные механизмы атак.
  • Большая часть корпоративных диверсантов специально компрометируют учетные записи пользователей, создают неавторизованные учетные записи для скрытого входа в систему, а также используют многопользовательские учетные записи.
  • В подавляющем большинстве случаев деструктивные действия осуществлялись при удаленном доступе к корпоративной сети.
  • Подавляющее большинство внутренних атак становится заметными только тогда, когда в информационной системе появляется серьезное отклонение или она становится вовсе не доступной.

Портрет типичного саботажника

Выше уже упоминалось, что в большинстве своем внутренние злоумышленники являются бывшими служащими компании. По данным CERT, на момент совершения атаки 59% саботажников уже не состояли в штате постоянных или временных сотрудников организации, а 41% соответственно по-прежнему работали в компании. Что же касается бывшего персонала, то 48% саботажников были уволены, 38% уволились сами, а 7% были уволены в связи с остановкой производства.

Важно заметить, что саботажники чаще всего занимали технические должности. На долю этих внутренних диверсантов приходится 86% инцидентов. Среди них 38% системных администраторов, 21% программистов, 14% инженеров, 14% специалистов по ИТ. Что же до саботажников, не работающих в технических департаментах, 10% работают среди прочего редакторами, менеджерами, аудиторами и т.д. 4% саботажников приходится на сферу обслуживания, в частности на общение с клиентами.

При этом в 77% случаев внутренние диверсанты трудятся полный рабочий день, в 8% по скользящему графику, а еще в 8% являются консультантами или подрядчиками. При этом в 4% случаев в роли саботажниками выступают временные служащие, а в 2% – субподрядчики.

Среди других характерных черт корпоративных злоумышленников стоит выделить половую принадлежность: 96% саботажников являются мужчинами. Однако по другим демографическим параметром выявить какую-либо закономерность не удалось. Например, диверсию может организовать как подросток, так и пенсионер, как женатый, так и разведенный и т.д.

Важным моментом является криминальное прошлое, которое часто, но ошибочно, приписывают внутренним вредителям. Экспертам CERT удалось установить, что арестам в прошлом подвергались только лишь 30% злоумышленников. Среди них 18% за насильственные преступления, 11% за преступления, связанные с алкоголем или наркотиками, 11% за мошенничество.

Следует отметить, что четкий портрет организации, страдающей от действий саботажников, составить очень сложно. Это может быть как правительственное учреждение, так и представитель частного бизнеса. Однако наиболее часто (82%) от внутренних диверсантов страдают компании, работающие в секторе ИТ и телекоммуникаций.

Мотивы и план действий внутреннего саботажника

Грустные примеры из жизни

Пример 1
Системный администратор преуспевающей компании, работающей в оборонной промышленности, рассердился на начальство, так как решил, что его недооценивают в то время, как вся корпоративная сеть построена и управляется только благодаря его [администратора] стараниям и усилиям. Системный администратор поместил программное обеспечение, которое поддерживает промышленные процессы в компании, на одном единственном сервере. Потом он запугал своего сослуживца и забрал единственную резервную копию этих программных продуктов. После того, как руководство уволило системного администратора вследствие агрессивного и неподобающего отношения к коллегам, логическая бомба детонировала. Обиженный сотрудник стер все данные на сервере, в результате чего компания понесла убытки в размере $10 млн., что привело к увольнению 80 служащих.
 
Ключом к понимаю корпоративных диверсий являются мотивы внутреннего саботажа. С этой точки зрения наиболее показательным является следующий пример.

Компания выяснила, что сотрудник достаточно компетентен в дизайне и программировании, и попросила его разработать корпоративный веб-сайт. Несколько месяцев спустя этому служащему был объявлен выговор за систематические прогулы, а президент компании сообщил ему, что руководство планирует отстранить его от работы. В этот же день, обиженный сотрудник удаленно вошел в корпоративную сеть, удалил некоторые данные, а также поменял текст и картинки на веб-сайте компании. Когда саботажника задержали правоохранительные органы, он объяснил свое поведение тем, что разозлился на работодателя за то, что его отстранили.

Таким образом, самым главным мотивом к проведению диверсии со стороны служащего является месть. Более того, стыки с начальством или коллегами на работе только катализируют деструктивную активность разъяренных сотрудников. Именно подобные инциденты часто встречаются на практике.

