Wprowadzenie: Przygotowanie sceny
Claude Carpenter, lat 20, został zatrudniony przez znanego wykonawcę w dziedzinie obronności 13 marca 2000 r., Aby służyć jako gospodarz sieciowy i administrator systemów w niepełnym wymiarze godzin na trzech serwerach IRS znajdujących się w bezpiecznym obiekcie w centrum komputerowym Departamentu Skarbu znajdującym Nowy budynek federalny Carrollton w Lanham w stanie Maryland. Ten system śledzi zapasy sprzętu i oprogramowania w IRS. W ciągu kilku dni od rozpoczęcia pracy Carpenter miał kłopoty. Częste konflikty z przełożonym i rówieśnikami, późne przyjazdy do pracy i nieodpowiednie komentarze rasowe odstręczyły go od współpracowników. Carpenter nadużył również swoich uprawnień dostępu do systemu, próbując zaimponować pracownikom ochrony komputerów IRS swoją zdolnością do wykrywania i podłączania luk w zabezpieczeniach. Jednak wiele z tych wysiłków przyniosło efekt przeciwny do zamierzonego, ponieważ Carpenter zamknął porty dostępu zaprojektowane tak, aby były otwarte dla użytkowników systemu. Podczas spotkania ze swoim przełożonym 18 kwietnia 2000 r. Dotyczącym jego słabych wyników w pracy, Carpenter podobno stał się wrogi, a jego szef skierował sprawę do kierownika projektu, który poinformował Carpentera, że wszelkie dalsze trudności z jego postawą lub wynikami będą skutkować zwolnieniem. Jednak między 20 kwietnia a 17 maja 2000 roku Carpenter siedem razy spóźniał się do pracy i miał inne osobiste konflikty. W rezultacie kierownictwo zdecydowało się ograniczyć jego pracę i dostęp do systemu. W dniu 18 maja 2000 r., W następstwie sporu między Carpenterem a współpracownikiem, jego przełożony przygotował projekt pisma o zwolnieniu i wysłał go w górę hierarchii służbowej. Nie wydrukował listu, nie dał go Carpenterowi ani nie poinformował Carpentera o jego istnieniu. 18 maja 2000 Carpenter został przydzielony do zmiany od 14:00 do 12:30 na jednym z serwerów. Użył go do zalogowania się na serwerze, z którego został zbanowany, i otwarcia pliku hosta, aby uzyskać dostęp do roota. Następnie uzyskał dostęp do profilu komputera swojego przełożonego i zredagował go tak, aby częściowo brzmiał:
„Czy nie czujesz się jak głupek – kiedy siedzisz tutaj na swoim grubym tyłku, cała twoja sieć jest pieprzona… Ruchanie połączenia zakończone… Pieprzenie się z niewłaściwymi ludźmi donikąd cię nie zaprowadzi. To jest przykład nr 1 ”.
Wstawił także kilka wierszy destrukcyjnego kodu komputerowego, a następnie „zakomentował” kod w profilu swojego przełożonego, aby nie mógł zostać wykonany. Następnie Carpenter umieścił te same wiersze aktywnego kodu destrukcyjnego na kilku innych serwerach i ustawił go na wykonanie, gdy ilość danych osiągnęła wyznaczony poziom. Następnie próbował ukryć swoje działania, wyłączając wszystkie dzienniki systemowe, usuwając pliki historii i starając się nadpisać destrukcyjny kod po wykonaniu, aby uniemożliwić administratorom ustalenie, dlaczego dane zostały usunięte.
