В современном цифровом мире безопасность корпоративных сетей и данных становится фундаментальной задачей для бизнеса любого масштаба и направления. Одним из ярких примеров, продемонстрировавших катастрофические последствия слабой кибербезопасности, стала кибератака 2023 года на компанию Clorox — известного производителя бытовой химии и товаров широкого потребления. Криминалисты и юристы сейчас изучают случай, когда злоумышленник без особых усилий получил сетевые пароли компании, просто обратившись в службу поддержки, которую предоставляет партнёр Clorox — IT-компания Cognizant. Последствие — громкий иск на 380 миллионов долларов, поданный Clorox из-за пренебрежения процедурами идентификации безопасности. Clorox, чей рынок оценивается в миллиарды долларов, владеет огромным ассортиментом товаров: от отбеливателей до потребительских продуктов, что делает его уязвимым к атакам, способным существенно повлиять на производственные и операционные процессы.
В августе 2023 года киберпреступник, не применяя сложные хакерские методы, просто позвонил в службу поддержки Cognizant и, выдавая себя за сотрудника Clorox, запросил сброс пароля и другие учетные данные, необходимые для получения доступа к корпоративной сети. По иску, поданному Clorox в суд штата Калифорния, сотрудники Cognizant, отвечавшие за IT-поддержку и восстановление учетных данных, нарушили договор и внутренние инструкции по безопасности. Вместо того чтобы направить «сотрудника» к системе самоидентификации и сброса пароля под названием MyID или проводить необходимые проверки, они непроверенно выдали необходимые доступы, не запросив подтверждения личности. Нормативные правила должны были включать проверку у менеджера сотрудника, информирование почтовых аккаунтов об изменении пароля, а также использование многофакторной аутентификации, всё это было проигнорировано. Компания Clorox заявляет, что руководство Cognizant даже ложно информировало их о том, что обновлённые процедуры безопасности были внедрены и команда обучена их применять.
На самом деле запись звонка с техническим специалистом Cognizant свидетельствует, что сотрудник центра поддержки без вопросов передал пароль непосредственно злоумышленнику. Такая небрежность стала причиной сильной утечки, которая позволила преступнику не только проникнуть в корпоративную сеть, но и получить учетные данные ключевых сотрудников отдела информационной безопасности. В результате атаки бизнес Clorox испытал серьёзные сбои в системе. Компания была вынуждена отключить свои IT-системы на несколько недель, чтобы остановить дальнейшее распространение заражения и минимизировать ущерб. Это привело к приостановке производственных линий и переходу на ручную обработку заказов, что повлекло за собой дефицит продукции у ритейлеров и значительное финансовое недополучение.
Оценки ущерба, напрямую связанного с этим инцидентом, и включили сумму иска в размере 380 миллионов долларов. После атаки Clorox также критиковала медлительность в послесиловом реагировании со стороны Cognizant. Компания заявила, что процедуры восстановления и повторной установки критически важных инструментов безопасности занимали незаслуженно много времени и имели низкое качество исполнения. Нарушения касались не только восстановления баз данных и адресных списков, но и администрирования учётных записей. Разногласия между Clorox и их подрядчиком показали существенную разницу в взглядах на ответственность в вопросах кибербезопасности.
Неспособность соблюдать основные процедуры идентификации и верификации создала лазейку, которую легко использовали хакеры. Сама Cognizant высказала официальное заявление, в котором утверждала, что Clorox поставил на неё слишком узкие обязанности, ограничиваясь только сервисной поддержкой пользователей, без управления безопасностью всей системы. В компании подчеркивают, что выполнили взятые на себя обязательства, а слабые места, по их мнению, — в кибербезопасности Clorox. Тем не менее, суду предстоит решить, насколько провина лежит на поставщике IT-услуг, а насколько — на заказчике. Этот случай чрезвычайно важен для бизнеса и специалистов по информационной безопасности, так как он проливает свет на критические ошибки при работе с партнёрскими IT-сервисами.
Он подчёркивает, что даже крупные компании с большими бюджетами могут оказаться уязвимыми, если процедуры безопасности не соблюдаются строго и сотрудники службы поддержки непрофессионально подходят к вопросам верификации пользователей. Хакеры в данном случае не применяли сложных инструментов как фишинг, брютфорсинг или эксплуатацию уязвимостей ПО. Их успех заключался в социальной инженерии — умении убедить сотрудника службы поддержки передать секретную информацию без должной проверки. Это напоминает, что человеческий фактор остается одним из самых уязвимых звеньев в любой системе безопасности. Для компаний использование многофакторной аутентификации, автоматических систем проверки, а также строгие инструкции и тренировки персонала должны быть приоритетами.
Автоматизация и инструменты самообслуживания пользователей, такие как MyID в случае Clorox, позволяют снизить риск человеческой ошибки. Крайне важно, чтобы процедуры сброса паролей и восстановления доступа были не просто прописаны, а активно контролировались и регулярно аудировались. Киберпреступления развиваются и становятся всё более изощрёнными, однако зачастую именно элементарные пробелы в работе человеческого ресурса позволяют злоумышленникам получить доступ к самым защищённым объектам. Случай Clorox и Cognizant — наглядный пример того, какой уровень ответственности и ответственность должны проявлять IT-партнёры, особенно когда речь идет о критических сервисах для бизнеса. В будущем корпоративные структуры должны принимать во внимание не только технические аспекты безопасности, но и взаимодействие с внешними подрядчиками, гарантируя, что они полностью соответствуют стандартам безопасности и проверяются должным образом.