Аналитикам CERT удалось выяснить, что в 92% случаев саботажу предшествует неприятный инцидент или целая серия таких инцидентов на работе. Что это может быть? В 47% случаев – увольнение, в 20% – спор с нынешними или бывшими коллегами, 13% – перевод в должности или наоборот отсутствие повышения.

Другими словами, 85% всех внутренних диверсантов рассержены на кого-то, кого они ассоциируют с компанией. Так в 57% случаев сослуживцы саботажника характеризовали его, как чрезвычайно рассерженного и раздраженного человека.

Итак, 84% злоумышленников руководствуются хотя бы частично местью. В 41% случаев они хотят донести свою ярость до обидчика, в 12% требуют признание собственной значимости и уважения, в 12% выражают свое несогласие с политикой компании, а еще в 12% – несогласие с культурой компании. В общем, в 57% случаев сотрудники руководствуются более чем одним мотивом.

Очень острым вопросом является предупреждение действий внутреннего злоумышленника, однако для этого необходимо выявить те симптомы, которые предшествуют деструктивной активности. Выше уже говорилось, что сотрудник, задумавший, например, отомстить компании, старается вести себя как положено и заранее планирует свои действия. С этой стороны он выделяется разве что низкой производительностью труда. Тем не менее, глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам, например, по электронной почте, или заранее делится своими мыслями с кем-то из коллег. То есть, очень часто информация о том, что работник собирается навредить компании где-то или у кого-то есть.

Не стоит также забывать, что саботажу часто предшествуют споры с начальством и коллегами, а, следовательно, некоторая раздражительность или нервозность в поведении сотрудника.

Статистика CERT говорит о том, что 62% корпоративных диверсантов продумывают свои действия заблаговременно. В 47% случаев они совершают подготовительные действия, например, крадут резервные копии конфиденциальных данных. В 27% – конструируют и проверяют механизм атаки, например, логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т.д. При этом в 37% случаев активность сотрудников вполне можно заметить: 67% подготовительных действий заметно в режиме online, 11% – offline, 22% – и так и так.

В 31% случаев у других людей есть информация о планах диверсанта. Из них 64% – у коллег, 21% – у друзей, 14% – у членов семьи, а еще 14% – у сообщников.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. Таким образом, даже если уволить системного администратора и сразу же заблокировать его учетную запись, но забыть об его привилегии удаленного доступа и оставить прежним пароль root в системе, то рассерженный служащий очень быстро сможет отомстить начальству. В одном из таких инцидентов диверсанту удалось вывести из строя всю корпоративную сеть на 3 дня.


Грустные примеры из жизни

Пример 2
Разработчик приложений потерял свое место в компании, работающей в секторе ИТ, вследствие сокращения штатов. В отместку за это бывший служащий атаковал сеть фирмы как раз перед рождественскими праздниками. Спустя три недели после увольнения, он удаленно вошел в корпоративную сеть, воспользовавшись учетной записью и реквизитами одного из своих бывших коллег, модифицировал данные на веб-сервере компании, изменил текст и вставил порнографические изображения. После этого рассерженный разработчик послал всем клиентам компании электронные письма, призывая открыть корпоративный веб-сайт и убедиться, что он был взломан. В каждом сообщении содержались имя и пароль клиента для доступа к веб-сайту. Было начато расследование, но установить личность преступника не удалось.

Спустя полтора месяца злоумышленник снова удаленно вошел в сеть, выполнил программу-сценарий, которая изменила все сетевые пароли и 4 тыс. записей в базе данных цен. На этот раз рассерженного разработчика удалось вычислить и поймать. Его приговорили к пяти месяцам тюрьмы и двум годам условно. Также наказание включало штраф в размере $48,6 тысяч, которые бывший сотрудник должен был выплатить своему прежнему работодателю.
 
Таким образом, по данным CERT 57% саботажников имеют права администратора в системе во время работы, из них 85% на момент совершения диверсии уже лишились таких широких полномочий на доступ к корпоративной среде. Если рассмотреть последнюю категорию злоумышленников более детально, то окажется:

  • 38% недобросовестных служащих были уволены (или уволились сами) и их учетная запись была заблокирована;
  • 27% были уволены (или ушли сами), но их учетная запись осталась дееспособной;
  • 12% остались работать в компании и, следовательно, по-прежнему являлись авторизованными пользователями, но уже с уменьшенными полномочиями.
  • 8% были уволены (или уволились сами), но сохранили доступ к корпоративной среде, правда, с ограниченными правами.


