ИБ-риски: Уволенные сотрудники мстят

ИБ-риски: Уволенные сотрудники мстят

Как утверждают специалисты Ernst & Young в своем новом исследовании, основными причинами, вызывающими обеспокоенность руководителей ИТ-служб, в 2009 г. являются попытки мести со стороны уволенных сотрудников, а также недостаточный объем бюджета и ресурсов, выделяемых на нужды безопасности.

В рамках исследования, которое проводилось с июня по август 2009 г., было опрошено более 1900 руководителей высшего звена, представляющих свыше 60 стран. По итогам опроса выяснилось, что 75% респондентов обеспокоены попытками мести со стороны сотрудников, недавно уволенных из компаний. Кроме того, 42% респондентов уже пытаются получить представление о потенциальных рисках, связанных с этим вопросом, а 26% принимают меры по минимизации этих рисков. 

«Угроза со стороны уволенных или увольняемых сотрудников - не новость для любого грамотного специалиста по ИБ, - отмечает Алексей Лукацкий, менеджер по развитию бизнеса Cisco. - В существующих каталогах угроз и методиках анализа рисков и моделирования угроз эта проблема упоминается почти всегда. Просто сейчас время такое, что увольнения происходят сплошь и рядом, и многие службы ИБ, не сталкивавшиеся раньше с несанкционированными действиями бывших сотрудников, стали задумываться об этом. Да и различные аналитические отчеты подливают масла в огонь. О росте риска для конкретной компании можно говорить только в одном случае - текучка кадров в ней существенно превышает показатели предыдущих лет». Лукацкий напоминает, что существуют и более серьезные риски, которыми надо озаботиться в первую очередь. Что же касается мер борьбы с данной угрозой, то на первое место выходят не технические, а организационные и правовые методы борьбы. А они никогда не требовали таких же затрат, что и технические. «Грамотная работа с персоналом, беседы перед увольнением, поддержание нормального психологического климата, повышение осведомленности... Все эти меры позволяют существенно снизить риск утечек со стороны уволенных или увольняемых сотрудников», - считают в Cisco.

Весьма непростой в 2009 г. оставалась и задача поиска бюджета на нужды информационной безопасности. 50% респондентов оценивают степень ее важности как высокую или значительную. Такой результат демонстрирует существенный рост (на 17%) по сравнению с прошлогодним показателем. 40% опрошенных также планируют увеличить долю в суммарных расходах, направляемую на инвестиции в области информационной безопасности, а 52% намерены сохранить эти затраты на прежнем уровне. 

Впрочем, бюджеты на ИБ, как правило, всегда были небольшими, и на них не было возможности внедрить все задуманные системы. Поэтому даже сокращение этих бюджетов кардинально не изменит ситуацию, полагает Михаил Орешин, директор по развитию «Амрита-Групп». «С другой стороны, есть возможность решить давно «подвисшие», например, процедурные задачи, и их решение уже снизит риски тех же утечек. Кроме того, отделы ИБ никогда не были большими, и, видимо, текущая ситуация приведет к еще более плотному взаимодействию с ИТ-отделами компании». Злонамеренные действия, такие как месть, - риск не только для конфиденциальности, но и для целостности и доступности информации, отмечает Орешин.

Исследователи также пришли к выводу, что вопросы соблюдения нормативных требований продолжают занимать важное место в перечне приоритетных задач руководителей отделов ИБ. В ответ на вопрос о том, какую сумму их компании тратят на обеспечение соблюдения нормативных требований, 55% опрошенных указали, что затраты на эти цели привели к росту общих расходов на обеспечение ИБ, при этом степень роста оценивается ими как умеренная или значительная. Лишь 6% респондентов планируют сократить затраты на обеспечение соблюдения нормативных требований в течение следующего года.

Участившиеся случаи утечек данных привели к тому, что их защита стала приоритетной задачей руководителей отделов информационной безопасности. Внедрение или совершенствование технологий по предотвращению утечки данных (DLP) занимает второе по важности место на ближайший год. Это направление указали в качестве одной из трех основных задач 40% респондентов.

«В связи с кризисом, традиционная парадигма DLP смещается от борьбы со случайными утечками к борьбе со злонамеренными инсайдерами, - отмечает Михаил Кондрашин, руководитель Центра компетенции Trend Micro. - В новой формулировке задача становится существенно более сложной, так как совершенно очевидно, что если что-то хотят украсть, то это украдут. В таких условиях к системам DLP предъявляются новые требования, так как появляется необходимость выявлять злоумышленников. Эти требования могут включать в себя абсолютную скрытость системы DLP для пользователей. То есть вместо просвещения пользователя своевременными предупреждениями о нарушении политики безопасности, продукт осуществляет 100%-скрытый мониторинг».

Специалистов Ernst & Young также поразил тот факт, что лишь меньше половины компаний шифруют данные в ноутбуках. В настоящее время такое шифрование выполняют 41% опрошенных, и еще 17% планируют внедрить такую практику в следующем году. «Этот факт вызывает удивление по ряду причин: растет количество случаев нарушений безопасности, произошедших из-за утери или хищения ноутбуков; соответствующая технология уже готова к внедрению по доступной цене; воздействие процесса шифрования на деятельность пользователей относительно мало и больше не должно служить препятствием», - комментируют исследователи.

«Данные, содержащиеся в отчете Ernst & Young, являются абсолютно верными: еще в начале 2009 г. Symantec проводил совместно с несколькими исследовательскими компаниями подобный же анализ, который показал, что потенциальная возможность хищения информации массово увольняемыми в связи с мировым экономическим кризисом сотрудниками достаточно серьезно беспокоит менеджмент компаний, - подтверждает Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. - В том числе, и этим объясняется продолжающийся всплеск к специализированным средствам защиты, например продуктам класса DLP. Хотелось бы привести из этого отчета лишь несколько интересных цифр: 59% процентов работников анонимно признались что хоть раз похищали конфиденциальную информацию, из них 53% - загружали ее на CD или DVD диски, 42% - на USB устройства, 38% - пересылали на личную эл. почту; при этом около 79% работников  делали это без разрешения непосредственного руководителя, 82%  заявили, что работодатель не проверял их документы перед увольнением, а 24% уже бывших сотрудников имели продолжительное время доступ к их ПК и корпоративным ресурсам уже после увольнения. Думаю что комментарии к этим цифрам неуместны, и они четко говорят о том, что проблема далеко не является надуманной».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru