Утечки информации

Каждый месяц мы собираем классические и нетривиальные ИБ-кейсы. Наше внимание привлекают истории об утечках данных, мошенничествах, диверсиях любых инцидентах, виновники которых инсайдеры.

Некоторые кейсы смешные, некоторые возмутительные, но все поучительные. Одни, потому что происходят на ровном месте, из-за запредельно халатного отношения к безопасности (Трамп, you are the best!) Другие, потому что рассказывают про сложные многоходовки.

С октября решили делиться нашим дайджестом здесь, на Habr.

У них

Tesla забуксовала

Что случилось: На заводе автопроизводителя во Фримонте (Калифорния, США) на несколько часов остановилась производственная линия. ИТ- и ИБ-службы вскоре вышли на след злоумышленника.

Кто виноват: Оказалось, что работу саботировал один из сотрудников. Кроме того, он попытался замести следы, обвинив в содеянном коллегу и уничтожив принадлежащий компании компьютер. Работника уволили. И хотя компания не раскрывает подробностей инцидента, налицо пресловутая месть сотрудника, с которой Tesla сталкивается уже не в первый раз. Например, в 2018 году Илон Маск обвинял в саботаже бывшего инженера компании Мартина Триппа.

Ничего святого

Что случилось: Из больницы Святого Михаила в Торонто (Канада) утекла персональная информация о 150 пациентах. В чужие руки попали их полные имена, анамнез, диагнозы, планы лечения и выписанные лекарства.

Кто виноват: Клинические записи из больницы вынес сотрудник, в работу которого входила расшифровка врачебных назначений и составление отчетов. Злоумышленник попытался шантажировать руководство больницы, требуя выкуп за украденные копии документов. К делу подключили полицию. Теперь идет разбирательство. В больнице заверили, что усовершенствовали методы защиты информации и обсудили инцидент с персоналом.

#Решетка вызов

Что случилось: В США в открытый доступ попали расшифровки телефонных разговоров между заключенными и их близкими, а также конфиденциальных звонков адвокатам. По утверждению ИБ-исследователей, база данных с тысячами записей находилась в Сети как минимум с апреля.

Кто виноват: Один из подрядчиков телеком-компании HomeWAV, которая обслуживает тюрьмы по всей территории США, допустил ошибку. Панель управления одной из баз данных была не запаролена. Любой пользователь мог просматривать и читать журналы вызовов и расшифровки разговоров заключенных с друзьями и родственниками.

HomeWAV публично признала инцидент. Хотя вопрос, для чего она вообще записывала и расшифровывала разговоры, защищенные адвокатской тайной, остался без ответа.

Защищайтесь, Mr. President!

Что случилось: Twitter-аккаунт президента США Дональда Трампа в очередной раз взломали. Инцидент красноречиво подчеркнул важность надежных паролей и указал на бреши в системе безопасности соцсети.

Кто виноват: Взломщиком оказался хакер из Нидерландов Виктор Геверс. Он рассказал, что получил доступ к аккаунту с пятой пробы, причем после четырех неуспешных попыток система его не заблокировала. Аккаунт открывался просто maga2020! (предвыборный лозунг Трампа Make America Great Again 2020!). На удивление, к нему не была подключена двухфакторная аутентификация.

Об успешном взломе Геверс тут же сообщил ЦРУ, ФБР, команде Трампа и Twitter. К слову, нидерландец был одним из трех хакеров, которые взломали аккаунт американского политика в 2016 году.

У нас

Продавец душ

Что случилось: Из отдела полиции Новосибирска два года сливали сведения об умерших и их родственниках.

Кто виноват: Виновником оказался сотрудник полиции, который передавал данные владельцу похоронного бизнеса (Классическая история!). За сведения об одном покойном полицейский получал 10 тыс. рублей. Следствие доказало 12 фактов передачи такой информации, то есть общий навар от торговли данными составил 120тысяч рублей. Возбуждено уголовное дело.

