Очевидное удаление баз данных федеральных ведомств США в отместку после увольнения братьев-близнецов из компании онлайн-хостинга служит очередным напоминанием руководителям ИТ-отделов и HR-специалистам о необходимости внедрения строгих процедур прекращения сотрудничества для предотвращения атак инсайдеров.
Деструктивные атаки со стороны недовольных нынешних или бывших сотрудников не новы. Однако обвинительный приговор, вынесенный на прошлой неделе жюри присяжных в Вирджинии одному из братьев, поднимает ряд вопросов, которые ИТ-специалисты и генеральные директора должны держать в уме.
Федеральное жюри присяжных признало 34-летнего Сохаиба Ахтера из Александрии, штат Вирджиния, виновным по обвинениям в сговоре с целью совершения компьютерного мошенничества, незаконной торговле паролями и хранении огнестрельного оружия лицом, которому это запрещено. Приговор ему будет вынесен в сентябре. А в прошлом месяце его брат, Муниб, подписал согласованное изложение фактов об их совместной деятельности в ответ на ряд обвинений, выдвинутых против него. Но согласно документам по делу, предоставленным в архиве судебных данных The Court Listener проекта Free Law Project, Муниб теперь пытается добиться прекращения обвинений.
Тем не менее, этот инцидент побудил одного эксперта, Роберта Эндерла из Enderle Group, заявить: «Это должно послужить тревожным звонком: организациям необходимо не только ужесточить внутренний контроль, но и начать учитывать, как инструменты ИИ могут быть использованы против них, и этим инструментам ИИ нужны гораздо более надежные ограничители, чем те, что имеются в настоящее время».
Изложение фактов
Согласно изложению фактов, с которым согласился, но теперь оспаривает Муниб, он и его брат Сохаиб работали в неназванной компании в Вашингтоне, округ Колумбия, которая предоставляла программное обеспечение и услуги более чем 45 правительственным учреждениям США, включая хостинг данных для некоторых федеральных клиентов. Среди них были Комиссия по равным возможностям при трудоустройстве США (EEOC), Министерство внутренней безопасности и Налоговое управление США (IRS).
18 февраля 2025 года оба брата были уволены из компании после того, как выяснилось, что Сохаиб был осужден за тяжкое преступление девятью годами ранее. После увольнения они оба предположительно пытались нанести ущерб своему бывшему работодателю, несанкционированно получая доступ к компьютерам, удаляя базы данных и уничтожая доказательства своей работы. В своем изложении фактов в этом году Муниб признался в удалении 96 баз данных.
Как? Хотя через пять минут после увольнения в 2025 году VPN Сохаиба был отключен, и он потерял доступ к хостингу, у его брата доступ оставался. У братьев также остались ноутбуки, выданные компанией. Они отправились на работу.
В рамках их предполагаемой деструктивной работы, когда Муниб не знал необходимых команд для баз данных для достижения своих целей, он использовал инструмент ИИ, чтобы помочь себе, спрашивая: «как мне очистить системные журналы с SQL-серверов после удаления баз данных», а затем: «как очистить все журналы событий и приложений с Microsoft Windows Server 2012». В согласованном изложении фактов не уточняется, но, предположительно, инструментом ИИ был общедоступный чат-бот.
В изложении фактов Муниб согласился с тем, что он украл копии информации IRS на виртуальной машине, которая включала федеральную налоговую информацию 450 человек.
Муниб также признал, что в период с мая по декабрь 2025 года он совершал мошенничество и крал учетные данные для общедоступного портала EEOC, пытаясь получить доступ к электронной почте и другим онлайн-аккаунтам 4500 человек. В сотнях случаев он успешно входил в учетные записи электронной почты жертв без их разрешения.
Состояние атак инсайдеров
Согласно отчету State of Human Risk Report от Mimecast, 42% организаций сообщили об увеличении числа инцидентов со злонамеренными инсайдерами за последний год, при этом 42% также впервые сообщили о росте числа инцидентов по неосторожности.
В отчете этого года Института Понемона о стоимости рисков инсайдеров, заказанном поставщиком решений для обнаружения угроз со стороны инсайдеров DTEX, подсчитано, что в прошлом году инциденты обошлись организациям в среднем в 19,5 млн долларов, по сравнению с 17,4 млн долларов в 2024 году.
Основной причиной потерь в прошлом году (53%) стала халатность и ошибки, говорится в отчете. Однако второй по величине причиной стала злонамеренная деятельность (27%).
