Подряд самоубийц: как компании несут ИБ-ущерб из-за контрагентов

Что в зоне риска?

Харольд Мартин, экс-подрядчик Агентства национальной безопасности США, забирал домой секретные документы, с которыми не успевал закончить работу в офисе. Нарушение дисциплины казалось безобидным, пока не переросло в маниакальную страсть. Обнаружить странное хобби удалось благодаря «Лаборатории Касперского»: мужчина связался с компанией через Twitter и намекнул, что располагает целым архивом закрытой информации, которую готов продать. Вместо покупателей к Мартину пришло ФБР и во время обыска обнаружило целые кипы секретных бумаг в сарае на заднем дворе. Кроме того, на личных устройствах Мартина лежали 50 терабайт правительственных данных с грифами «конфиденциально», «секретно» и «совершенно секретно».

Но чаще уязвимая точка – незащищенные серверы компаний. Калифорнийский стартап At The Pool, занимавшийся разработкой приложений для Facebook, прогорел и закрылся, а рабочая информация о 22 тыс. пользователей осталась на серверах «без присмотра». В открытом доступе оказались списки друзей, интересы, фотографии, информация о членстве в группах и сообществах. Еще больше персональных данных по заказу Facebook собрала мексиканская компания Cultura Colectiva. Массив из 540 млн учетных записей пользователей хранился без пароля на сервере Amazon. ИБ-специалисты, обнаружившие уязвимость, прогнозируют Facebook репутационные потери, сравнимые с прошлогодним скандалом Cambridge Analytica.

На таком же сервере хранились персональные данные 14 млн клиентов американской телекоммуникационной компании Verzion, которые утекли в сеть в 2017 году. Виноват снова оказался подрядчик. Израильская фирма NICE Systems вела журнал звонков клиентов Verzion, но неправильно настроила защиту репозитория. Интересно, что NICE Systems – вендор аналитического ПО для колл-центров, которое должно обеспечивать защиту данных. После инцидента компании пришлось отстаивать репутацию и доказывать, что виноват не софт, а человеческий фактор.

Он же привел к громкому скандалу в штабе Республиканской партии накануне выборов президента США 2016 года. Республиканский национальный комитет обратился в аналитическую компанию Deep Root Analytics, чтобы составить базу данных избирателей. Подрядчик хранил информацию в облаке, но ответственные сотрудники не установили пароль. В итоге данные 198 миллионов американцев оказались в свободном доступе в Сети. Это почти 80% граждан США, имеющих право голоса. Утекли имена, даты рождения, адреса, информация о политических предпочтениях общим весом 25 терабайт. После обнаружения проблемы компания признала вину и оперативно устранила уязвимость.

Кто расплачивается?

Самые серьезные последствия ждут нарушителей, допустивших утечки секретных правительственных данных: всех без исключений отправляют под суд. Герой «бумажного» скандала с АНБ Харольд Мартин, которому за странное хобби грозит 9 лет тюрьмы, пока только ждет приговора, а вот Риэлити Ли Уиннер уже получила пять лет и три месяца тюремного заключения. Девушка работала в Pluribus International Corporation.

Компания стабильно сотрудничала с АНБ в обработке секретных данных и должна была тщательно проверять доступ сотрудников к этой информации. Своим доступом Уиннер решила распорядиться необычно и передала СМИ секретный доклад разведчиков о «деятельности российских военных хакеров» в ходе президентской кампании-2016.

Без сантиментов расстается с проштрафившимися подрядчиками и Пентагон. Неназванная компания хранила личную информацию, данные о поездках и платежных картах сотрудников Минобороны США. По недосмотру из этой базы в Сеть утекли данные 30 тыс. гражданских и военных служащих. Критических последствий инцидент не повлек, но министерство объявило о прекращении отношений с подрядчиком несмотря на недавно продленный контракт.

Вскоре в США и вовсе могут ввести уголовную ответственность для топ-менеджмента компаний, которые допустили или не предотвратили утечки. Хотя законопроект, предложенный сенатором Элизабет Уоррен, пока расплывчатый, предполагается, что компании-гиганты с оборотом более 1 млрд долларов будут расплачиваться и за то, что не доглядели за сторонними организациями, которым предоставили доступ к данным.

А вот в Австралии нравы мягче. По вине неназванного подрядчика произошла утечка персональных и платежных данных более 50 тыс. госслужащих. Прессе сообщили, что скомпрометированные данные были резервными копиями, а большинство информации давно утратило актуальность. Организации, чьи сотрудники пострадали больше всего, – в том числе Министерство финансов, Австралийская избирательная комиссия и Национальное агентство по страхованию от несчастных случаев – неожиданно отказались наказывать подрядчика.