Когда очередной шифровальщик потрошит чей-то личный компьютер, единственное, что может полиция - получить заявление от пострадавшего. Мало кто это делает, потому что результаты обычно очевидны. И всё-таки, это дело принципа.
Неважно, упала база в маленьком интернет-магазине, или утекли миллионы пользовательских данных в гигантской корпорации: кто-то виноват, и кто-то должен нести за это ответственность.
В идеале это один и тот же человек. Кто?
Не виноватая я, он сам пришёл
“Крайним” в первую очередь назначается исполнитель. Тем более, что часто он действительно виноват. Что далеко ходить - недавнее нападение шифровальщика Petya (также известного как NotPetya, exPetr и т.д.) на системы множества компаний.
В случае с WannaCry, предшествовавшего ему глобального шифровальщика, всё было просто - кто не успел за месяц поставить свежий патч безопасности от Microsoft, тот сам виноват. С "Петей" всё было гораздо интереснее. Расследование показало: основным вектором заражения оказалось ПО M.E.Doc, украинское решение для ЮЗ ЭДО и подачи отчётности. Оказывается, на него давно жаловались пользователи антивирусов - определённые "креативные" решения авторов ПО приводили к срабатыванию антивирусных движков, а техподдержка рекомендовала антивирусы просто-напросто отключать.
Что же сделали системные администраторы соответствующих компаний? Недолго думая, добавили "медок" в белые списки. А потом встречали шифровальщика. Руководству, разумеется, обычно никто о "тонкой настройке" антивируса не сообщал - зачем? Но даже незнание не всегда освобождает от ответственности: иногда можно сослаться на гада-диверсанта, а иногда своё получают и должностные лица.
Ты начальник, я дурак
К сожалению, зачастую случается так, что назначенный "крайним" исполнитель на самом-то деле делал свою работу нормально. То есть выполнял ровно то, что входило в его должностные обязанности, и не изображал из себя многорукого Шиву, стремящегося каждую дырку заткнуть самостоятельно.
Обратная ситуация - на примере того же "медка". Сисадмин говорит гендиректору: так и так, не можем мы подать отчёт в налоговую, антивирус не даёт, это небезопасно. А гендиректор и молвит человеческим голосом: либо работать перестаёт антивирус, либо - сисадмин.
В бизнесе вообще безопасность обычно где-то там, даже не на втором, а на пятом плане. Потом, разумеется, ответственным за эпидемию назначается тот, кто "просто выполнял приказ".
Я начальник, ты дурак
А иногда этот самый "крайний" делал свою работу очень даже хорошо! “Дырку” нашёл, ответственных уведомил. Все согласны, надо чинить. Но никто ничего не делает. Письма ходят по инстанциям, ответственные занимаются исключительно тем, что перекладывают с себя ответственность, как в пресловутой истории про рекламный щит.
Иногда, как и с рекламным щитом, награда находит героя. Иногда - наоборот. Всё зависит исключительно от везения. Увы, внутрикорпоративные отношения часто основываются на принципах уровня "если это было так важно, то почему вы не убедились, что руководитель это понял?".
Рулетка! Хорошо хоть, не русская классическая.
Ты в митапе, я в скайпколле, мы не встретимся никак
Иной раз, впрочем, пресловутую дыру находит уже совершенно посторонний человек. Три самых распространенных сценария:
- Первый: компания могла участвовать в так называемых bug bounty, в рамках которых показывала область, разрешённую для исследований, и обещала платить за уязвимости. Подобный подход - серьёзный, уязвимости обычно призывают искать не для того, чтобы выкинуть деньги и результаты в корзину. Хотя и такое случается, конечно.
Либо уязвимость не кажется компании существенной (в то время как её вполне можно использовать в разрушительных целях), либо отчёт теряется или игнорируется, либо формально всё проходит хорошо, но на деле дыра остаётся не закрыта. Всякое бывает. Но если с этой дыркой случится громкая история - покатятся уже головы не только рядовых исполнителей.
- Вариант второй: компания нанимает специалистов по исследованиям в области безопасности. Те трудятся в поте лица, пишут отчёты (а это, как вам скажет любой пентестер, самое ужасное). Красиво оформленные отчёты передаются заказчику, исполнители получают достойную награду, а потом этот отчёт собирает пыль. Почему так может произойти? Ну как же! Это же сертификация! Если бизнесу нужно получить бумажку, он приложит ровно столько усилий, сколько это необходимо, и если в эти усилия не входит устранение проблем, а только формальный их аудит - значит, невидимая рука рынка просто не даст тратить лишние силы и деньги на "несущественное".
Даже самые продвинутые системы безопасности могут оказаться бесполезными, если их игнорировать. Кто виноват, если что-то случится? На сторонних специалистов тут ничего не свалишь, руководителю придётся отвечать самостоятельно.
- Третий вариант. Кто-то случайно находит дыру там, где никто слыхом ни про какие “багс банни” и “пень тесты” не слышал. Пишет, куда надо, а в ответ - тишина. Пишет ещё, в ответ тишина. Снова пишет, с тем же успехом. Расстроенный в лучших чувствах человек далее поступает в меру своей испорченности. Если у него над головой горит нимб, то он, наверное, так ничего и не сделает. Если же это человек из плоти и крови и кровь у него вскипает от несправедливости и угрозы невинному обществу, он может выложить всё в открытый доступ.
Так как серьёзных инцидентов обычно в этот момент ещё не происходит, компания сразу же быстро, решительно закрывает дырку(при этом рассказывая всем интересующимся, что дырки, во-первых, не было, во-вторых, она совершенно не опасна, а, в-третьих, эту страшную угрозу пользователям оперативно устранили). Соответственно, не отвечает за это никто - ведь проблемы-то нет, как можно за это наказывать? Вот на вредителя, обнаружившего уязвимость, можно и в суд подать.
Не будем хотя бы о совсем грустном
А ещё человек может взять и использовать найденную и проигнорированную компанией уязвимость в личных, киберкриминальных целях. Тут всё тоже зависит исключительно от способностей руководства компании к корпоративной эквилибристике. Но риск никуда не исчезает.
Кстати! Именно как оплату за исследование безопасности иногда проводят выкуп жертвы шантажа "чёрных шляп" - и это даже в каком-то, довольно извращённом смысле соответствует действительности
Надо отметить, что опасность может исходить и от бывшего сотрудника, в конце концов, скажем, сисадмин обычно имеет доступ ко всем критически важным элементам инфраструктуры, и, если прощание с компанией проходит не очень красиво, даже после увольнения доступ может никуда не деться. Менеджер по продажам, в свою очередь, может иметь удалённый доступ к базе клиентов. Специалист отдела маркетинга тоже может и данные забрать, и работу парализовать, и конфуз в плане репутации устроить.
Но это всё - инсайдерство, его мы рассмотрим отдельно. Там, по крайней мере, всегда понятно, кто виноват и что делать. Пусть даже задним числом, ведь задним умом все крепки.
Кирилл Кожевников Автор блога АйТи
Вам понравилось? Поставьте лайк и подпишитесь на новые статьи!