Вдобавок к этому, 33% саботажников были взяты на работу сразу с правами привилегированных пользователей, но 60% из них не имели таких широких полномочия на момент совершения диверсии. Интересно, что авторизованный доступ к сети организации во время совершения деструктивных действий имели только 43% злоумышленников.

Что касается самой атаки, то 61% саботажников предпочитает простые и незамысловатые механизмы, например, команды пользователя, обмен информацией, эксплуатацию физических уязвимостей безопасности. Оставшиеся 39% саботажников применяют более изощренные методы атаки: собственные программы или сценарии, автономные агенты и т.д. В 60% случаев злоумышленники компрометируют учетные записи, чтобы с их помощью потом провести атаку. В 33% инцидентах это компрометация имени пользователя и пароля; в 20% неавторизованное создание новой учетной записи. Важно заметить, что в 92% случаев заметить подозрительную активность в данной сфере до момента совершения диверсии почти невозможно.

Важным вопросом является определение атаки. Выше уже говорилось, что атаку чаще всего удается обнаружить только после того, как корпоративная система становится вообще недоступной или в ней появляются действительно сильные отклонения. Как в этом случае вычислить виновного? Практика показывает, что помочь в этом могут только журналы системных событий. При этом надо учитывать, что злоумышленник сделает все возможное и невозможное, чтобы скрыть свою личность, предстать кем-то другим или как-то запутать следы. Однако во многих случаях диверсанта могут вычислить другие служащие, не имеющие с безопасностью ИТ-инфраструктуры ничего общего.

Если перевести эти данные на язык цифр, то получится, что 63% атак было замечено лишь потому, что в системе появились сильные отклонения. В 42% случаев система вовсе вышла из строя. При этом в 70% инцидентов злоумышленника удается вычислить по журналам системных событий, в 33% по IP-адресу диверсанта, в 28% по телефонным записям, в 24% по имени пользователя, в 13% за счет процедур аудита.

В тех же случаях, когда используются журналы системных событий, чаще всего нужно исследовать журнал событий удаленного доступа (73%). За ним с большим опозданием следуют журнал доступа к файлам (37%), журнал изменения системных файлов (37%), журналы приложений и баз данных (30%), почтовые журналы (13%). В общем, в 31% случаев для идентификации злоумышленника используются сразу несколько журналов.

В 76% инцидентах внутренние диверсанты пытаются скрыть всю личность (31%), действия (12%) или одновременно и то и другое (33%). Саботажники могут модифицировать или удалить журналы событий, создавать скрытые входы в систему и неавторизованные учетные записи, подделывать свой IP-адрес. При этом 71% саботажей совершается сотрудниками, не связанными с обеспечением ИТ-безопасности.

Наконец стоит перейти к тем последствиям, к которым приводит внутренняя корпоративная диверсия. По данным CERT компании несут финансовые потери, получают урон репутации и проблемы с бизнес-процессами. В некоторых случаях атака саботажника направлена не только на организацию, но и на конкретных служащих.

Однако наиболее точно удается подсчитать финансовые потери в результате внутренних атак. Так 42% компаний потеряли до 20 тыс. долларов в результате одного инцидента саботажа; 9% – от 20 тыс. долларов до 50 тыс. долларов; 11% – от 50 тыс. долларов до 100 тыс. долларов; 2% – от 200 тыс. долларов до 200 тыс. долларов; 7% – от 200 тыс. долларов до 300 тыс. долларов; 9% – от 1 млн. долларов до 5 млн. долларов и 2% – более 10 млн. долларов.

Рассматривая другие последствия внутренних атак можно выделить: сбои в системе коммуникаций вследствие атаки на сеть, маршрутизаторы, серверы или точки удаленного подключения; остановку продаж в связи с уничтожением приложений, отвечающих за продажи, или модификацией записей в базе данных; неудобства пользователей или клиентов в связи с изменением их паролей; уничтожение или повреждение критической информации, например, важного программного обеспечения, компьютерных систем, хранилищ данных и т.д. Вдобавок к этому, 28% пострадавших компаний уронили собственную репутацию в глазах общественности и клиентов.

