Обеспечение информационной безопасности бизнеса
Шрифт:
Дуронио был недоволен своей зарплатой, составляющей 125 000 долларов в год, возможно, это и послужило причиной внедрения «логической бомбы». Однако последней каплей для системного администратора стала полученная им премия в размере 32 000 долларов вместо ожидаемых 50 000 долларов [38, 39]. Когда он обнаружил, что его премия гораздо меньше, чем он ожидал, Дуронио потребовал от начальства перезаключить трудовой договор на сумму 175 000 долларов в год, или же он покинет компанию. В повышении зарплаты ему было отказано, кроме того, его попросили покинуть здание банка. В отместку за такое обращение Дуронио решил воспользоваться своим «изобретением», внедренным заранее, предвидя такой поворот событий.
Внедрение «логической бомбы» Дуронио осуществил с домашнего компьютера за несколько месяцев до того, как получил слишком маленькую, на его взгляд, премию. «Логическая бомба» была установлена примерно на 1500 компьютеров в сети филиалов по всей стране и настроена на определенное время — 9.30, как раз на начало банковского дня [40].
Уволился Дуронио из UBS Paine Webber 22 февраля 2002 г., а четвертого марта 2002 г. «логическая бомба» последовательно удалила все файлы на главном сервере центральной базы данных и 2000 серверов в 400 филиалах банка, при этом отключив систему резервного копирования.
Адвокат Дуронио в течение судебного процесса указывал на то, что виновником происшедшего мог быть не один только обвиняемый: учитывая незащищенность ИТ-систем UBS Paine Webber, под логином Дуронио туда мог попасть и любой другой сотрудник. О проблемах с ИТ-безопасностью в банке стало известно еще в январе 2002 г.: при проверке установили, что 40 человек из ИТ-службы могли войти в систему и получить права администратора по одному и тому же паролю, и понять, кто именно совершил то или иное действие, не представлялось возможным. Адвокат также выдвигал обвинения в адрес UBS Paine Webber и компании @Stake, нанятой банком для расследования случившегося, в уничтожении доказательств атаки. Однако неоспоримым доказательством вины Дуронио были найденные на его домашних компьютерах отрывки вредоносного кода, а в его шкафу — распечатанная копия кода.
Возможности инсайдера
Как на одного из системных администраторов компании на Дуронио была возложена ответственность за всю компьютерную сеть UBS PaineWebber, и, соответственно, он имел к ней доступ. У него также был доступ к сети со своего домашнего компьютера посредством безопасного интернет-соединения.
Причины
Как уже указывалось ранее, его мотивами были деньги и месть. Дуронио получил годовую зарплату 125 000 долларов и премию 32 000 долларов, в то время как ожидал 50 000 долларов, и таким образом отомстил за свое разочарование.
Кроме того, Дуронио решил заработать на атаке: ожидая падения акций банка в связи с ИТ-катастрофой, он сделал фьючерсную заявку на продажу, чтобы при снижении курса получить разницу. На это обвиняемый потратил 20 000 долларов. Однако бумаги банка не упали, а инвестиции Дуронио не окупились [39].
Последствия
Заложенная Дуронио «логическая бомба» остановила работу 2000 серверов в 400 офисах компании. По словам ИТ-менеджера UBS Paine Webber Эльвиры Марии Родригес (Elvira Maria Rodriguez), это была катастрофа «на 10 с плюсом по 10-балльной шкале». В компании воцарился хаос, который почти сутки устраняли 200 инженеров из IBM. Всего над исправлением ситуации работало около 400 специалистов, включая ИТ-службу самого банка. Ущерб от случившегося оценивают в 3,1 млн долларов. Восемь тысяч брокеров по всей стране вынуждены были прекратить работу. Некоторым из них удалось вернуться к нормальной деятельности через несколько дней, некоторым — через несколько недель, в зависимости от того, насколько сильно пострадали их базы данных и осуществлялось ли в филиале банка резервное копирование. В целом же банковские операции были возобновлены в течение нескольких дней, однако работа некоторых серверов так и не была восстановлена в полном объеме, в большей степени из-за того, что на 20 % серверов не было средств резервного копирования. Только через год весь серверный парк банка снова был полностью восстановлен.
