Забезпечення інформаційної безпеки бізнесу
Цю книгу можна назвати практичною енциклопедією. У ній дано максимальне охоплення проблематики забезпечення інформаційної безпеки, починаючи з сучасних підходів, огляду нормативного забезпечення у світі та в Україні та закінчуючи розглядом конкретних напрямів забезпечення інформаційної безпеки (забезпечення ІБ периметра, протидія атакам, моніторинг ІБ, віртуальні приватні мережі та багато інших), конкретних апаратно-програмних рішень у цій галузі. Книга буде корисна бізнес-керівникам компаній і тим, до чиєї компетенції входить вирішення технічних питань забезпечення інформаційної безпеки.
Забезпечення інформаційної безпеки бізнесу
4.1.4. Приклади інцидентів
4.1.4. Приклади інцидентів
Загальні відомості
- Витік службової інформації;
— крадіжка клієнтів та бізнесу організації;
- Торгівля на ринках на основі інсайдерської, службової інформації;
Анотація
У помсту за надто маленьку премію 63-річний Рожер Дуроніо (колишній системний адміністратор компанії UBS Paine Webber) встановив на серверах компанії «логічну бомбу», яка знищила всі дані та паралізувала роботу компанії на тривалий час.
Опис інциденту
Дуроніо був незадоволений своєю зарплатою, що становить 125 000 доларів на рік, можливо, це і спричинило впровадження «логічної бомби». Проте останньою краплею для системного адміністратора стала одержана ним премія у розмірі 32 000 доларів замість очікуваних 50 000 доларів [38, 39]. Коли він виявив, що його премія набагато менша, ніж він очікував, Дуроніо зажадав від начальства переукласти трудовий договір на суму 175 000 доларів на рік, або він залишитькомпанію. У підвищенні зарплати йому було відмовлено, крім того його попросили залишити будівлю банку. На помсту за таке звернення Дуроніо вирішив скористатися своїм «винаходом», запровадженим заздалегідь, передбачаючи такий поворот подій.
Впровадження «логічної бомби» Дуроніо здійснив із домашнього комп'ютера за кілька місяців до того, як отримав надто маленьку, на його думку, премію. "Логічна бомба" була встановлена приблизно на 1500 комп'ютерів у мережі філій по всій країні і налаштована на певний час - 9.30, якраз на початок банківського дня [40].
Можливості інсайдера
Як на одного із системних адміністраторів компанії на Дуроніо було покладено відповідальність за всю комп'ютерну мережу UBS PaineWebber, і, відповідно, він мав до неї доступ. Він також мав доступ до мережі зі свого домашнього комп'ютера за допомогою безпечного інтернет-з'єднання.
Причини
Як уже зазначалося раніше, його мотивами були гроші та помста. Дуроніо отримав річну зарплату 125 000 доларів і премію 32 000 доларів, тоді як очікував 50 000 доларів, і таким чином помстився за своє розчарування.
Крім того, Дуроніо вирішив заробити на атаці: очікуючи на падіння акцій банку у зв'язку з ІТ-катастрофою, він зробив ф'ючерсну заявку на продаж, щоб при зниженні курсу отримати різницю. На це обвинувачений витратив 20 тисяч доларів. Однак папери банку не впали, а інвестиції Дуроніо не окупилися [39].
Наслідки
- шахрайство з цінними паперами - обвинувачення за цією статтею тягне за собою максимальне покарання у вигляді позбавлення волі на 10 років у федеральній в'язниці та штрафу у розмірі 1 млн. доларів;
— шахрайство у діяльності пов'язаної з комп'ютерами — обвинувачення за цією статтеютягне у себе максимальне покарання як позбавлення волі на 10 років і штрафу у вигляді 250 000 доларів [40].
«Вимпелком» та «Шерлок»
Анотація
Опис інциденту
Можливості інсайдера
Двоє з числа виявлених серед учасників інциденту співробітників компанії «Вимпелком» працювали операціоністами в компанії, а третій був колишнім співробітником і на момент злочину працював на ринку Мітіна.
