Większość pracowników nie spodziewa się, że obudzi się, gdy dowie się, że dzień wypłaty został przełożony z powodu phishingu. I prawdopodobnie nie zgadniesz, że dyrektor finansowy prowadzi swoją działalność z komputera firmowego lub że dane uwierzytelniające pracownika znajdują się w ciemnej sieci z powodu godzin pracy spędzanych na serwisach randkowych. fakt, że jest odsączany od robotniczego pokazu kamery internetowej o tematyce „dorosłych”, jest nieco bardziej niepokojący. Witamy w życiu profesjonalisty ds. bezpieczeństwa IT.
Takie historie mogą być zaskakująco typowe dla specjalistów ds. bezpieczeństwa IT. W rzeczywistości zagrożenia dla bezpieczeństwa cybernetycznego – zarówno wewnątrz, jak i na zewnątrz firmy – stały się tak duże, że cyberbezpieczeństwo zaczęło żyć własnym życiem w sektorze IT. Jest tak duży, że rośnie zapotrzebowanie na specjalistów od cyberbezpieczeństwa. Według danych CyberSeek, darmowego zasobu kariery i siły roboczej w dziedzinie cyberbezpieczeństwa, tylko w samych Stanach Zjednoczonych „w ciągu 12 miesięcy od kwietnia 2017 r. do marca 2018 r. w sektorze prywatnym i publicznym pojawiło się 301 873 wakatów w zakresie cyberbezpieczeństwa w sektorze prywatnym i publicznym”. Korporacyjne horrory o cyberbezpieczeństwie, takie jak te, które zaraz przeczytasz, są ważnym powodem.
Prowadzenie pokazu dla dorosłych na serwerach korporacyjnych
Chociaż niewłaściwe zachowanie w sieci wydaje się być głównym problemem w świecie IT, wiele razy nie demonstrują tego hakerzy, ale pracownicy wewnętrzni. Raj Goel, założyciel nowojorskiego dostawcy usług zarządzanych (MSP) Brainlink, uważał, że przez ponad 20 lat w IT widział to wszystko. Ale jeden niedawny incydent był czymś, czego nigdy sobie nie wyobrażał.
Dyrektor finansowy klienta zadzwonił do Brainlink, aby dowiedzieć się, dlaczego ich dział IT ciągle traci przepustowość, nawet po wydaniu pieniędzy na aktualizację.
„Ci goście mieli coś, co nazwałbym „grubą fajką”, mówi Goel, „ale z jakiegoś powodu ich informatycy powtarzali, że są kompletnie zajęci. Poszukałem więc i odkryłem, że jeden z tych samych informatyków prowadził witrynę internetową typu pay-per-view z kamerą internetową poza siecią firmową. To była strona pornograficzna i najwyraźniej jego dziewczyna i jej przyjaciele mieli talent”.
Jeszcze bardziej szokujące: trwało to ponad dwa lata i nikt tego nie zauważył — nawet po tym, jak działania tego pracownika kosztowały firmę ponad 180 000 USD i konieczność aktualizowania sieci co trzy miesiące, ponieważ działała tak wolno.
Poszukałem więc i odkryłem, że jeden z tych samych informatyków prowadził witrynę internetową typu pay-per-view z kamerą internetową poza siecią firmową. To była strona pornograficzna i najwyraźniej jego dziewczyna i jej przyjaciele mieli talent”.
„Wnioskiem było to, że dyrektor finansowy powinien być bardziej proaktywny. Zapytał w IT, a oni po prostu nie udzielili mu odpowiedzi na jego pytania” – mówi Goel. „Lekcja z tego jest taka, że nawet jeśli masz wewnętrzny zespół IT lub MSP, ważne jest, aby (w pewnym momencie) zaangażować stronę trzecią w celu przeprowadzenia niezależnego audytu lub oceny. Musisz uzyskać czek, czy otrzymujesz zwrot z inwestycji i czy wszyscy wykonują swoją pracę”.
Poboczny koncert CFO
Goel wspomina również incydent, w którym firma medyczna wezwała go do sprawdzenia zgodności i bezpieczeństwa, i odkrył, że dyrektor finansowy prowadzi zupełnie oddzielną firmę od swojego biura.