Крот-нефтяник

Что случилось: Из АО Транснефть-Диаскан вынесли документы, составляющие коммерческую тайну. Себестоимость разработок, которые в них описаны, составляет 2 млрд рублей.

Кто виноват: В преступлении подозревают бывшего руководителя. Он уволился из компании 1,5 года назад и забрал с собой конструкторскую документацию на приборы для проведения диагностических работ на объектах нефтяной отрасли. Затем экс-работник открыл компанию в Подмосковье и занялся поиском покупателей похищенных документов. За разработки Транснефти новоиспеченный бизнесмен просил 400 млн рублей.

Расследованием дела правоохранители и ФСБ занимались совместно со службой безопасности Транснефти. Возбуждено дело по статье о незаконном разглашении коммерческой тайны.

Двойной агент

Что случилось: И снова классика. В Волгограде у сотового оператора похитили клиентскую базу, в которой хранились персданные 5 тыс. абонентов.

Кто виноват: Виновником утечки оказался ушлый менеджер, который устроился на работу в две конкурирующие компании. Увеличить объем продаж в одной из них он решил за счет чужих клиентов. И выгрузил базу конкурента на личный компьютер. Теперь мужчине грозит до 6 лет лишения свободы за кражу коммерческой тайны.

Привет! Продолжая традицию, собрали классические и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в ноябре.

И кстати, всех причастных с международным днем защиты информации!

У них

Аэромайнинг

Что случилось:Сотрудники аэропорта в итальянском городе Ламеция-Термеобнаружилианомалии в работе ИТ-систем и обратились в транспортную полицию. В ходе расследования полицейские нашли в технических помещениях ферму для майнинга Ethereum, подключенную к электросети аэропорта.

Кто виноват:Майнером оказался 41-летний техник компании-подрядчика Sacal, которая управляет аэропортами в провинции Калабрия. Мужчина отвечал за работу компьютерной инфраструктуры воздушного хаба. Он установил вредоносное ПО и использовал ИТ-мощности Sacal для майнинга криптовалюты. Выйти на след злоумышленника помогли камеры видеонаблюдения. О наказании СМИ не пишут, но предполагаем, что как минимум работы в Sacal мужчина лишился.

Купонщик-миллионер

Что случилось:Из онлайн-магазина Microsoft пропали подарочные сертификаты на 10 млн долларов.

Кто виноват:Воромоказалсяинженер компании Владимир Квашук (гражданин Украины), причем его темные дела оставались незамеченными на протяжении семи месяцев. Чтобы скрыть следы, он подключался к платформе через учетные записи коллег и использовал сервисы для смешивания биткоинов (позволяют смешать цифровую валюту из разных источников в одном большом хранилище и тем самым обеспечить конфиденциальность ее владельцам). На вырученные деньги инженер купил дом на берегу озера и автомобиль Tesla. Еще 2,8 млн долларов он перевел на свои банковские счета. А чтобы не попасться налоговой, указал в декларации, что биткоины ему подарил родственник.

Махинацию все же раскрыли, хотя расследование, по признанию правоохранителей, было непростым и потребовало от полиции специальных знаний по кибербезопасности. В итоге Квашука уволили, суд приговорил его к девяти годам тюрьмы за 18 преступлений. Он должен выплатить компании 8,3 млн долларов. А после тюремного заключения его могут депортировать в Украину.

Культурный обмен

Что случилось:Офис шерифа округа Санта-Клара в Калифорнииуличилив торговле разрешениями на ношение оружия. Фигурантом дела стал руководитель службы безопасности Apple.

Кто виноват:Окружная прокуратура Санта-Клары обвинила во взяточничестве руководителя службы безопасности Apple Томаса Мойера и двух помощников шерифа. По мнению следствия, топ-менеджер компании договорился с офисом шерифа обменять четыре лицензии на скрытое ношение оружия на 200 новых планшетов Apple iPad стоимостью 70 тыс. долларов.