Робота в компанії операціоністами свідчить про те, що дані співробітники мали безпосередній доступ до інформації, запропонованої до продажу на сайті www.sherlok.ru. Крім того, оскільки колишній співробітник компанії вже працював на Мітинському ринку, то можна припустити, що згодом одним з каналів збуту цієї інформації або будь-якої інформації з баз даних компанії «Вимпелком» міг стати і даний ринок.
Наслідки
Основними наслідками для компанії «Вимпелком» від цього інциденту були удар по репутації самої компанії та втрата клієнтів. Однак цей інцидент був оприлюднений безпосередньо завдяки активним діям самої компанії.
Крім того, оприлюднення даної інформації могло негативно позначитися на клієнтах компанії «Вимпелком», оскільки деталізація розмов дозволяє зробити висновок про поточну діяльність абонента, його сферу інтересів та коло знайомств.
Найбільший витік персональних даних за всю історію Японії
Анотація
Влітку 2006 р. стався найбільший витік персональних даних за всю історію Японії: співробітник поліграфічного та електронного гіганта Dai Nippon Printing вкрав диск із приватними даними майже дев'яти мільйонів громадян.
Описінциденту
Після викрадення цієї інформації Хірофумі відкрив торгівлю приватними даними порціями від 100 000 записів. Завдяки стабільному прибутку інсайдер навіть залишив постійне місце роботи. На момент затримання Хірофумі встиг продати дані 150 000 клієнтів найбільших кредитних фірм групі шахраїв, що спеціалізуються на онлайн-покупках. Крім того, частина даних вже була використана для шахрайства із кредитними картками.
Більше половини організацій, дані клієнтів яких було викрадено, навіть не було попереджено про витік інформації.
Наслідки
Внаслідок цього інциденту збитки громадян, які постраждали через шахрайство з кредитними картками, що стало можливим лише внаслідок цього витоку, склали кілька мільйонів доларів. Загалом постраждали клієнти 43 різних компаній, у тому числі Toyota Motor Corp., American Home Assurance, Aeon Co та NTT Finance. Проте більше половини організацій навіть не було попереджено про витік.
У 2003 р. у Японії було ухвалено закон Personal Information Protection Act 2003 (PIPA), але прокуратура не змогла його застосувати у реальному судовому розгляді у цій справі на початку 2007 р. Звинувачення не змогло інкримінувати інсайдеру порушення закону PIPA. Його звинувачують лише у крадіжці вінчестера вартістю 200 доларів.
Чи не оцінили. Запорізький хакер проти українського банку
Анотація
Колишній системний адміністратор одного з великих банків України переказав через банк, у якому раніше працював, з рахунку регіональної митниці на рахунок неіснуючої дніпропетровської фірми-банкрута близько 5 млн. гривень.
Опис інциденту
Кар'єра системного адміністратора почалася після того, як він закінчив технікум і був прийнятий нароботу в один із великих банків України до відділу програмного та технічного забезпечення. Через деякий час керівництво помітило його талант і вирішило, що він більше принесе користь банку як начальник відділу. Однак прихід нового керівництва в банку спричинив і кадрові перестановки. Його попросили тимчасово звільнити посаду. Незабаром нове керівництво почало формувати свою команду, а його талант виявився незатребуваним і йому запропонували неіснуючу посаду заступника начальника, але вже в іншому відділі. В результаті таких кадрових перестановок він почав займатися зовсім не тим, у чому розбирався найкраще.
Системний адміністратор було миритися з таким ставленням керівництва себе і звільнився за власним бажанням. Однак йому не давала спокою власна гордість і образа на керівництво, крім того, йому хотілося довести, що він найкращий у своїй справі, і повернутися до відділу, з якого почалася його кар'єра.
Звільнившись, колишній системний адміністратор вирішив повернути у колишнього керівництва інтерес до своєї персони за допомогою недосконалості системи «Банк-Клієнт», що застосовується практично у всіх банках України 2 . План системного адміністратора полягав у тому, що він вирішив розробити свою програму захисту та запропонувати її банку, повернувшись на своє колишнє місце роботи. Реалізація плану полягала у проникненні в систему «Банк-Клієнт» та внесенні до неї мінімальних змін. Весь розрахунок було зроблено те що, що у банку мали виявити злом системи.
