Ta sekcja koncentruje się na kluczowych aspektach zapobiegania przypadkom z wykorzystaniem informacji poufnych, w szczególności na sprawdzaniu kandydatów do zatrudnienia oraz edukacji przełożonych i współpracowników w zakresie oznak ryzyka. Jednak wiele wcześniejszych badań dotyczących kontroli pracowników, wykorzystywania informacji poufnych i szpiegostwa wskazuje, że wielu pracowników odczuwało niezadowolenie po satysfakcjonujących okresach zatrudnienia. wcześniejsze niewłaściwe użycie komputera lub inne naruszenia. Niemniej jednak skuteczne zarządzanie zagrożeniem wewnętrznym zaczyna się od podstawowych środków zapobiegawczych.
Screening i jego słabości
Claude Carpenter wypełnił wniosek o formalne sprawdzenie przeszłości przed podjęciem pracy w IRS. Ale zapotrzebowanie na personel IT było tak pilne, że pozwolono mu rozpocząć pracę przed zakończeniem kontroli. Do czasu, gdy recenzja wróciła do rekomendacji przeciwko zatrudnianiu, Carpenter podjął już próbę sabotowania serwerów i został rozwiązany. Rekomendacja przeciwko zatrudnianiu wynikała z wcześniejszych wyroków skazujących związanych z używaniem i sprzedażą narkotyków. Dopiero po dochodzeniu w sprawie jego sabotażu w IRS odkryto, że podobno został zwolniony z poprzedniego zatrudnienia w Patmos International Corporation za używanie i sprzedaż narkotyków, a także nadużywanie systemu komputerowego. Według badacza Carpenter wprowadził wiele tylnych drzwi do systemu Patmos po swoim przybyciu. Kiedy podobno pojawiły się problemy z personelem i dowiedział się, że zostanie zwolniony, zamknął system i szantażował firmę, aby zapłaciła mu za powrót i przywrócenie działania systemu. Ponadto śledczy poinformował, że Carpenter próbował podobnych naruszeń u jeszcze wcześniejszego pracodawcy, Comcast Cable. Jego przełożony dowiedział się również, że w czasie, gdy był zatrudniony do pracy dla wykonawcy IRS, FBI prowadziło aktywne dochodzenie w sprawie jego działalności na Patmos. Warto zauważyć, że Patomos podobno zbankrutował częściowo z powodu działalności Carpentera. Chociaż kontrola pracowników może być główną zaporą ogniową przeciwko zatrudnianiu krytycznych pracowników z historią czynników ryzyka, nie jest to panaceum. W przypadku Carpentera opóźnienie między podjęciem pracy a zakończeniem badań przesiewowych zapewniło mu mnóstwo czasu na niebezpieczną degenerację zatrudnienia. Ponadto standardowa kontrola może ujawnić naruszenia prawa, skargi cywilne i długi, ale rzadko ujawni naruszenia hakerskie, które nie były ścigane, a tym bardziej aktywne zaangażowanie w społeczność hakerów. Niepowodzenie w sprawdzaniu pod kątem powiązań hakerów lub nie ściganych przestępstw hakerów stanowiło również problem w dwóch innych przypadkach, które szczegółowo zbadaliśmy dla Centrum Badań nad Bezpieczeństwem Personalnym Departamentu Obrony (DoD). Na przykład Jesus Oquendo został zwolniony ze swojego poprzedniego stanowiska za próbę wyłudzenia opłat za ochronę ze stron internetowych po zaatakowaniu ich w celu ujawnienia ich luk. Prowadził w sieci znaną witrynę hakerów, w której wymieniano informacje o technikach hakerskich. Był także głośnym krytykiem przepisów dotyczących przeciwdziałania włamaniom na tej stronie. Przeanalizowaliśmy atak po tym, jak został zwolniony przez swojego następnego pracodawcę, w którym wykorzystał ten dostęp do zaatakowania spółki zależnej, aby przekonać potencjalnego klienta o potrzebie usług bezpieczeństwa swojej grupy. Ten pracodawca nie sprawdził przeszłości Oquendo przed jego zatrudniony. Taka kontrola mogłaby ujawnić wcześniejszy krach narkotyków, ale nie ujawniłaby tego niezgłoszonego wymuszenia hakerów. Pracownik