Адвокат Мойера заявил, что подзащитный собирался передать планшеты офису шерифа в рамках совместного проекта по подготовке кадров. И этот факт не связан с обращением Мойера за разрешением на ношение оружия. Разбирательство только начинается, но очевидно, что 14-летний стаж работы в Apple вряд ли убережет сотрудника от увольнения. А случай красноречиво доказывает, что контроль топ-менеджеров насущная ИБ-проблема, а не излишняя подозрительность.

Мне только спросить!

Что случилось:Журналист из Нидерландов Даниэль Верлаанподключилсяк закрытому Zoom-совещанию министров обороны стран ЕС, чем заметно смутил чиновников.

Кто виноват:О встрече Верлаан узнал из Twitter, где министр обороны Нидерландов Анка Бийлевельда опубликовала серию фотографий, на которых она работает из дома во время конференции. На фото попал экран ее ноутбука с PIN-кодом для доступа к вызову. Это позволило журналисту подключиться к беседе. После короткого диалога с шокированными министрами он отключился со словами: Прошу прощения, что прерываю вашу конференцию, я ухожу.

Пока непонятно, ждет ли Верлаана наказание за взлом закрытой встречи. Премьер-министр Нидерландов Марк Рютте публично высказался об инциденте, указав на грубую ошибку Бийлевельды и службы безопасности, которая должна пресекать подобные случаи.

Онлайн-совещания вошли в практику не только политиков, но и сотрудников на удаленке еще со времен первой волны коронавируса. Казалось бы, секретному совещанию такого формата не место в Zoom, который неоднократно обвиняли в наличии уязвимостей. Но, как видим, воз и ныне там и возле него щедро рассыпаны грабли.

Провальный тест

Что случилось:В открытом доступеоказалисьперсданные 16 млн бразильцев, заболевших COVID-19, в том числе информация о президенте страны Жаире Болсонару, семи министрах и 17 губернаторах штатов.

Кто виноват:Утечку допустил сотрудник больницы им. Альберта Эйнштейна, который выложил на GitHub таблицу с именами пользователей, паролями и ключами доступа к системам Минздрава Бразилии. В ней также можно было найти имена, адреса, историю болезни и режимы приема лекарств. Как рассказал мужчина, он выгрузил данные для тестирования, а потом забыл их удалить. После инцидента чиновники поменяли пароли и ключи доступа к системам Минздрава. А что будет с горе-тестером, пока неизвестно.

У нас

Нет дыма есть утечка

Что случилось:В общий доступпопалархив на 1 Гб, содержащий 652 внутренних документа производителя систем нагревания табака IQOS. В них содержатся персданные клиентов, шаблоны презентаций и скрипты общения для менеджеров по продажам.

Кто виноват:Большая часть файлов имеет одного автора. По мнению, ИБ-исследователей, документы утекли с рабочего компьютера одного из сотрудников IQOS или были украдены с корпоративного файлового сервера. В любом случае имя владельца документов может послужить ключом к обнаружению источника утечки.

Тайный покупатель

Что случилось:Злоумышленниквзломалдевять учетных записей интернет-магазина и оформил заказы на товары за счет их владельцев. Дело прогорело из-за бдительной службы безопасности.

Кто виноват:Вором оказался житель Екатеринбурга. Логины и пароли от учеток он купил в Интернете. Мужчина изменил регистрационные данные в личных кабинетах и оформил несколько покупок, расплачиваясь чужими электронными деньгами. Благодаря ИБ-службе из девяти попыток сделать заказ покупателю удалась только одна. В восьми случаях служба безопасности блокировала заказ ее насторожило, что владелец аккаунта оформляет доставку в другой регион, не связанный с местом регистрации.

В итоге Кировский районный суд Екатеринбурга назначил вору штраф в 200 тыс. рублей.

Родственный жест

Что случилось:В Башкирии из микрокредитной компании ООО МКК КредитЪкаутеклиперсданные 44 заемщиков.

