Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании

Все права защищены. Данная электронная книга предназначена исключительно для частного использования в личных (некоммерческих) целях. Электронная книга, ее части, фрагменты и элементы, включая текст, изображения и иное, не подлежат копированию и любому другому использованию без разрешения правообладателя. В частности, запрещено такое использование, в результате которого электронная книга, ее часть, фрагмент или элемент станут доступными ограниченному или неопределенному кругу лиц, в том числе посредством сети интернет, независимо от того, будет предоставляться доступ за плату или безвозмездно.

Копирование, воспроизведение и иное использование электронной книги, ее частей, фрагментов и элементов, выходящее за пределы частного использования в личных (некоммерческих) целях, без согласия правообладателя является незаконным и влечет уголовную, административную и гражданскую ответственность.

Фрэнку, любви всей моей
жизни, — тому, кто читал
каждую написанную мною
страницу, включая эту.
Спасибо, что любишь меня
и поддерживаешь.

Глава 1

Как я испортила Пасху

Бывали у меня воскресенья и получше.

16 апреля 2017 года, Пасха. Мы с мужем сидели дома, только закончили ужинать. Настало долгожданное время насладиться покоем и нашим новым увлечением — запойным просмотром Netflix. Знала бы я тогда, что вот-вот сыграю главную роль в собственной драме, заслуживающей гораздо большего внимания…

Загорелся экран моего телефона — пришло сообщение от Шатель, руководителя нашего отдела по подбору персонала. Мы с ней тесно общались. Всего 12 дней назад мы помогли McAfee отделиться от Intel в качестве одной из крупнейших независимых компаний в области кибербезопасности. Я не удивилась ее сообщению на Пасху — думала, она просто прислала мне поздравления с праздником. Но речь там шла не об этом.

«Загляни к нам в соцсети. Дело плохо».

Я открыла страницу McAfee в очень известной социальной сети, название которой не буду здесь упоминать, — и пришла в ужас.

Кто-то взломал профиль нашей новорожденной компании, которой едва исполнилось 12 дней, и исписал страницу самыми грязными и непристойными выражениями, какие только могут прийти в голову. Такое не лучшим образом сказалось бы на любой фирме. Но стоит объяснить, насколько плохо, бесконечно плохо это было для нас.

Оскорбительные надписи резко противоречили всему, что представляла наша организация. Мы только что перезапустили бренд с новым слоганом «Вместе — сила», отражавшим нашу веру в то, что для защиты мира от киберугроз нужно использовать все возможные средства. Мы только что представили сотрудникам новые ценности компании, одна из которых — всеобъемлющая открытость и прозрачность. И мы были лидерами в области кибербезопасности. Что подумают клиенты о нашей способности сохранить их самые ценные цифровые активы, если мы не можем защитить даже собственный профиль в одной из крупнейших соцсетей? И вдобавок ко всему, именно моя команда — маркетинговая организация — отвечала за управление профилями компании во всех социальных медиа, включая этот, «опороченный» прямо у меня под носом.

Я начала действовать. Нужно было связаться с главой нашей диджитал-команды, чтобы понять, что происходит. Я сразу дозвонилась ей, и мне не пришлось объяснять, что звонок никак не связан с Пасхой.

— Я знаю, почему ты звонишь. Мы разбираемся. Наш аккаунт взломали. Мы на связи с [социальной сетью], решаем проблему.

Я начала думать о худшем. Взломанный аккаунт — это одно. Но что если это скоординированная атака на McAfee? Вдруг хакеры нацелились на добычу покрупнее и отвлекли наше внимание этой «пожарной тревогой», чтобы параллельно проникнуть в систему компании?

Руководитель диджитал-команды тут же уверила меня, что наш директор по информационной безопасности уже все проверил и подтвердил: все системы в порядке. На миг я испытала облегчение, но тут же осознала, что нужно сделать еще один звонок. Генеральный директор должен быть в курсе происходящего. И лучше бы мне сообщить ему новости лично. Итак, я набрала его номер, собираясь испортить и ему пасхальное воскресенье. Он взял трубку почти мгновенно.

