Расследование инцидента в сети оператора связи
Опубликовано: 20.06.2018

Расследование инцидента в сети оператора связи

Расследования инцидента в сети оператора связи

В отчете системы сетевой форензики «Гарда Монитор» сотрудник информационной безопасности компании оператора связи заметил аномальную активность внутреннего сервера компании. Значительно увеличилось количество соединений с внешними серверами и изменилась структура трафика. При детализации стало ясно, что это запросы к ресурсам развлекательного характера, новости, соцсети, видеохостинги. Предназначение этого сервера – системное, проверка обновлений для приложений и других внутренних задач. Сотруднику ИБ удалось выяснить, кто администрирует этот сервер и начать расследование.

Итоги расследования

Оказалось, что сотрудник IT-службы, отвечающий за высокоскоростной внутренний канал, решил подзаработать. По предварительной договоренности с близлежащим кафе он за небольшую сумму выдал доступ по WI-FI к внутреннему безлимитному каналу связи, используя WI-FI оборудование с антенной направленного действия. При этом, чтобы зайти в интернет, в кафе достаточно было ввести логин/пароль, одинаковый для любого посетителя. То есть, каждый гость кафе мог свободно заходить в интернет с любого устройства, и совершать любые действия, включая противоправные и мошеннические, без риска попасть под наблюдение спецслужб.

Выявленное мошенничество со стороны сотрудника могло повлечь не только финансовый ущерб, так как оператор оплачивал доступ посетителей к сети, но и репутационный.

Согласно постановлению Правительства РФ N 758 от 31 июля 2014 г. О внесении изменений в ФЗ «Об информационных технологиях и защите информации и законодательным актам об упорядочении обмена информацией с использованием телекоммуникационных сетей» – точки доступа в сеть WI-FI без процедур идентификации пользователей признаны нелегальными, и их владельцы облагаются штрафом. Более того, точка доступа без регистрации могла стать центром запуска террористических действий, так как найти пользователя, который после «нажатия кнопки» покинул кафе, становится практически невозможно. При расследовании такого инцидента со стороны правоохранительных органов – главным подозреваемым стал бы оператор, так как с его оборудования совершались противоправные действия.

Инструментарий сетевой форензики позволил оперативно выявить нецелевое использование ресурсов оператора, закрыть нелегальную точку доступа в Интернет и избежать финансовых и репутационных рисков.



Подпишитесь на рассылку новостей

Нажимая на кнопку, вы соглашетесь с политикой конфиденциальности