„Bill” był 37-letnim technikiem automatyki oraz bezpieczeństwa i sterowania
Oficer w zakładzie przetwórstwa ropy naftowej w południowych Stanach Zjednoczonych. Był odpowiedzialny za konserwację i naprawę wszystkich pneumatycznych, elektronicznych, komputerowych systemów sterowania procesami oraz systemów kriogenicznych online w zakładzie. Ściśle współpracował z zespołami elektrycznymi, pomiarowymi i inżynierskimi zakładu, aby zapewnić optymalne warunki przetwarzania. Nowy przełożony Billa, obawiając się, że zakład może zostać zamknięty, jeśli nie nastąpi poprawa wydajności, szukał ściślejszej kontroli nad godzinami pracy i nadgodzinami Billa i zmusił go do delegowania odpowiedzialności na innych. Bill stawiał opór tym staraniom, odmawiając umawiania się na spotkania z przełożonym i poprawiania swojej współpracy z pracownikami. Pod koniec stycznia 1995 roku Bill zaatakował ustnie lidera zespołu za zachowanie się jak dyktator i wypadł z zebrania. Następnego dnia słownie znęcał się nad dwoma współpracownikami pracującymi przy naprawie zakładu zatwierdzonej przez lidera zespołu, z którym się nie zgadzał. Na spotkaniu zespołu, o które poprosił Bill następnego dnia, ponownie zaatakował lidera zespołu za nieodpowiednie procedury techniczne i stwierdził, że „nie potrzebujemy trenera piłki nożnej do trenowania drużyny piłkarskiej”. W dniu 14 lutego 1995 roku Bill został poddany postępującej dyscyplinie i otrzymał pisemne ostrzeżenie o niezadowalających wynikach. Raport zarzucił mu, co następuje:
* Ukrywanie istotnych informacji przed innymi członkami zespołu
* Przejmowanie odpowiedzialności innych, zamiast trenowania ich w procesie rozwiązywania problemów
* Składanie negatywnych oświadczeń dotyczących wyników innych członków zespołu
* Wyskakiwanie ze spotkań
* Nękanie i zastraszanie członków zespołu oraz używanie wulgarnego i obraźliwego języka
* Brak poprawy umiejętności komunikacji, pracy zespołowej i słuchania pomimo wcześniejszych ostrzeżeń
Bill został zawieszony z wynagrodzeniem na cztery dni i polecono mu opracować plan poprawy wyników i zmierzyć postępy w tych kwestiach. Kiedy jego wyniki nie uległy poprawie i pojawiły się dalsze problemy, Bill otrzymał końcowe pisemne ostrzeżenie o niezadowalającej wydajności pracy w dniu 27 kwietnia 1995 r. Został zawieszony bez wynagrodzenia na tydzień i poinstruowany, aby powstrzymać się od jakichkolwiek kontaktów z personelem zakładu lub czynnościami związanymi z pracą.
W liście tym w szczególności cytowano go za to, że nie wprowadził ulepszeń wymaganych w jego liście z lutego, w tym dalsze wstrzymywanie informacji, przeciwstawianie się nakazom uzyskania zgody na pracę w godzinach nadliczbowych oraz nie wprowadzanie ulepszeń w zakresie bezpieczeństwa zakładu i procedur zarządzania zalecanych przez konsultanta. W piśmie stwierdzono, że wszelkie dalsze problemy skutkowałyby natychmiastowym zwolnieniem. Wkrótce po otrzymaniu tego listu Bill odmówił członkowi zespołu zajmującego się jego zadaniem kluczowym hasłem do systemu bezpieczeństwa zakładu. W miarę upływu czasu bez dostępu zespołu do tego systemu, rzeczywiste zagrożenie dla zakładu wzrosło. Dopiero gdy z Billem skontaktował się w domu starszy pracownik, podał to hasło. W tym okresie zawieszenia Bill był również zamieszany w dwa działania mające na celu ukazanie niezdolności jego nowego przełożonego do pomyślnego kierowania zakładem. Pierwsza z nich dotyczyła manipulacji skomputeryzowanymi mechanizmami bezpieczeństwa i kontroli zakładu z odległego miejsca, aby wywołać kryzys. polegała na współpracy z innym pracownikiem, który podzielał frustrację Billa z nowym menedżerem, aby ponownie wpłynąć na mechanizmy bezpieczeństwa i kontroli, aby wywołać kryzys. Obydwa te działania miały na celu wykazanie niezdolności przełożonego do zarządzania zakładem bez udziału Billa. Jednak te środki zostały rozwiązane bez udziału Billa. Działania Billa podczas zawieszenia spowodowały wspólne zbadanie jego zachowania i jego wpływu na członków zespołu i produktywność zakładu. W porozumieniu z pracownikiem ochrony / zdrowia psychicznego zespół odkrył również, że Bill wykonał następujące czynności:
* Rozpowszechniaj uwłaczające plotki dotyczące jego przełożonego
* Wykorzystywane werbalnie zewnętrzne pracownicy i dostawcy napraw
* Robił niechciane seksualne zaloty i prześladował współpracownika
* Wystawiali słowne groźby wobec współpracowników
* Doszło do wojowniczej konfrontacji ze współpracownikiem na spotkaniu grupowym wymagającym fizycznej interwencji ze strony innych w celu uniknięcia przemocy
* Został zawieszony dwa lata wcześniej za przyniesienie pistoletu na miejsce pracy
* Niedawno kupiłem magazynek na 30 nabojów do karabinu półautomatycznego
* Został poproszony o opuszczenie majątku współpracownika po strzeleniu z karabinu do wizerunku swojego przełożonego.