— Крис, один из наших аккаунтов в социальных сетях взломали.

— Насколько все плохо? — сдержанно спросил он.

— Корпоративные сервера в порядке, Крис. Взломана страница компании на сайте социальной сети.

Я объяснила ему, что случилось. Первым проблему обнаружил Гэвин, наш SMM-специалист. Он был дома и занимался тем же, чем и многие фанаты социальных сетей на выходных, — сидел в сети. Около пяти часов вечера он увидел, что статус на странице компании поменялся на произвольный набор букв. Гэвин предположил, что сообщение случайно написал кто-то из его команды, — и удалил пост.

Затем он связался с сотрудниками, чтобы выяснить, чьих это рук дело. Об обновлении никто ничего не знал.

Вскоре появился новый бессмысленный пост. И теперь он был неслучайным.

Гэвин залогинился в социальной сети и перешел в настройки аккаунта. Имена всех людей, имеющих доступ к управлению страницей, были ему знакомы. Но чтобы перестраховаться, он начал закрывать доступ другим администраторам из списка.

Пока он делал это, страница в браузере обновилась — и его «выкинуло» из аккаунта.

Теперь сомнений в злонамеренности действий не осталось. За секунду Гэвин сообразил, что удаление поста сообщило хакеру: в McAfee знают о взломе. Началась классическая гонка из криминальных фильмов о технологиях: пальцы летали по клавиатуре, появлялись и скрывались значки программ, всплывали сообщения — все в лучших традициях Голливуда. Гэвин и злоумышленник на всех парах в режиме онлайн неслись к одной цели. Даже отсутствие напряженного саундтрека не снижало накала страстей. Гэвин рассказал: «Я старался удалить всех остальных администраторов, и хакер делал то же самое. Он сработал быстрее».

Прежде чем закончить разговор с генеральным директором, мне пришлось поделиться с ним еще одной неутешительной новостью.

— И еще, Крис, зайдя на нашу страницу, вы увидите не только оскорбительные посты, но и картинку, которой заменили лого нашей компании — что-то вроде птицы. Присмотритесь. Это вовсе не птица. Это… кхм… это части тела.

Распространенная вещь в хакерском сообществе — «украшать» взломанные сайты непристойными рисунками, чтобы пометить тех, кто был, как говорят на сленге, «унижен», кого «хакнули». Хакер уже знал, что мы заблокированы и ситуация под его контролем; он повесил пошлую картинку вместо нашего нового логотипа просто так, на всякий случай.

Моя команда максимально вовлекла службу поддержки социальной сети в решение проблемы. Но… в праздники все происходит дольше. Поскольку был уже поздний вечер, нас перевели на сотрудников группы, работающей в Азиатско-Тихоокеанском регионе. Создавалось впечатление, что время физически преодолевало океан, разделяющий нас и службу поддержки. Минуты ползли со скоростью улитки.

Казалось, ожидание длилось целую вечность. Взломали не наши сервера, и у меня не было возможности подключить команду специалистов из McAfee к решению сторонней проблемы. Мы могли лишь каждые несколько минут связываться со службой поддержки, чтобы снова получать ответ: «Мы работаем над этим».

Примерно через полчаса они сообщили, что заблокировали всех администраторов нашей корпоративной страницы, и доступ к ней остался только у них. Это были хорошие новости: по крайней мере, большего вреда нанесено не будет.

А что насчет плохих новостей? Они не могли просто откатить страницу до версии 30-минутной давности. Согласно протоколу, страницу заблокировали, чтобы никто больше не мог изменять ее, а затем должны были последовать процедуры проверки и анализа. В ходе первой они должны были удостовериться, что мы действительно те, за кого себя выдаем, а не хакер, только притворяющийся McAfee (какая ирония!). Анализ же призван был определить степень взлома — и только затем можно было предпринимать дальнейшие действия.