Предотвращение актов внутреннего саботажа

Начать следует с основного мотива, побуждающего сотрудника к совершению диверсии. Это – месть. Так же следует учитывать, что неприятные инциденты на работе, споры с коллегами, отсутствие повышения и некоторые другие события могут подстегнуть служащего к атаке. Последним фактором является некоторая нервозность и раздраженность уязвленных работников. Таким образом, необходимо уделять повышенное внимание тем сотрудникам, которые недавно столкнулись с неприятными инцидентами в рабочем процессе. Также очень важно создать процедуры, которые позволят служащим высказывать свое мнение по вопросу, который ущемляет их самолюбие, и получить уверенность, что их мнение будет учтено. В последнем случае создается способ разрядить напряженную ситуацию и восстановить здоровую рабочую атмосферу.

Тем не менее, всегда есть и будут саботажники, которые заранее планируют свою деструктивную активность, стараются маскировать свое поведение и не идут на добровольную разрядку ситуации. С этой точки зрения, необходимо создать систему обмена информацией и мнениями, которая позволит собирать данные о подозрительном поведении служащих, проверять и анализировать поступающие сведения. Важным звеном в предотвращении внутренних атак является разработка официальных документов и политик, которые будут четко описывать действия руководства или ответственных лиц в случае появления каких-либо подозрений о готовящейся диверсии.

Напоследок стоит остановиться на обязательных процедурах, которые должны быть реализованы в тех или иных случаях. Необходимо блокировать все возможные входы в корпоративную сеть для тех сотрудников, которые были уволены или уволились сами. Такие процедуры должны приводиться в исполнение сразу же после изменения штатов компании. Далее, очень важным является контроль над техническим персоналом, имеющим широкие полномочия для доступа к ИТ-инфраструктуре, и системными администраторами. Так же большинство неизощренных атак может быть предотвращено и детектировано на раннем этапе благодаря здоровым политикам ИТ-безопасности. Следует уделять повышенное внимание учетным записям и паролям пользователей, так как они часто остаются без присмотра. Остро стоит проблема обеспечения безопасности удаленного доступа к корпоративной среде. Здесь рекомендуется применять эшелонированные средства защиты.

Чтобы определить, что ИТ-инфраструктура была атакована, необходимо анализировать записи в журналах событий и осуществлять мониторинг за корпоративной средой. В то же самое время необходимо всеми техническими средствами защитить журналы системных событий от модификации и удаления. Таким образом, злоумышленнику будет значительно сложнее скрыть свою личность или подставить другого сотрудника. Необходимо так же иметь законодательные процедуры, которые позволят провести масштабное расследование инцидента и наказать виновного.

Чтобы смягчить удар от внутреннего саботажа, следует, во-первых, защитить критически важные данные и части ИТ-инфраструктуры, во-вторых, регулярно проводить резервное копирование. Что касается создания резервных копий, то их необходимо тестировать. В целом, нужен контроль над проведением процедур резервного копирования.

Предотвратить можно

Грустные примеры из жизни

Пример 3
Служащий муниципального самоуправления не был назначен на должность финансового директора. Это место отдали другому сотруднику. Чтобы отомстить, рассерженный чиновник удалил все файлы на своем компьютере и компьютерах сослуживцев за день до того, как новый финансовый директор должен был вступить в должность. Следствие доказало вину обиженного работника, но по соглашению с муниципалитетом в связи с тем, что многие файлы удалось восстановить, против злоумышленника не было возбуждено уголовное дело и ему позволили уволиться.
 
От внутренних атак страдают организации любого масштаба. По данным CERT даже компании, число сотрудников в которых не превышает 100 человек. В то же самое время саботажником может оказаться, кто угодно: мужчина, женщина, подросток, пенсионер и т.д. Однако следует учитывать, что это в основном работники технической сферы: программисты, веб-дизайнеры, системные и сетевые администраторы и т.д. Желание совершить диверсию чаще всего приходит при увольнении сотрудника (даже добровольном).

Следует проводить тренинги среди персонала и научить служащих выявлять саботажника по его поведению, а не стереотипному шаблону. Например, внутренние злоумышленник часто угрожают совершить что-нибудь деструктивное по отношению к компании или коллегам, обсуждают планы мести с кем-то из сослуживцев. В рамках обучения персонала необходимо достичь взаимопонимания, сотрудники должны разделять ценности и культуру организации. Так же служащие должны понять, что у них есть способ конфиденциально или открыто донести свое мнение до руководства или обсудить какую-то проблему с коллегами, а также сообщить о чьем-то подозрительном поведении.