Кто виноват:Утечку обнаружили сотрудники прокуратуры во время плановой проверки организации. Выяснилось, что сотрудница КредитЪки отправила анкеты клиентов по email по просьбе родственника. Женщину не смутило, что эти сведения по закону являются коммерческой тайной. Возбуждено уголовное дело.

Привет! Завершаем год традиционным дайджестом классических и нетривиальных ИБ-инцидентов, о которых писали зарубежные и российские СМИ в декабре. Нас лично впечатлило, как создатели Чёрного зеркала предсказали свои собственные проблемы. А вас?

У них

Оживший сюжет

Что случилось: Одна из крупнейших продюсерских студий мира EndemolShine, которая создает и распространяет телешоу Большой брат и Голос (в Нидерландах), а также сериал Чёрное зеркало, столкнулась с вымогателями.

Кто виноват: За атакой стоит группировка DoppelPaymer, известная случаями шантажа крупных корпораций и госорганов. Злоумышленники украли персональные данные нынешних и бывших сотрудников Endemol, а также часть информации, составляющей коммерческую тайну. Некоторые из документов DoppelPaymer уже слила в интернет и теперь требует выкуп у руководства компании, а иначе грозит обнародовать остальные данные. Размер выкупа не называют, но по аналогии с другими делами DoppelPaymer, речь может идти о семизначной сумме.

По сообщениям СМИ, среди скомпрометированных файлов есть доказательства того, что деятельность Endemol не полностью отвечает требованиям Общего регламента о защите данных (GDRP). А это грозит фирме серьезными штрафами.

Любопытно, что в третьем сезоне нашумевшего Чёрного зеркала, сценаристы которого вскрывают язвы цифрового мира, есть эпизод на тему вымогательства в обмен на непубликацию компромата. В фильме (как часто бывает и в жизни) все завершилось печально жертвы хакера выполнили все условия договора, но их личная информация все равно была обнародована. Мораль проста: никогда не иди на сделки с вымогателями, лучше проверь, насколько хорошо защищены твои данные.

Страховка от утечки

Что случилось: На сервер израильской страховой компании Ширбит попал троян, который за несколько часов переслал на адрес злоумышленников базу с полными данными клиентов, включая их адреса, телефоны, номера кредитных карт, копии паспортов, места работы и списки близких родственников.

Кто виноват: Судя по всему, с антивирусами в частности и информационной безопасностью вообще в Ширбите дела плохи, поскольку компания узнала об утечке только когда украденная информация всплыла в общем доступе. Разгорелся скандал, поскольку среди пострадавших есть военные и сотрудники силовых структур. По этой причине к расследованию утечки подключились государственное Управление по кибербезопасности и Служба общей безопасности (ШАБАК).

Против Ширбита уже подано несколько компенсационных исков, и, судя по всему, компании грозит если не полное разорение, то массовый отток крупных клиентов.

Слив по бразильской системе

Что случилось: Журналисты газеты Estadao обнаружили логин и пароль к базе данных Министерства здравоохранения в исходном коде сайта ведомства. Просмотреть его мог любой, просто нажав F12 в своем браузере. Эти данные позволяли получить доступ к SUS (Sistema nico de Sade), официальной базе Минздрава Бразилии, в которой хранится информация о 243 млн граждан (в том числе, умерших) полное имя, домашний адрес, номер телефона, медицинские сведения.

Кто виноват: Налицо прокол разработчиков. После сообщения об утечке, данные из исходного кода удалили, но остается неясным, успели ли воспользоваться этой уязвимостью злоумышленники.

По иронии судьбы, это уже второй в стране ИБ-инцидент с медицинской информацией за последнее время. В прошлом месяце по схожей причине в Бразилии утекли данные 16 млн пациентов с COVID-19. Похоже, госсектор+персданные опасная смесь не только для России.