„Zapytałem go i wspomniałem, że codziennie widzę logowanie do zdalnego połączenia, a gdy tylko to usłyszał, facet wyglądał na oszołomionego… Kiedy mu powiedziałem, myślałem, że dostanie ataku serca. Na początku tego nie powiedział, ale potem przyznał, że wykonuje trochę pracy na boku dla własnego biznesu” – mówi Goel.
Podczas gdy Goel zauważa, że dyrektor nie korzystał z zasobów firmy, twierdzi, że pracownik nadal spędzał pół dnia na prowadzeniu swojej prywatnej firmy zajmującej się importem/eksportem w czasie firmy, logując się zdalnie do swojego komputera domowego. Goel i jego zespół odkryli to, oceniając ruch zapory sieciowej. Początkowo spodziewał się, że być może problemy tkwią w zewnętrznym centrum danych. Kiedy jednak zwrócił się do CFO, nie spodziewał się reakcji, jaką otrzymał:
„Zapytałem go i wspomniałem, że codziennie widzę logowanie do zdalnego połączenia, a gdy tylko to usłyszał, facet wyglądał na oszołomionego… Kiedy mu powiedziałem, myślałem, że dostanie ataku serca. Na początku tego nie powiedział, ale potem przyznał, że wykonuje trochę pracy na boku dla własnego biznesu” – mówi Goel.
Phishing opóźnia wypłatę
Czasami biznes nie zdaje sobie sprawy, że doszło do naruszenia. A nawet po wykryciu jednego, nie zawsze podejmują niezbędne środki bezpieczeństwa.
„Zewnętrzne naruszenie, które jest szeroko nagłośnione, może zaszkodzić reputacji, a wtedy klient nie inwestuje w kontrolę bezpieczeństwa tylko po to, aby dowiedzieć się, że hakerzy nigdy nie opuścili sieci, a oni nadal infiltrują ich sieć” Bart Barcewicz, założyciel MSP B z Chicago. Suite Cyber Security, mówi Tom’s Hardware.
„Gdyby ktoś ustawił reguły i uwierzytelnianie, zostałby ostrzeżony, że informacje zostały zmienione” – mówi Barcewicz. „Największym [problemem] było to, że po tym, jak to się stało, nie chcieli inwestować w rozwiązanie z zakresu cyberbezpieczeństwa i nie wyciągali wniosków z tego doświadczenia”.
Weźmy na przykład dużą firmę produkcyjno-dystrybucyjną, w której Barcewicz pracował na poprzednim stanowisku. Mówi, że około 10 pracowników otrzymało wiadomość phishingową, na którą się dali, wysyłając swoje dane uwierzytelniające Office 365 i inne dane logowania niczego niepodejrzewającym hakerom. Następnie hakerzy wykorzystali te informacje, aby dostać się na konta płacowe tej firmy i zmienili wszystkie informacje o kontach pracowników. Ponieważ firma nie miała zainstalowanych żadnych alertów ani zabezpieczeń, naruszenie zostało wykryte dopiero dwa tygodnie później, kiedy pracownicy nie dostali wypłaty.
„Gdyby ktoś ustawił reguły i uwierzytelnianie, zostałby ostrzeżony, że informacje zostały zmienione” – mówi Barcewicz. „Największym [problemem] było to, że po tym, jak to się stało, nie chcieli inwestować w rozwiązanie z zakresu cyberbezpieczeństwa i nie wyciągali wniosków z tego doświadczenia”.
Rozpacz mrocznej sieci
Inną sytuacją, którą Barcewicz zaobserwował u wielu klientów, są pracownicy korzystający z firmowych danych logowania (np. ich służbowych adresów e-mail) do rejestracji na osobistych stronach internetowych, takich jak media społecznościowe i serwisy randkowe. Chociaż dostęp do tych witryn jest zwykle mile widziany w godzinach pracy, staje się problemem bezpieczeństwa, gdy informacje korporacyjne użytkownika są wykorzystywane w witrynie, która została naruszona, a te dane uwierzytelniające trafiają do ciemnej sieci. Barcewicz odkrył dokładnie tę sytuację po przeprowadzeniu analizy ciemnej sieci dla firmy inżynierskiej zatrudniającej 2500 pracowników.