Но как быть с непристойным аватаром? Он все еще висел на нашей корпоративной странице. Хуже того: платформа работала таким образом, что в личных профилях всех сотрудников McAfee в социальной сети вместо логотипа компании также отображалась эта пошлая картинка.

И в моем тоже.

Когда мы снова связались со службой поддержки, нам сообщили, что «процедуры» еще не закончены. Если следовать их логике, выходило, что единственный шанс откатить страницу — реактивировать, то есть разблокировать аккаунт, но они не сделают этого до тех пор, пока не закончат проверку безопасности.

Серьезно? Как это вообще возможно? С нашей страницей ничего нельзя было сделать до окончания проверки. Мы были в полной их власти. Все, что могли предпринять наши сотрудники, — удалить любое упоминание о McAfee из собственных профилей. Те, кто был в курсе происходящего, так и сделали.

Но этого было недостаточно. Я продолжила портить другим пасхальное воскресенье — сообщила о происшествии команде руководителей. Мы позаботились о безопасности серверов компании, но это не означало, что McAfee не будет атакован в других социальных каналах. И, конечно, мы не знали, станут ли следующей мишенью злоумышленников наши руководители — или их профили в соцсетях.

Я разослала руководителям письма и сообщения с просьбой немедленно включить в личных профилях всех социальных сетей многофакторную аутентификацию (подробнее о ней — чуть позже).

Последовав собственному совету, я начала судорожно укреплять безопасность в личных профилях — пока одна очень популярная социальная сеть не завела меня в тупик. Не знаю, что это было: то ли мое тело полностью перешло в режим мобилизации «бей или беги» (когда организм перенаправляет кровоток к основным группам мышц, чтобы скрыться от угрозы или подготовиться к бою — иными словами, уводит подальше от мозга), то ли соцсети стоило сделать настройки безопасности более очевидными. Скорее всего, и то, и другое. Как бы там ни было, я запаниковала и прибегла к отчаянной мере: полностью удалила оттуда личный профиль — и всю его историю.

Час ожидания превратился в два, затем в три, а потом и в четыре. Я регулярно звонила генеральному директору с необходимыми, но раздражающими новостями об «униженном и оскорбленном» профиле нашей компании. Диалоги сводились к следующему:

— Крис, мы все еще работаем с ними. Они не завершили проверку безопасности. Надеемся, все закончится в течение получаса.

Как в том анекдоте про программиста: «намылить, смыть, повторить» — снова и снова, каждые полчаса.

Во время очередного звонка руководитель вытащил козырь из рукава.

— Эллисон, я устал ждать, пока они нами займутся. Я знаю кое-кого из владельцев этой соцсети. Звоню ему.

— Отлично, Крис. Мы пока продолжим подгонять службу поддержки.

Крис связался со своим знакомым и рассказал о нашем случае. Через 30 минут после звонка страницу восстановили в исходном виде. Доподлинно неизвестно, повлиял ли звонок Криса или они просто закончили проверку, но я знала, что теперь ситуация под контролем.

Утром понедельника мы выпустили статью в интранете, чтобы все сотрудники узнали о случившемся в выходные. Помните, я говорила про одну из важных ценностей McAfee — всеобъемлющую открытость и прозрачность? Мы были обязаны объяснить людям, что случилось, особенно учитывая, что публикация отвратительной картинки вместо лого нашей компании затронула их личные страницы. Быть открытым и честным в неловких ситуациях очень сложно, но совершенно необходимо, чтобы жить в соответствии с ценностями.

***

Я рассказала эту историю не только потому, что она интересная, и не для того, чтобы вы подумали: «О, лучше уж она, чем я!» В ней заключается краткое содержание всего, о чем пойдет речь в этой книге, потому я и начала с нее.

Чтобы вы почувствовали, как покупка этой книги начала оправдывать себя с первой же главы, я расскажу вам, как произошел взлом и что мы делали после. И самое главное — я опишу действия, которые вы можете предпринять утром следующего рабочего дня, чтобы с вами этого не случилось.

