Практика передачи бизнес-процессов на аутсорсинг третьим лицам, круг задач которых может включать в себя управление сетевой инфраструктурой, поддержку веб-сайта компании, предоставление услуг CRM и многие другие ИТ-процессы, сегодня очень распространена. Это неизбежно приводит к тому, что сторонние лица получают доступ к критическим системам организации и конфиденциальной информации, финансовым и клиентским данным. Наделение подрядчиков полномочиями, которые есть только у доверенных сотрудников, несомненно сопряжено с определенными рисками, однако реальность такова, что организациям подчас сложно, а то и вовсе невозможно отказаться от передачи части своих обязанностей на аутсорсинг. Тем не менее, ИТ-аутсорсеры могут увеличить прозрачность своей работы перед клиентом, если будут использовать мониторинг действий пользователей сети, а особенно привилегированных аккаунтов. Это существенно повысит уровень доверия между сторонами, так как данный мониторинг позволяет увидеть в режиме реального времени, что происходит в их ИТ-системах, кто и когда получил доступ к конфиденциальной информации.
Однако следует рассмотреть ИБ-риски, с которыми сталкивается большинство организаций, передавая важные задачи на аутсорсинг. В первую очередь проблема управления безопасностью вызвана инсайдерскими угрозами, которые нацелены на захват важнейших интеллектуальных активов. Риск нарушения безопасности еще более возрастает из-за того, что вы предоставите доступ третьим лицам, а это может потенциально ослабить защиту, потому что у них появятся те же права доступа и привилегии, что и у сотрудников компании. Во-вторых, существуют два основных фактора риска, при которых отсутствие надлежащей встроенной защиты повышает уязвимость организации: высокая текучка кадров в компании и использование услуг ИТ-аутсорсинга. В данном случае организации угрожает не только потеря интеллектуальной собственности, но также появляется высокая вероятность передачи ценной информации конкурентам или другим сторонним лицам.
Зачастую подобные атаки тщательно спланированы и могут пройти незамеченными до тех пор, пока злоумышленники не проникнут окончательно в ИТ-систему организации. Одним из самых громких дел о нарушении безопасности в связи с привлечением внешних подрядчиков стал случай, произошедший с американской компанией Target в декабре 2013 года. Тогда у компании были украдены данные кредитных карт. Долгое время инцидент не предавался огласке, так как компания хотела урегулировать правовые вопросы, ведь случившееся затронуло более 200 тыс. клиентов компании. Поначалу компания оценивала нанесенный ей ущерб в 150 млн. долл., однако по сообщению агентства Reuters реальная стоимость составила более 200 млн. долл.
Порой заключение обычного контракта на предоставление услуг аутсорсинга может обернуться для компании большим политическим скандалом. Так недавно произошло после того, как Транспортное агентство Швеции заключило с американской компанией IBM контракт на оказание ИТ-услуг. По мнению представителей оппозиции Швеции, недосмотр и спешка при составлении данного контракта повлекли за собой угрозу национальной безопасности, так как некоторые его положения шли в разрез с законами королевства. Вследствие чего американской компании был предоставлен доступ к засекреченной информации — предположительно, к сведениям о транспорте Министерства обороны Швеции, к реестрам водительских прав и другим данным, о которых правительство страны не хотело бы распространяться.
Инсайдерские атаки являются одной из самых распространенных угроз кибербезопасности компании. Например, утечка информации произошла в компании Home Depot, крупном американском ритейлере, бывший сотрудник которого использовал имевшийся у него доступ к компьютерным системам, чтобы завладеть информацией кредитных карт от сделок аренды оборудования компании.
Также с нарушениями безопасности данных столкнулся итальянский банк Unicredit. В июле 2017 года из-за несанкционированного доступа к личным кредитным счетам пострадали 400 тыс. клиентов банка. По словам Даниэля Тонеллы, ИТ-директора банка, он не уверен, кто является настоящим виновником утечки информации — сторонний поставщик программного обеспечения или некий злоумышленник, который получил доступ к счетам посредством третьих лиц.
В июне 2017 года компания InfoWatch опубликовала отчёт об исследовании инцидентов, связанных с утечкой информации, за 2016 год в России. По их словам, ситуация с нарушениями кибербезопасности в России стремительно приближается к общемировой. Компания отмечает, что 2/3 всех утечек информации в России происходит по вине тех сотрудников, у которых есть доступ к конфиденциальным данным. Персональные данные и платежная информация — самые «популярные» виды данных, на которые приходятся 80% российских утечек. Согласно анализу компании SearchInform, в 2016 году около 47% российских компаний столкнулись со случаями инсайдерской атаки.
Необходимо учитывать тот факт, что основные средства защиты создаются с целью, чтобы уберечь компанию от внешних атак, а не от сотрудников, которые могут использовать инсайдерскую информацию в личных целях. В отличие от атак извне, внутренние пользователи зачастую обладают привилегированным доступом к конфиденциальной информации, они знают, как организована работа в компании, где расположены ценные активы и как замести свои следы после совершения атаки, поэтому организациям следует отнестись к вопросам безопасности особенно серьёзно.
Автор статьи — ИТ-евангелист компании Balabit.