„Dosłownie mówią, że rejestrują każdy ruch online użytkownika, mówią, że obserwowali go przez kamerę internetową i że jeśli nie płacą w Bitcoinach, powiadomią swoją listę kontaktów o wszystkim, co robili”.
Barcewicz odnotowuje również kolejny zyskujący na popularności oszust w dark webie, w którym hakerzy przechwytują komputer użytkownika i grożą zgłoszeniem swojego niewłaściwego zachowania w sieci wszystkim osobom z listy kontaktów:
„Dosłownie mówią, że rejestrują każdy ruch online użytkownika, mówią, że obserwowali go przez kamerę internetową i że jeśli nie płacą w Bitcoinach, powiadomią swoją listę kontaktów o wszystkim, co robili”.
Barcewicz radzi, aby pracownicy powstrzymywali się od wykorzystywania informacji służbowych w celach osobistych.
„Ktoś może wziąć te informacje, a następnie wykorzystać je do oszustwa, takiego jak przechowanie okupu za informacje w zamian za pieniądze w bitcoinach”, mówi.
Walka z szaleństwem
Jednym z powodów, dla których zapotrzebowanie na specjalistów ds. bezpieczeństwa jest tak duże, jest to, że nie tylko walczą oni z wieloma zagrożeniami z zewnątrz; zarządzają również sporą ilością ryzyka z wewnątrz organizacji. Może to pochodzić od pracownika, który ma dostęp do serwerów i innej technologii, a tym bardziej po odejściu pracownika — zwłaszcza, jeśli nie jest to polubowne rozstanie. Aby temu zaradzić, Barcewicz zaleca podjęcie kroków, takich jak wdrożenie uwierzytelniania dwuskładnikowego i zainstalowanie menedżera haseł.
„Minimum dla każdej firmy to korzystanie z dwuetapowego uwierzytelniania hasła, jeśli to możliwe, a także używanie różnych haseł za pomocą narzędzia do zarządzania hasłami”, mówi. „Zalecamy również zmianę hasła (w przypadku poufnych witryn internetowych) co trzy do sześciu miesięcy, ale przy uwierzytelnianiu dwuetapowym zwykle nie trzeba tego robić tak często”.
A Barcewicz praktykuje to, co głosi swoim klientom. Osobiście korzysta z internetowego menedżera haseł, który automatycznie generuje odrębne hasło dla każdej strony internetowej, do której się loguje (a także dwuetapowego uwierzytelniania). Mówi, że dzieje się tak, ponieważ hasła generowane automatycznie są trudniejsze do złamania. „Hakerzy nie zawsze szukają dokładnego hasła”, mówi. „Próbują znaleźć odmiany i wzorce, ponieważ wiedzą, że często są one używane w innych witrynach”.
Zarówno Barcewicz, jak i Goel twierdzą, że morał płynący z tych historii jest taki, że dla właścicieli firm najlepszym rozwiązaniem jest posiadanie zewnętrznego eksperta ds. bezpieczeństwa IT, który wie, co robią.
„Minimum dla każdej firmy to korzystanie z dwuetapowego uwierzytelniania hasła, jeśli to możliwe, a także używanie różnych haseł za pomocą narzędzia do zarządzania hasłami”, mówi.
„Dobra ocena nigdy nie boli”, mówi Goel. „Ale musisz wydać pieniądze; nie używaj kogoś, kto po prostu pobierze darmowe narzędzie, a następnie powie ci, co chcesz usłyszeć. Potrzebujesz kogoś, kto zajmie się takimi kwestiami, jak ruch wzorców, dane, zachowanie użytkowników i inne ważne obszary”.
Barcewicz dodaje, że opór wobec zmian powstrzymuje część klientów przed inwestowaniem w odpowiednie cyberbezpieczeństwo. W przypadku klienta, którego lista płac została zhakowana, dyrektorzy nadal odmawiali poprawy swojego podejścia do cyberbezpieczeństwa. „Nie chcieli zmieniać sposobu pracy, a pieniądze wcale nie były powodem”, mówi. „To był bardziej opór przed zmianą; to był główny kierowca”.
Jaka jest Twoja najbardziej szalona historia bezpieczeństwa IT? Czy możesz przebić skandal z kamerą internetową? Daj nam znać w komentarzach poniżej.