Для проникнення в зазначену систему колишній системний адміністратор скористався паролями та кодами, які дізнався ще у процесі роботи з цією системою. Вся решта інформації, необхідна для злому, була отримана з різних сайтів хакерів, деу подробицях були розписані різні випадки зламування комп'ютерних мереж, методики злому та розміщувалося все необхідне для злому програмне забезпечення.
Створивши в системі лазівку, колишній системний адміністратор періодично проникав у комп'ютерну систему банку та залишав у ній різні знаки, намагаючись привернути увагу до фактів злому. Фахівці банку мали виявити злом і забити на сполох, але, на його подив, проникнення в систему ніхто навіть не помічав.
Отримавши в черговий раз доступ до системи банку, він створив платіжне доручення, в якому з особового рахунку регіональної митниці зняв та перерахував через банк на рахунок фірми-банкрута 5 млн. гривень. Крім того, їм цілеспрямовано було зроблено кілька помилок у «платіжці», що у свою чергу мало ще більше сприяти приверненню уваги з боку фахівців банку. Однак навіть такі факти були не помічені фахівцями банку, які обслуговують систему «Банк-Клієнт», і вони спокійно перерахували 5 млн гривень на рахунок фірми, яка вже не існує.
Насправді системний адміністратор розраховував на те, що кошти не будуть переведені, що факт злому буде виявлено до переказу коштів, але на практиці все виявилося інакше і він став злочинцем і його липовий переказ переріс у крадіжку.
Факт злому та розкрадання коштів у особливо великих розмірах було виявлено лише через кілька годин після переказу, коли працівники банку зателефонували на митницю – підтвердити переказ. Але там повідомили, що такої суми ніхто не перераховував. Гроші терміново повернули назад до банку, а в прокуратурі Запорізької області заведено кримінальну справу.
Наслідки
У 2004 р. указом президента України було посилено кримінальну відповідальність закомп'ютерні злочини: штрафи від 600 до 1000 неоподатковуваних мінімумів, позбавлення волі - від 3 до 6 років. Проте колишній системний адміністратор скоїв злочин до набрання чинності указом президента.
Безконтрольний трейдинг у банку Societe Generale
Анотація
Опис інциденту
Коли вдалося з'ясувати астрономічні розміри спекулятивної позиції, генеральний директор та голова ради директорів Societe Generale Даніель Бутон заявив про намір закрити відкриту Керв'єлем ризиковану позицію [49]. На це пішло два дні і спричинило збитки в 4,9 млрд євро.
Можливості інсайдера
Жером Керв'єль пропрацював п'ять років у так званому бек-офісі банку, тобто в підрозділі, який безпосередньо ніяких угод не укладає. У ньому займаються лише обліком, оформленням та реєстрацією угод та ведуть контроль за трейдерами. Ця діяльність дозволила зрозуміти особливості роботи систем контролю у банку.
У 2005 р. Керв'єля підвищили. Він став справжнім трейдером. До безпосередніх обов'язків молодої людини входили елементарні операції з мінімізації ризиків. Працюючи на ринку ф'ючерсних контрактів на європейські біржові індекси, Жером Керв'єль мав стежити, як змінюється інвестиційний портфель банку. А його основним завданням, як пояснив один із представників Societe Generale, було скорочувати ризики, граючи у протилежному напрямку: «Грубо кажучи, бачачи, що банк ставить на червоне, він мав ставити на чорне». Як у всіх молодших трейдерів, Керв'єль мав ліміт, перевищувати який він не міг, за цим стежили його колишні колеги з бек-офісу. У Societe Generale існувало кілька рівнів захисту, наприклад трейдери могли відкривати позиції лише зсвого комп'ютера. Усі дані про відкриття позицій автоматично в реальному часі передавалися до бек-офісу. Але, як кажуть, найкращий браконьєр — колишній лісничий. І банк припустився непробачної помилки, поставивши колишнього лісничого в становище мисливця. Жерому Керв'єлю, котрий мав за плечима майже п'ятирічну практику контролю за трейдерами, не склало великої праці обійти цю систему. Він знав чужі паролі, знав, коли у банку проходять перевірки, добре знався на інформаційних технологіях [50].