Корпоративный шпионаж обычно остаётся для большинства людей за кадром: видно, что что-то происходит, но никто не понимает, что именно. Рассказываю, какие компании рискуют понести потери из-за шпионов.
Корпоративный шпионаж: сюжет фильма или реальность
Вечер. Собственник направляется к выходу из офиса, мимо проходит мужчина в дорогом костюме. Всех сотрудников знать в лице невозможно — скорее всего, это новый продажник. Дойдя до машины, собственник понял, что забыл в офисе важную вещь. Вернувшись, услышал под столом шорох: в его портфеле рылся тот самый мужчина из коридора.
Это не сюжет нового сериала, а реальность одной российской компании. Корпоративный шпионаж реален, он трансграничный и угрожает практически каждой организации. Особенно в сферах Oil&Gas, инвестиций и технологий.
Шпионаж там, где большие деньги. Шпионить за конкурентам или перспективными разработками — будни корпораций
Шпионаж популярен там, где большие деньги. Это индустрия, где сильно переплетаются криминал и бизнес. Шпионить за конкурентами или перспективными разработками в других странах — будни корпораций, никто этому там не удивляется.
Задача шпионажа
Она состоит в том, чтобы дать собственникам и топ-менеджменту актуальную информацию заранее, чтобы они принимали решения до того, как будут в курсе остальные участники рынка.
Однако угрозы реальны и для небольших компаний, если в их распоряжении есть интересные для корпораций технологии. Развитие интернета и всеобщая цифровизация делают корпоративный шпионаж всё разнообразнее.
Какие компании уязвимы перед корпоративным шпионажем
Если отвечать кратко, любая компания уязвима: вопрос в ресурсах шпионов и времени. Меры защиты сводятся к удорожанию атаки, сделать её экономически нецелесообразной — действительная цель компании.
Вот, какие черты компании делают корпоративный шпионаж проще для злоумышленников.
Нет отдела информационной безопасности. Если в компании нет отдельного департамента, занимающегося охраной данных компании, риск подвергнуться атаке увеличивается.
Кроме того, перекладывание обязанностей специалистов по кибербезопасности на IT-отдел не помогает уменьшить этот риск: создавать инфраструктуру и исключать уязвимости должны разные команды.
Не проводятся тесты на проникновение. Тестирование на проникновение, он же пентест (Penetration Testing; Pentest) — это способ проверки защищенности компании через моделирование действий злоумышленника. Тест имитирует атаку, но без причинения ущерба и вреда компании.
Если компания экономит на таких мероприятиях, она не знает о своих уязвимостях и предоставляет злоумышленникам шанс их найти первыми.
Нет плана на случай кибер инцидентов. Система мониторинга и обнаружения вторжений помогает компании быстро обнаружить атаку. Однако если нет логирования событий и бэкапирования, работа компании под угрозой: невозможно будет быстро восстановить работу, если информация не была сохранена.
Компании, использующие нелицензионные программы. Нелицензионный софт представляет угрозу не только в сфере интеллектуального права. Основная проблема такого софта в том, что в публичный доступ обычно выкладывается взломанная программа, в которую часто встраивают вредоносный код. Бесплатный сыр — только в мышеловке.
А ещё, нелицензионный софт не обновляется, а значит, не предохраняет от новых угроз и уязвимостей.
Удобство сотрудников важнее безопасности. Бухгалтерам, юристам и другим сотрудникам может быть неудобно раз в несколько месяцев менять пароли на корпоративных аккаунтах. Однако это нужно, чтобы защитить компанию от кибератак.
Без специальных политик, где записаны требования к паролю и регулярность его обновления, аккаунт любого сотрудника под угрозой.
Любой сотрудник — хозяин рабочего компьютера. С админскими правами можно установить любой софт, в том числе вредоносный. В том случае у злоумышленников будет больше шансов захватить всю внутреннюю сеть.
Административные права на компьютер должны быть только у сисадмина. А у остальных сотрудников — пользовательские. Тогда при атаке на компьютер одного сотрудника хакерам будет сложнее добраться до остальных.
Работает в высококонкурентной среде с большими прибылями в сфере. Если очень много компаний борются за ограниченные ресурсы — будь то нефть или ценные специалисты, — высока вероятность недобросовестной конкуренции.
Кроме того, риск повышается с уровнем цифровизации компании. Чем больше IT-структура, тем больше потенциальных уязвимостей для кибератаки и шпионажа.
Как защититься от корпоративного шпионажа
Инвестиции в информационную безопасность — скорее необходимость. И всё больше крупных, средних и небольших компаний это понимают.
В банковской сфере компании обязаны делать проверки два раза в год, для остальных нормальной практикой будет проверка раз в год
Наймите как минимум одного специалиста в штат или команду на аутсорс, которые регулярно будут искать уязвимости и предлагать решения по их устранению. Пентесты — имитация атаки — опишут путь потенциального злоумышленника и дадут актуальную диагностику защищенности бизнеса. В банковской сфере такие проверки компании обязаны делать 2 раза в год, для остальных нормальной практикой будет проверка 1 раз в год.
Ещё один важный шаг — ввести тренинги для сотрудников компании по корпоративной безопасности. Чем больше специалисты будут знать о признаках атаки и о первоочередных действиях, тем меньше шансов, что реальные хакеры доберутся до нужной информации.
Вместо вывода: ещё одна история корпоративного шпионажа
Дочь владельца крупной компании, представленной на Лондонской и Нью-Йоркской биржах, занимала в ней топ-менеджерскую позицию. Выяснилось, что логин и пароль от её электронной почты скомпрометированы, и кто-то читает всю переписку — есть факт корпоративного шпионажа.
Вместо того чтобы просто поменять пароль, компания решила узнать, кто за этим стоит. Нашей команде Practical Security Lab нужно было собрать максимум информации о злоумышленниках. Мы быстро поняли, что вся активность шла с анонимных иностранных адресов, с которыми ничего не сделать. Решили ловить «на живца».
Мы решили ловить «на живца»: создали сайт, имитирующий компанию по установке систем видеонаблюдения и начали переписку с фейковой фирмой
Создали сайт, имитирующий компанию по установке систем видеонаблюдения. Со скомпрометированного адреса дочери владельца начали переписку с фейковой фирмой. В течение недели команда разыгрывала придуманную легенду: женщине нужно скрытно установить в кабинете главного бухгалтера компании камеру высокого разрешения, при помощи которой можно было бы видеть содержимое документов. Подрядчиком по установке камеры якобы должна была выступить та самая несуществующая компания.
Расчёт был на то, что хакеры, скомпрометировавшие почту, не пройдут мимо возможности получить больше информации и будут ждать инструкции для доступа к камере в кабинете бухгалтера. Так и получилось: в какой-то момент фейковая фирма прислала на скомпрометированную почту «приложение для подключения», которое скачали и запустили злоумышленники. Это был софт, предоставляющий нам полный доступ к их компьютеру.
За три минуты мы скачали информацию о сетевых подключениях и другие метрики, а также некоторые файлы. Данные помогли установить связь взлома электронной почты со службой внешней разведки одной очень известной страны. Заказчик уже предполагал кто стоит за атакой, но хотел получить подтверждение этому другим путём, в чём мы и помогли.
А у вас были истории, связанные с корпоративным шпионажем?