У нас

Адрес смерти

Что случилось: В Павловском районе Нижегородской области осудили очередных участников тандема полицейский + ритуальщик.

Кто виноват: На протяжении года местные полицейские незаконно передавали предпринимателям, занимающимся организацией похорон, имена и домашние адреса умерших. За это служилые получали от 3 до 30 тыс. рублей. В итоге возбуждено несколько уголовных дел, подозреваемых отстранили от работы.

Скучающий торговец

Что случилось: ИБ-специалист телеком-компании в подмосковном Реутове засек подозрительные обращения в корпоративную базу с персданными клиентов. Кто-то обращался к ней трижды с перерывом в несколько дней.

Кто виноват: Нарушителем оказался менеджер по работе с клиентами. По словам сотрудника, он зашел в систему от скуки на фоне отсутствия покупателей. При этом сфотографировал данные 14 абонентов, что позднее подтвердили записи с камер видеонаблюдения в салоне. Данные были нужны ему для перепродажи.

Мужчину обвинили в неправомерном доступе к охраняемой законом компьютерной информации и ее копировании. С учетом некогда хорошей репутации, а также раскаяния в содеянном суд приговорил экс-менеджера к одному году условно с исправительным сроком в один год.

Один на всех и все на одного

Что случилось: Маркетолог компании-разработчика мобильного приложения SkinSwipe для обмена игровыми предметами из CS:GO, Dota 2 и Team Fortress 2 поделился историей о мошенничестве. В выходной день кто-то начал массовую распродажу промокодов и игровой валюты из приложения, хотя команда такую активность не планировала.

Кто виноват: Оказалось, в деле замешан бывший сотрудник техподдержки SkinSwipe. Он вошел в админку приложения в нерабочее время и создал несколько сот позиций на продажу. Но обвинять в инциденте только его неправильно, ведь для входа в админку мужчина использовал логин и пароль, которые после его увольнения никто не изменил. Более того, этими данными для входа пользовалась вся команда. Потому что мы маленький сплоченный коллектив и доверяем друг другу.

Продвинутый поиск

Что случилось: В Сеть утекли учетные данные нескольких медучреждений для подключения к закрытой IT-системе. Слив произошел через поисковую строку Яндекса.

Кто виноват: Логины и пароли поисковику передали пользователи. Оказалось, что сотрудники учреждений для быстрого поиска страницы входа вставляли в адресную строку запрос вида полная ссылка на ресурс+логин+пароль. То есть копировали строки из таблицы, в которой хранились учетки. Яндекс принимал их в качестве запросов и выдавал как подсказки любым пользователям. Неизвестно, воспользовался ли случаем посторонний юзер с дурными намерениями. Но поисковый сервис проблему со своей стороны устранил.

Двухфакторная аутентификация, говорите? Регулярное обновление парольных фраз? А выходит, начинать нужно с азов что можно, а что нельзя вводить в поисковую строку Яндекса и Гугла.

Таким был ИБ-декабрь. До встречи в январе. Пусть каникулы будут фантастическими, а Новый год счастливым!

Продолжаем собирать классические и нетривиальные ИБ-инциденты, о которых писали зарубежные и российские СМИ в январе. В сегодняшнем выпуске сплошь звезды: ООН, РЖД, Nissan, Vodafone.

У них

Заводская проходная

Что случилось: В открытом доступе оказались внутренние наработки японских автопроизводителей Nissan и Infiniti. Слив включал исходный код мобильных приложений Nissan, инструменты изучения рынка, системы поиска и удержания клиентов, а также важные составляющие систем диагностики. Закрытая информация активно распространялась через хакерские форумы и Telegram-каналы.

Кто виноват: Точкой входа для злоумышленников послужил открытый Git-сервер, на котором сисадмины не удосужились поменять заводские логин и пароль admin/admin. Автопроизводитель уже подтвердил факт утечки и занялся расследованием инцидента. Масштаб последствий разгильдяйства сотрудников еще придется установить.