działu pomocy technicznej, który pracował w Globix Corporation, którego badaliśmy, również został zatrudniony bez sprawdzania przeszłości, po części ze względu na zatrudnienie tam jego brata. „Rick” był aktywnym uczestnikiem 2600 osób i był dumny ze swoich osiągnięć w hakowaniu, zwłaszcza biorąc pod uwagę jego względny brak szkolenie formalne. Jednak to dzięki zachętom, aktywnym radom i współuczestnictwu przyjaciół ze społeczności hakerów, przeniósł autorskie plany inżynieryjne Globix do przyjaciela siedzącego przy komputerze osobistym w lobby Globix. Ten „przyjaciel” był również zatrudniony przez Globixa konkurenta i był zadowolony z otrzymania i opublikowania specyfikacji w Internecie. Globix nie dowiedział się o naruszeniu, dopóki inny haker z kręgu Ricka nie dostarczył informacji, próbując znaleźć pracę. Rick poinformował, że częściowo motywowało go rzekome wyolbrzymianie przez Globix jego możliwości w reklamach. W swoim wywiadzie opisał to jako „oszustwo przeciwko mojemu przyjacielowi, klientom Globix i całej planecie”. Zgodnie z ogólną filozofią hakera, on i jego przyjaciel zdecydowali, że te informacje muszą zostać udostępnione, więc pliki inżynieryjne Globix zostały wysłane przez FTP do witryny kontrolowanej przez jego kolegę o nazwie „users.informationwave.net/missinglink/ Globix / stash /”. Pracownicy Globix zgłosili, że przesłane dokumenty zawierają schematy projektów inżynieryjnych i specyfikacje techniczne, korespondencję, arkusze kalkulacyjne, umowy, wykresy cenowe, informacje marketingowe i inne dane, które mogą dać konkurentom znaczną przewagę w konkurowaniu o biznes. Pracownicy Globix oszacowali wartość informacji na około 500 000 USD. Po tym, jak treść stała się znana innym, przedstawiciele firmy poinformowali, że Globix był również narażony na tygodnie ataków ze strony społeczności hakerskiej i ostatecznie wszczął wewnętrzne dochodzenie i powiadomił FBI. Z 10 przypadków, które niedawno zbadaliśmy dogłębnie, żaden ze sprawców nie został sprawdzony przed wejściem do pracy. Stolarz był jedynym podmiotem, dla którego podobno sprawdzano czek. 3 z 10 badanych było również zatrudnionych, częściowo ze względu na więzy rodzinne – mylącą gwarancję braku ryzyka. W rzeczywistości w wielu przypadkach członkowie rodziny i osoby z rówieśników mogą tworzyć niebezpieczne koalicje przeciwko kierownictwu, tak było w przypadku odcinka z Abdelkaderem Smiresem, który zaatakował swojego pracodawcę po zwolnieniu swojego mentora. Smires dołączył do Internet Trading Technologies, Inc. (ITTI) w styczniu 2000 roku i wdał się w narastającą kontrowersję, która postawiła jego brata i przełożonego (i byłego profesora / mentora) przeciwko zarządzaniu. Wszyscy trzej ostatecznie opuścili firmę, a Smires podobno zaatakował i wyłączył system handlowy, gdy zepsuły się delikatne negocjacje. Chociaż zdecydowanie lepiej jest przeprowadzić standardowe sprawdzenie przeszłości niż nie, pracodawcy muszą być świadomi czynników ryzyka – takich jak historia niebezpiecznych włamań – które mogą nie zostać uwzględnione w tych środkach. Należy skorzystać z innych form odprawy, takich jak korzystanie z agencji mającej dostęp do sieci hakerów lub sprawdzanie online, które badają nieoczywiste skojarzenia z nietradycyjnych obszarów, zwłaszcza w przypadku krytycznych pracowników. Nawet jeśli te wysiłki nie przynoszą rezultatów, przydatne może być również przeprowadzenie audytu wykorzystania IT przez nowego pracownika w bardzo wczesnym okresie próbnym. Carpenter, „Rick” i inni hakerzy mieli tendencję do wyłączania środków bezpieczeństwa i konstruowania różnych backdoorów wcześnie po przybyciu do nowych pracodawców.