При рассмотрении дела Дуронио в суде его обвиняли по следующим статьям:
— мошенничество с ценными бумагами — обвинение по данной статье влечет за собой максимальное наказание в виде лишения свободы на 10 лет в федеральной тюрьме и штрафа в размере 1 млн долларов;
— мошенничество в деятельности связанной с компьютерами — обвинение по данной статье влечет за собой максимальное наказание в виде лишения свободы на 10 лет и штрафа в размере 250 000 долларов [40].
В итоге судебного процесса в конце декабря 2006 г. Дуронио был осужден на 97 месяцев без права досрочного освобождения.
«Вымпелком» и «Шерлок»
Аннотация
С целью наживы бывшие сотрудники компании «Вымпелком» (торговая марка «Билайн») через веб-сайт предлагали детализацию телефонных переговоров сотовых операторов.
Описание инцидента
Сотрудники компании «Вымпелком» (бывшие и действующие) организовали в Интернете сайт www.sherlok.ru, о котором в компании «Вымпелком» узнали в июне 2004 г. [41]. Организаторами данного сайта предлагалась услуга — поиск людей по фамилии, телефону и другим данным. В июле организаторы сайта предложили новую услугу — детализацию телефонных переговоров сотовых операторов. Детализация разговоров — это распечатка номеров всех входящих и исходящих звонков с указанием длительности разговоров и их стоимости, используемая операторами, например для выставления счетов абонентов. По этим данным можно сделать вывод о текущей деятельности абонента, его сфере интересов и круге знакомств. В пресс-релизе Управления «К» министерства внутренних дел (далее — МВД) уточняется, что такая информация стоила заказчику 500 долларов.
Сотрудники компании «Вымпелком», обнаружив данный сайт, самостоятельно собрали доказательства преступной деятельности сайта и передали дело в МВД. Сотрудники МВД возбудили уголовное дело и совместно с компанией «Вымпелком» установили личности организаторов данного преступного бизнеса. А 18 октября 2004 г. был задержан с поличным главный подозреваемый1.
Кроме того, 26 ноября 2004 г. были задержаны остальные шестеро подозреваемых, в числе которых были трое сотрудников абонентской службы самой компании «Вымпелком». В ходе следствия выяснилось, что сайт был создан бывшим студентом Московского государственного университета, не работавшим в данной компании.
Делопроизводство по данному инциденту стало возможным благодаря вынесенному в 2003 г. определению Конституционного суда, признавшего, что в детализации вызовов содержится тайна телефонных переговоров, охраняемая законом.
Возможности инсайдера
Двое из числа выявленных среди участников инцидента сотрудников компании «Вымпелком» работали операционистами в компании, а третий являлся бывшим сотрудником и на момент преступления работал на Митинском рынке.
Работа в самой компании операционистами свидетельствует о том, что данные сотрудники имели непосредственной доступ к информации, предлагаемой к продаже на сайте www.sherlok.ru. Кроме того, так как бывший сотрудник компании уже работал на Митинском рынке, то можно предположить, что со временем одним из каналов сбыта данной информации или какой-либо еще информации из баз данных компании «Вымпелком» мог стать и данный рынок.
Последствия
Основными последствиями для компании «Вымпелком» от данного инцидента могли быть удар по репутации самой компании и потеря клиентов. Однако данный инцидент был предан огласке непосредственно благодаря активным действиям самой компании.
Кроме того, предание огласки данной информации могло негативным образом сказаться на клиентах компании «Вымпелком», так как детализация разговоров позволяет сделать вывод о текущей деятельности абонента, его сфере интересов и круге знакомств.
В марте 2005 г. Останкинский районный суд города Москва приговорил подозреваемых, в числе которых трое сотрудников компании «Вымпелком», к различным штрафам [42]. Так, организатор группы оштрафован на 93 000 рублей. Однако работа сайта www.sherlok.ru была прекращена на неопределенный срок только с 1 января 2008 г.