Слив-подряд

Что случилось: В Сеть утекли данные более 11 млн Instagram-аккаунтов, 66 млн профилей LinkedIn и 81 млн учетных записей Facebook. Общий объем скомпрометированных данных, включая номера телефонов и адреса электронной почты пользователей, составил 408 Гб.

Кто виноват: Утечка произошла по вине китайской компании Socialarks, которая специализируется на управлении информационными материалами для соцсетей. Ее специалисты оставили без контроля Elasticsearch-сервер: там не было не то что шифрования, но даже пароля.

Socialarks не впервые прокалывается подобным образом. Летом прошлого года похожим образом китайцы засветили данные 150 миллионов пользователей тех же соцсетей.

Доплата за энергию

Что произошло: Британский поставщик электроэнергии Peoples Energy признался, что раскрыл данные всех текущих клиентов и многих из тех, кто сотрудничал с компанией ранее. В руках третьей стороны оказались имена клиентов, их адреса, номера телефонов, даты рождения, email, номера счетов в Peoples Energy, а также сведения о тарифах и идентификационные номера счетчиков газа и электроэнергии. В небольшом числе случаев (0,1%) скомпрометированы были еще и финансовые данные пользователей. Этим пострадавшим компания разослала детальные памятки, как предотвратить возможные опасные последствия.

Кто виноват: По версии Peoples Energy, причиной инцидента стало неблагоприятное стечение обстоятельств. Для расследования деталей привлекли внешнюю организацию, которая специализируется на кибербезопасности и защите от утечек данных. На ближайшее время компания рекомендовала своим клиентам не переходить по ссылкам из подозрительных писем (в т.ч. ассоциирующихся с самой Peoples Energy) и не реагировать на сообщения и звонки с незнакомых номеров. Тем не менее пользователей заверяют, что необходимости в полной блокировке аккаунтов нет, поскольку пароли от личных кабинетов скомпрометированы не были.

Международная заброшка

Что произошло: В открытом доступе обнаружили данные о проектах ООН по защите окружающей среды и сведения о 100 тыс. сотрудников организации.

Кто виноват: Сотрудники ООН оставили без присмотра ряд заброшенных поддоменов, в том числе ilo.org, где в незащищенном виде сохранились учетные данные пользователей. С их помощью можно было авторизоваться в БД с информацией о 102 тыс. сотрудников ООН, проектах, в которых они участвовали, датах и целях командировок, грантах и т.п. К счастью, первыми до данных добрались не хакеры, а пентестеры из Sakura Samurai в рамках проверки на уязвимости, которую инициировала сама ООН.

Ограбление по-итальянски

Что произошло: Хакеры украли данные 2,5 млн абонентов принадлежащего Vodafone итальянского сотового оператора Ho Mobile. Утечку обнаружили перед Новым годом, когда базу данных выставили на аукцион в даркнете.

Кто виноват: Причиной утечки называют кибератаку, но деталей не раскрывают дело расследуют правоохранители. Оператор уже извинился перед пострадавшими и предложил всем желающим бесплатно перевыпустить SIM-карты. Правда, это вряд ли решит проблемы абонентов, ведь кроме номеров телефонов к хакерам попали их персональные данные: от ФИО, дат рождения и сведений о национальности до домашних адресов и номеров соцстрахования.

Новичок на миллион

Что произошло: Минюст США оштрафовал сервис по продаже билетов Ticketmaster на 10 млн долларов за промышленный шпионаж. Компания неоднократно пыталась получить данные конкурента CrowdSurge. Несколько раз им удавалось.

Кто виноват: За всем стоял бывший сотрудник CrowdSurge, который недавно устроился в Ticketmaster. Менеджер пришел на новое место с приданым коммерческой тайной CrowdSurge и паролями к базам экс-работодателя. И это несмотря на подписанные перед увольнением NDA и соглашение о неконкуренции.