Муса Ишак, старший ведущий аналитик по угрозам со стороны инсайдеров в DTEX, заявил, что приговор прошлой недели «является ясным и отрезвляющим напоминанием о том, что увольнение — это не конец риска. Во многих случаях это его начало».
Момент прекращения сотрудничества — «одно из самых опасных окон в положении безопасности любой организации», — сказал он, — «и оно по-прежнему недооценивается. Каждый увольняющийся сотрудник, независимо от того, уходит ли он по собственному желанию или уволен, представляет собой активное рисковое событие, которым необходимо управлять в режиме реального времени. Это означает немедленную отмену доступа, прекращение активных сеансов и активный мониторинг, а не контрольный список, заполняемый на следующий день. Когда эти шаги не выполняются или когда остается открытым хотя бы один путь доступа, последствия могут быть катастрофическими, как показывает этот случай».
«ИИ не дал злоумышленникам новой возможности»
Не менее важно, добавил он, то, что этот случай раскрывает о роли ИИ в ускорении угроз со стороны инсайдеров. «ИИ не дал им новой возможности; у них уже был доступ и намерение. Он лишь сжал их цикл принятия решений, превратив то, что могло занять несколько минут исследования, в секунды исполнения. Новая реальность угроз заключается в том, что ИИ не создает злонамеренных инсайдеров, но он резко усиливает то, чего они могут достичь, прежде чем защитники смогут отреагировать».
В результате организации должны перейти к проактивным и адаптивным к риску стратегиям безопасности, сказал Ишак. Привилегированный пользователь, запрашивающий у инструмента ИИ с помощью компьютера, принадлежащего компании или контролируемого ею, информацию о методах уклонения от ведения журналов, одновременно выполняя деструктивные команды на производственных серверах, является сигналом эскалации, сказал он. «Видимость поведения, а не только технические средства контроля, позволяет командам безопасности обнаружить эту закономерность и действовать до того, как удаление перерастет в разрушение», — отметил он.
«Этот случай — превью того, как выглядят угрозы со стороны инсайдеров в мире, где доминирует ИИ, с точки зрения скорости, сложности отслеживания и гораздо более серьезных последствий при наличии пробелов в управлении», — сказал он. «Следовательно, основы, включая строгий контроль доступа, протоколы немедленного прекращения сотрудничества и многоуровневый мониторинг привилегированных пользователей, никогда не были столь критичными».
«Хрестоматийный пример» необходимости переосмысления процессов
Эндерл согласился. Он заявил, что этот инцидент — «хрестоматийный пример того, почему нам необходимо переосмыслить скорость и процесс наших процедур прекращения сотрудничества. Тот факт, что бывший сотрудник смог получить доступ и удалить государственные базы данных после увольнения, указывает на колоссальный провал в базовом контроле доступа. В современном предприятии отзыв доступа должен быть мгновенным, автоматическим и всеобъемлющим; любой разрыв между увольнением и блокировкой — это окно для значительной ответственности».
Самым тревожным аспектом, добавил он, является роль, которую сыграл ИИ. «Использование инструмента ИИ для получения инструкций по очистке системных журналов — это явный сигнал того, что порог входа для изощренного цифрового саботажа снижается», — сказал Эндерл. «Мы вступаем в эпоху, когда ИИ может выступать в качестве мультипликатора силы для злонамеренных намерений, облегчая людям сокрытие следов. Даже защиты ИИ могут быть обойдены. Я видел демонстрацию на YouTube на днях, где пользователь просто повторил вопрос общедоступному ИИ о приготовлении бомбы до тех пор, пока ИИ не сдался, сказав «Нет», и предоставил ответ».
Запросы вроде «Как очистить журналы SQL» имеют законные административные цели, признал он. Но, добавил он, поставщики ИИ должны выйти за рамки простого фильтрования по ключевым словам и внедрить ограничители, осведомленные о намерениях, которые могут идентифицировать цепочки атак.
«Когда последовательность запросов переходит от технического любопытства к плану по уничтожению улик и сокрытию журналов, ИИ должен распознать злонамеренный контекст и отклонить запрос», — утверждал Эндерл.
«В конечном счете», — предупредил он, — «если поставщики ИИ не возьмут на себя ответственность за предотвращение превращения своих платформ в руководство «Как сделать» для преступной деятельности, они рискуют столкнуться с регуляторным противодействием и потенциальной гражданской и уголовной ответственностью, которая может задушить ту самую инновацию, которую они пытаются продвигать».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