Наученные горьким опытом

Снова получив контроль над аккаунтом, мы попросили службу поддержки социальной сети назвать имя администратора, ответственного за изменения.

Оказалось, это была сотрудница одного из наших агентств по размещению в СМИ (назовем ее Джули), которая больше не работала в компании. Ее учетные данные были украдены подростком, связанным с крупным киберпреступным синдикатом. Джули допустила ошибку, которую совершали многие до нее: проигнорировав правила цифровой гигиены, установила слишком простой пароль. Она использовала один и тот же код для доступа к нескольким учетным записям, включая профиль в этой социальной сети. И поскольку она была авторизованным администратором корпоративной страницы, ее личные учетные данные открывали доступ не только к ее профилю, но и к нашему. И когда злоумышленники взломали один из ее аккаунтов и продали данные в даркнет, хакеры просто опробовали этот пароль и в других социальных сетях. После этого они нанесли удар по корпоративной странице McAfee через административный доступ Джули. Остальное было детской забавой.

Задним умом мы все крепки, и этот случай — не исключение. Итак, уязвимость номер один: Джули использовала один пароль для своего личного и нашего корпоративного аккаунта на платформе соцсети (будучи одним из администраторов нашей страницы) — тот же, что и для других своих учетных записей. Если бы она вводила уникальные пароли, тогда данные, купленные злоумышленниками в даркнете, были бы бесполезны. Что хуже? Узнав о взломе аккаунта, Джули быстро сменила пароль. Но ей не удалось изменить его в других учетных записях, в том числе в важной для этой истории. Это ее вина.

Уязвимость номер два: мы должны были требовать двухфакторной аутентификации в социальных сетях от всех администраторов. Это означает, что для входа в систему им понадобилось бы ввести не только правильный пароль, но и одноразовый код, отправленный, например, на телефон. Если не ввести код в течение нескольких секунд или минут после попытки входа, вы не попадете в систему. Существует несколько версий этого типа аутентификации, и я, конечно, все упрощаю — но в целом все понятно. Это наша вина.

Уязвимость номер три: мы проводили проверку аккаунта недостаточно часто и не поняли вовремя, кому больше не нужен доступ. Джули работала на нас, но мы должны были исключить ее из списка администраторов после окончания проекта. Нас могли взломать и пока она активно сотрудничала с нами, но отсутствие «гигиены» только усугубило ситуацию. Это точно на нашей совести.

Все эти действия могли значительно снизить вероятность взлома. Но, допустим, каким-то невероятным образом достаточно мотивированный, везучий и даровитый хакер смог проникнуть в нашу учетную запись в соцсети. Давайте разберемся, как превентивные меры помогли бы нам после обнаружения взлома.

Мы могли разработать процедуру блокировки действий всех администраторов страницы, не позволяющую хакерам узнать, что мы в курсе атаки. Удалением бессмысленных постов мы только привлекли их внимание. А когда они увидели, как мы закрываем доступ администраторам, они стали работать на опережение.

Нам повезло, что Гэвин оказался на взломанной странице в пасхальное воскресенье. В противном случае мы могли бы не узнать об атаке так быстро. Теперь у нас есть инструмент, который использует средства машинного обучения для обнаружения необычных изображений, ненормативной лексики, оскорблений и других аномальных материалов на страницах социальных сетей. Он немедленно предупреждает нескольких членов нашей команды о такой необычной активности.

Примечание. Я не буду называть конкретный инструмент по двум причинам. Во-первых, программы приходят и уходят, у каждой из них свой уровень эффективности и каждой из них — свое время. Иными словами, в период запуска инструмент может быть очень эффективным — до тех пор пока хакеры не найдут способ его обойти. Я не знаю, когда вы будете читать эту книгу, а потому не стану хвалить то, что, возможно, больше не использую.

Вторая причина, по…