Цена любви

Что произошло: Британец лишился доступа к своему кошельку с 7 500 биткоинов, которые он получил в 2009 году. В январе 2021-го их цена доходила до 258 млн долларов.

Кто виноват: По одной из версий дела сердечные. В 2013 году мужчина встречался с девушкой, которую дико раздражал звук работающей криптофермы и она потребовала прекратить майнить. Обиженный бойфренд в порыве чувств выбросил технику на свалку. Там оказался и жесткий диск с ключом от криптокошелька. Другая версия прозаичней: парень мог случайно выкинуть диск при уборке в офисе.

Новость обрела второе дыхание в этом году, когда британец обратился к городским властям за помощью. Чтобы найти диск с криптовалютой, он предложил перелопатить свалку и за это готов отдать городу 25% стоимости потерянных биткоинов (более 70 млн долларов по нынешнему курсу).

У нас

Зряплата

Что произошло: Хакеры похитили у строительной компании из Ялуторовска 10,5 млн рублей. Сумму перевели на левые карты под видом зарплаты и обналичили через банкоматы.

Кто виноват: Накануне инцидента главный бухгалтер стройфирмы открыла письмо с вирусной начинкой. Злоумышленники получили удаленный доступ к ее компьютеру и провели трансакцию.

Через месяц полиции удалось найти одного из преступников. Хотя он вернул украденное (и даже с процентами в общей сложности 11 млн 980 тыс. руб.), ему грозит до 10 лет по по ст. 159 УК РФ за мошенничество в сфере компьютерной информации, совершенное группой лиц по предварительному сговору и в особо крупном размере.

Сим-сим, закройся

Что произошло: Хаброжитель взломал внутреннюю сеть РЖД и рассказал об этом компании. А потом помог устранить уязвимости.

Кто виноват: Проникнуть во внутреннюю сеть удалось через незапароленный роутер. В результате исследователь @LMonoceros получил доступ более чем к 20 тыс. камер на вокзалах и в офисах компании, IP-телефонам, серверам и сетевым устройствам. И выяснил, что на многих из них стоят заводские пароли, а в сети нет практически никаких инструментов защиты.

После публикации о взломе специалисты РЖД связались с автором и воспользовались его советами, чтобы закрыть дыры в безопасности. Пресс-служба компании, правда, публично выступила против неправомерного доступа к информационным системам и публикации данных, связанных с информационной безопасностью, в открытых источниках. Также в РЖД подчеркнули, что уязвимость не привела к утечке данных пассажиров и не создавала угрозу безопасности движения.

Как ИБ-специалисты могут использовать знаменитую игру для обучения сотрудников

Говорить с сотрудниками о безопасности бывает сложно, особенно если в компании высоки риски инсайдерских угроз. Могут ли игры на социальную дедукцию сломать этот лёд? Могут, считают авторы блога Security through education. И рассказывают как это сделать, делая выводы на примере игры Among Us. Приводим перевод статьи.

Считается, что первая игра на социальную дедукцию была создана россиянином Дмитрием Давыдовым на факультете психологии МГУ в 1986 году. Это Мафия, впоследствии известная как Оборотень. Разрабатывая ее, Давыдов пытался совместить психологические исследования с преподавательскими обязанностями.

Концепция получила развитие в многочисленных настолках, карточных и ролевых играх (для тренингов и просто вечеринок). Перевод увлечения в видео- и онлайн-формат привели к мировой популярности игр. А Among Us и вовсе взорвала интернет.

В Among Us хорошие участники пытаются выполнить игровую задачу (вернуться на космическом корабле домой). Но некоторые члены команды самозванцы-саботажники (в терминах игры импостеры от англ. imposter). Их цель вывести остальных из игры. Чтобы не быть обнаруженными, самозванцам нужно плести интриги и устраивать саботажи.

Внутри игровое общение ведется с помощью голосового чата. Каждый раз, когда игроки обнаруживают тело, они созывают экстренное собрание, чтобы пообщаться и проголосовать, кто из них самозванец.