Что касается практических мер, то необходим контроль над учетными записями, паролями и удаленным доступом в корпоративную сеть. Многие инциденты удается предотвратить благодаря мониторингу и выявлению ненормальной активности пользователей или изменению конфигурационных (иногда системных) файлов. При этом сотрудники обязательно должны быть в курсе, что производится постоянный мониторинг за их деятельностью. С точки зрения сбора и анализа сведений не должно быть никаких исключений: необходимо следить и за системными и сетевыми администраторами, и за пользователями с широкими полномочиями и т.д.

Внутренний саботаж можно остановить, но для этого необходимо комплексное решение – многоуровневая стратегия, включающая политики, процедуры, технические средства управления. Так же важно уделить внимание таким организационным аспектам, как политикам и процедурам в бизнесе, корпоративной культуре, техническому оснащению рабочих мест.

CNews

Другие новости по темам: ,
30.05.2005 08:51 Мск | информационная служба Накануне.RU



Если Вы заметили ошибку, выделите текст, ее содержащий, и нажмите Ctrl + Enter








Добавить комментарий:

Как найти и обезвредить сотрудника-саботажника
Уважаемые читатели Накануне.RU! Комментарии проходят премодерацию. Просьба уважать других участников форума и чтить УК РФ! Комментарии, оскорбляющие других людей, имеющие признаки экстремизма, нарушающие многочисленные требования законодательства, публиковаться не будут. Форум наш становится более громоздким, но проявляющий крайне пристальную требовательность к нашей редакции Роскомнадзор диктует условия. Заранее приносим извинения, надеемся на понимание и конструктивную дискуссию.

Текст комментария *

Жирный Подчеркнутый

Ваше имя *





Новости партнеров
Loading...


Loading...




Новости партнеров
Статьи по теме "наука и техника":



Другие статьи:


"23 февраля остается днем Красной армии"
Миллиарды на программу "5-100" не приносят плодов - вузы топчутся на месте
"Февральский дворцовый переворот". Как царя предали семья, церковь, купечество и будущие "белые"
22.02.2017 Мск  |  от издателя  |  комментариев: 3

"Стокгольмский синдром" Европы
Президентские выборы могут совместить с референдумами в городах. "Полигонами" станут Питер и Урал?
21.02.2017 Мск  |  политика  |  комментариев: 3

Юрий Крупнов: Массовые митинги в Белоруссии - поиск болевых точек режима Лукашенко
Мир "по Чубайсу" рушится - что это сулит?
21.02.2017 Мск  |  экономика  |  комментариев: 6

"Губернаторская кампания будет строиться на противопоставлении Басаргину"
"Нужно признать независимость ДНР и ЛНР и включить их в состав России"
21.02.2017 Мск  |  политика  |  комментариев: 3

Константин Затулин: Белоруссия в вопросе нефти и газа занимается интриганством
Как Вы считаете, чем были события февраля 1917 г.?

Буржуазная революция

Дворцовый переворот

Народный бунт

"Цветная революция", инспирированная из-за рубежа

Все вместе взятое


Результаты 199
Екатеринбург Облачность:
Давление: 730 мм. рт. ст.

Температура, °С:
  днем -2
  ночью -2

Ветер: Северный  4м/с

подробнее
Новости партнеров

Новости Екатеринбурга и Свердловской области       
вверх
Рейтинг@Mail.ru
Наш проект  Наша команда 

РИА Накануне.RU
© Институт Информационных Технологий, 620142, г. Екатеринбург, ул. Степана Разина, д. 16
Свидетельство о регистрации СМИ ИА№ФС77-56094 от 15 ноября 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Свидетельство о регистрации СМИ Эл№ФС77-56357 от 02 декабря 2013 года, выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Телефоны: (343) 295–15–36, 295–15–94, 295–14–38. E-mail: news@nakanune.ru
Использование материалов агентства допускается только с согласия редакции.
Редакция не несет ответственности за содержание комментариев к материалам сайта. Комментарии к материалам сайта - это личное мнение посетителей сайта.
18+