Wywiady ze współpracownikami ujawniły ponadto, że:
* Wielu z nich obawiało się o swoje bezpieczeństwo z powodu jego złości.
* Znajomy uznał go za „chorego i potrzebującego pomocy”.
* Inny przyjaciel obawiał się, że jego złość, nadużywanie alkoholu, impulsywność i dostęp do broni mogą doprowadzić do katastrofy.
* Inny kolega opisał go jako „przeglądającego cię”.
* Przyjaciel wyraził zaniepokojenie, że znęcał się słownie i fizycznie wobec swojej żony przechodzącej chemioterapię.
* Znajomy opisał go jako coraz bardziej odizolowanego od kontaktów towarzyskich.
Carpenter i Bill to dwie wybrane spośród kilkudziesięciu przypadków poufnych informacji, które były przedmiotem badań i / lub konsultacji w ciągu ostatnich 10 lat. W tym rozdziale wykorzystano te i inne przypadki, aby zbadać wyzwania związane z zarządzaniem zagrożeniami wewnętrznymi. zapobieganie, wykrywanie i zarządzanie oraz śledzenie przypadków Carpentera, Billa i innych rzeczywistych przypadków wewnętrznych w miarę ich ewolucji. Dla tego cel, prewencja odnosi się do polityk i praktyk wpływających na selekcję i selekcję pracowników oraz ich przydział do zadań. Zapobieganie obejmuje również polityki i praktyki mające na celu powstrzymanie takich zachowań, takie jak edukacja i szkolenia uświadamiające. Wykrywanie odnosi się do zasad lub praktyk, które zwiększają prawdopodobieństwo, że pracownik narażony na takie czyny zostanie zauważony przez personel, który może interweniować. Kierownictwo odnosi się do sposobu, w jaki postępuje się z personelem narażonym na ryzyko w celu zmniejszenia ryzyka ataku wewnętrznego lub zmniejszenia skutków czynu, gdyby miał miejsce. Wnioski i zalecenia zawarte w tym rozdziale są częściowo oparte na przeglądzie 40 spraw wewnętrznych dla Departamentu Obrony przeprowadzonych w latach 1998–2000, a także na dogłębnej analizie 10 dodatkowych przypadków objętych w latach 2001–2003. oparty na 16-letniej praktyce psychologa klinicznego, który pracuje bezpośrednio z pracownikami znajdującymi się w trudnej sytuacji i konsultuje się z firmami odpowiedzialnymi za bezpieczeństwo, personelem i kierownikami operacyjnymi w celu oceny i kierowania ich zarządzaniem i leczeniem, od bezpiecznego zakończenia leczenia po rehabilitację. Doświadczenie to obejmowało również bezpośrednie konsultacje z bezpieczeństwem korporacyjnym i organami ścigania przy ocenie i zarządzaniu zagrożeniami internetowymi ze strony osób z wewnątrz i z zewnątrz. Jednak badania te nie mają na celu przedstawienia profilu poszczególnych osób z informacjami poufnymi. Zjawisko to jest zbyt skomplikowane i interaktywne dla takich „srebrnych kul”. Nasze badania konsekwentnie wykazały, że historia insidera, jego droga do ataku, jest konsekwentnie napędzana przez zwroty akcji, które obejmują interakcje z otaczającym personelem, instytucjami i społeczeństwem. Aby wnieść wkład w zapobieganie, wykrywanie i zarządzanie osobami niejawnymi, skupiliśmy się jednak na prezentacji informacji poufnych w miejscu pracy, zwłaszcza na jego interakcji z rówieśnikami, przełożonymi i stosowaną technologią.