Эти встречи один из немногих способов для добропорядочных игроков собрать информацию, кто же самозванец. А для последнего распространить ложь и отвести недоверие от себя.

Игра, если рассматривать ее с психологической точки зрения, демонстрация принципов социальной инженерии, с которой мы сталкиваемся каждый день.

Исследователи провели несколько игр в разных группах людей: знакомыми друг с другом и незнакомыми. Их просили обращать внимание, что влияло на выигрыш или проигрыш, на самые эффективные способы проверить подозреваемых, на то, какие приёмы социальной инженерии самозванца оказывались самыми действенным.

Так, самым эффективным для самозванца было притвориться новичком, который нуждался в помощи или не понимал, что делать. Так, он намеренно совершал ошибки и с благодарностью принимал помощь, чтобы завоевать доверие. Он старался выглядеть максимально безобидными, у него всегда было фальшивое или настоящее алиби. Они держали язык за зубами, когда это было нужно. Так, они позволяли другим игрокам даже с более высоким игровым статусом вызвать подозрение.

Исследователи сделали несколько интересных выводов на основе игры. Наиболее эффективные игроки это касается как добропорядочных, так и самозванцев хорошо знают правила и игровое поле. Т.е. представляют, куда лучше перемещаться, какие есть секретные маршруты, каково время на выполнение той или иной игровой задачи, способ ее выполнения. Мало того, они использовали это знание умело и творчески, как для выявления людей, которые вели себя ненормально и вызывали подозрения, так и в фазе допроса.

Но всё же информация дает больше преимущество для добропорядочных игроков, поэтому самый эффективный приём самозванца, чтобы лишить других игроков информации, саботаж. Он выключает свет, чтобы отвлечь внимание игроков. Часть уходит чинить освещение и не знает, что происходит на другом конце поля, где самозванец продолжает совершать игровые злодейства, а после возлагает вину на кого-то другого.

Так какие выводы из этой детской игры на социальную дедукцию специалисты по безопасности могут применять и в реальной корпоративной жизни? Например, такой: инстинктивно обнаружить лжеца почти невозможно. Многочисленные исследования с более чем 24 000 участников показали, что средняя точность обнаружения предателя составила 54%.

Имейте в виду эту статистику, если вы привыкли доверять своему чутью видеть обманщика за верстку.

Так что можно сделать для снижения риска инсайдерских инцидентов?

1) Информация это всё. Ваши сотрудники, особенно руководство, должны знать политики безопасности компании очень хорошо. Все члены команды должны быть в курсе, чем занимаются сотрудники других отделов, что для них нормальное поведение, а что нет. Сотрудников нужно приучать делиться своими сомнениями.

2) Доверяй, но проверяй. Самозванцы побеждали очень быстро, если игроки не договаривались друг с другом и не пытались проверить ложь. То же самое может случиться в компании. Когда происходит что-то подозрительное, общение между отделами должно быть открытым. Кроме того, должна быть организована чёткая обратная связь, по которой люди не боялись бы сообщать о проблемах и угрозах безопасности.

3) Разграничение доступов и мониторинг информации. Да, информация это всё. И мы только что говорили, что команде (читайте, сотрудникам) нужна информация, чтобы выявлять самозванцев (читайте, инсайдеров). Но есть пределы осведомленности. Так, сотрудникам не нужно знать в деталях особенности организации технической инфраструктуры компании. Разграничение доступа очень важно, но даже так доступ к критической информации должен быть под контролем.

ИБ-специалистам часто сложно объяснить непрофессионалам, почему важна безопасность. Поэтому отсылки к известным играм на социальную дедукцию, таким как Among Us, позволяют сделать это более доступно. Можно даже собрать сотрудников и проиграть несколько раундов, чтобы они увидели, как легко обмануться и не увидеть самозванца в коллективе. Так вы еще получите удовольствие от обучения команды, а люди будут рады общению.