Рустэм Хайретдинов. Кто главный бенефициар панамского Офшоргейта

Пока деловые и общественно-политические издания продолжают обсуждать содержание панамских документов, важнейший аспект самой крупной утечки конфиденциальных документов остаётся за кадром. Кто и, главное, каким образом смог незаметно для службы информационной безопасности регистратора Mossack Fonseca украсть такой огромный массив данных?

Какие именно люди или организации стоят за этой атакой, мы можем никогда не узнать, но для ответа на вопрос, как мог быть организован взлом, информации уже достаточно. В этом смысле главный бенефициар Панамагейта — индустрия кибербезопасности. Теперь никто не сможет утверждать, что мы продаём воздух и боремся с ветряными мельницами.

Разумеется, я знаком с «инсайдерской версией», которой поделился финансовый консультант Кеннет Риджок, сославшись на собственные источники в Панаме. По его словам, документы журналистам слила бывшая сотрудница Mossack Fonseca. Якобы её роман с партнёром компании закончился настолько неудачно, что женщина решила отомстить. В пользу этой теории говорит объём похищенных файлов. Если бы 2,6 Тбайт данных выводили быстро, биллинг показал бы большой исходящий трафик, что для юридической компании аномалия.

Таким образом, внешний нарушитель, чтобы не выдать себя, должен был работать в течение нескольких лет, накапливая и систематизируя документы, но у доверенного сотрудника (или сотрудницы) вполне могла появиться возможность незаметно вывести сразу очень большой объём информации.

Это серьёзные аргументы в пользу версии об инсайдере (неважно, была это брошенная любовница или кто-то ещё), однако из появившихся вскоре после обнародования панамских документов данных следует, что компания защищала очень чувствительную информацию своих клиентов настолько плохо, что за утечкой вполне могут стоять киберпреступники. Более того, даже если в данном случае обошлось без хакеров, рано или поздно они всё равно должны были воспользоваться беспечностью панамцев.

В официальных заявлениях Mossack Fonseca, кстати, говорится, что утечка произошла как раз в результате хакерской атаки. И действительно, информационная система компании имела очень серьёзные уязвимости, которые позволяли добраться до ценной информации.

Тысячи клиентов со всего мира доверяли Mossack Fonseca очень чувствительную информацию, которая может оказать разрушительное воздействие на их положение, состояние и даже жизнь. Однако защитой этих данных, как мы теперь знаем, занимались всего несколько человек, которые к тому же выполняли свою работу, мягко говоря, безалаберно.

Оказывается, регистратор использовал устаревшую версию системы управления контентом Drupal, у которой есть не менее 25 уязвимых мест — в том числе такие, которые позволяют злоумышленнику запустить на сайте произвольный код и собрать конфиденциальные данные. Эта важнейшая система в Mossack Fonseca не обновлялась три года, платформа для управления сайтом — два года, Outlook — три года.

Если похищать документы неторопливо, в течение многих месяцев, не создавая аномалий в скачиваемом трафике, а просто присоединяя к легально скачиваемым документам несколько похищаемых, биллинг мог ничего необычного показать. Впрочем, судя по состоянию информационной системы компании, никто бы, скорее всего, не стал внимательно исследовать исходящий трафик.

Мотивы у взломщиков могли быть какие угодно. Я, например, вообще считаю, что за операцией стоят спецслужбы, которые обладают неограниченными ресурсами на вербовку инсайдеров и поиск ключей для взлома системы, используют новейшие образцы кибероружия, экспериментируют с социальной инженерией и другими недоступными «простым» киберпреступникам инструментами. Но кто бы ни стоял за атакой, бизнес, имеющий дело с конфиденциальной информацией, должен пересмотреть своё отношение к защите данных.

Что такое информационная система юридической компании вроде Mossack Fonseca? Компьютеры по числу работников, несколько серверов, сайт с личными кабинетами клиентов, система документооборота, доступ в интернет, электронная почта — ничего особенного.

Что говорит клиентам продавец юридических услуг? «У нас надёжнее, чем в Форт-Ноксе!» Что думает финансовый директор, выделяя бюджет на информационную безопасность? «Да кому мы нужны?» Эта разница между уровнем информации и уровнем её защиты и порождает инциденты вроде того, который мы сейчас обсуждаем.

Если вы храните документы, которые могут заинтересовать конкурентов (и тем более, если вы имеете дело с данными, за которыми охотятся могущественные разведслужбы), нужно строить эшелонированную оборону, сочетающую новейшие технологии защиты, организационные меры и кропотливую работу с кадрами, отслеживание контактов сотрудников, их поведение вне компании.

В современном мире базовая защита — антивирус, межсетевой экран, резервное копирование — уже не способна обеспечить безопасность ценных информационных активов. Она в лучшем случае защитит от случайных атак или компьютерных хулиганов.

Настоящие злоумышленники старательно изучают объект атаки и используют уязвимости и другие особенности конкретных информационных систем (атаки на прикладном уровне), а также учитывают специфику и недостатки базовых средств защиты.

Чтобы защититься от атак, понадобятся регулярные тестирования вашей информационной системы, постоянные учения среди персонала и дополнительные системы зашиты — различные системы анализа защищённости, межсетевые экраны прикладного уровня и системы противодействия целенаправленным атакам.

Надёжная защита будет стоить в несколько раз (а может, и на порядок) дороже базовой, но, если вы храните ценную информацию, придётся раскошелиться.

Где взять деньги? У клиентов, разумеется. Если они действительно хотят сохранить свою конфиденциальность — заплатят. Если пожалуются на то, что вы берёте дорого, скажите, что знаете, где их обслужат дешевле. Например, в Mossack Fonseca.

Фотография на обложке: Timo Toropainen / Flickr / CC BY-SA 3.0