Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.

 Gdy w marcu 2025 roku amerykański sąd federalny skazał Davisa Lu na cztery lata więzienia za celowe uszkodzenie chronionych systemów komputerowych, wiele firm zajmujących się zarządzaniem ryzykiem i ciągłością działania odczytało ten wyrok jako wyraźny sygnał, że wewnętrzne zagrożenia – zwłaszcza te pochodzące od pracowników uprzywilejowanych – wciąż są jednym z najsłabiej kontrolowanych obszarów odporności organizacyjnej. Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.

Czynniki ryzyka dla insider threat

 

Starszy programista Davis Lu, zatrudniony od 2007 roku w firmie Eaton Corporation, producenta rozwiązań z zakresu zarządzania energią, przez lata należał do osób posiadających dostęp do kluczowych systemów firmy. W 2018 roku, po reorganizacji przedsiębiorstwa, jego rola została ograniczona, a część uprawnień odebrano. Według dokumentów sądowych to właśnie w tym momencie rozpoczął przygotowania do sabotażu – cichego, rozproszonego i trudnego do wykrycia.

 

W kolejnych miesiącach zaczął wprowadzać do kodu produkcyjnego fragmenty złośliwego oprogramowania, m.in. moduły nazwane „Hakai” i „HunShui”, które miały zakłócać działanie serwerów. Najważniejszym z nich był jednak „kill switch”, zaprojektowany tak, by aktywował się automatycznie po wyłączeniu jego konta w Active Directory. Mechanizm ten badano później m.in. pod nazwą funkcji „IsDLEnabledinAD”.

 

Gdy 9 września 2019 roku Eaton Corporation rozstała się z Lu i zablokowała jego konto, ukryty kod natychmiast został uruchomiony. W wyniku jego działania tysiące pracowników straciło możliwość logowania się do kluczowych aplikacji, a część profili użytkowników została usunięta. Serwery przeciążone przez niekończące się pętle wątków przestawały odpowiadać. Usuwanie zainfekowanych komponentów i przywracanie środowiska do stanu bezpiecznego zajęło firmie ponad rok.

Skutki dla ciągłości działania

 

W swoich katalogach zagrożeń firmy na ogół uwzględniają sabotaż zewnętrzny, ale rozmowy o zagrożeniach ze strony własnych pracowników, to często temat tabu. Tymczasem, scenariusz insider threat jest niezwykle niebezpieczny i powinien być zawsze analizowany. Pracownik, szczególnie o wysokich uprawnieniach, posiadający pełne zrozumienie architektury systemów, w pewnych okolicznościach może zaplanować i przeprowadzić niewykrywalny, wieloetapowy sabotaż.

 

Davis Lu uderzył w trzy aspekty bezpieczeństwa:

  • dostępność (availability) – blokada logowania, przeciążenie usług, okresowe unieruchomienie ogólnofirmowych systemów;
  • integralność (integrity) – usunięcie profili użytkowników, modyfikacje kodu i konfiguracji systemów;
  • zaufanie do systemów (trust/confidence) – konieczność długotrwałego dochodzenia, czyszczenia środowiska i weryfikacji, czy nie istnieją kolejne ukryte moduły.

 

W praktyce oznaczało to, że choć udało się stosunkowo szybko przywrócić minimalną funkcjonalność, pełne odzyskanie zaufania do systemów trwało miesiącami.

 

Luki, które umożliwiły atak

 

Analiza materiałów sądowych pozwala odtworzyć prawdopodobne słabości organizacyjne.

 

Zbyt szerokie uprawnienia i brak skutecznej separacji obowiązków.


Lu miał możliwość samodzielnego wprowadzania i zatwierdzania zmian w kodzie produkcyjnym, a zmiany te – mimo że dotyczyły systemu używanego przez tysiące pracowników – nie zostały wykryte w standardowych procesach przeglądu i testowania.

 

Niewystarczający monitoring i analiza anomalii.


Złośliwy kod zawierał konstrukcje (np. niekończące się pętle generujące wątki), które – monitorowane poprawnie – powinny zostać ujawnione jeszcze przed ich produkcyjnym wdrożeniem.

 

Część złośliwego kodu była przechowywana na serwerze deweloperskim, do którego tylko dostęp miał tylko Lu. Audyty powinny regularnie identyfikować i eliminować nieautoryzowane lub ukryte zasoby systemowe.

 

Brak zasad zarządzania ryzykiem osobowym i psychospołecznym w firmie.


Pracownik, który zostaje zdegradowany i odbiera mu się część uprawnień, ma prawo odczuwać frustrację z tego powodu i powinien zostać objęty procedurami podwyższonego ryzyka. Zmiana stanowiska i redukcja obowiązków jest trudnym doświadczeniem. Firma powinna zapewnić wsparcie psychologiczne, jasną komunikację (zamiast pozostawienia Lu samemu sobie z poczuciem niesprawiedliwości) lub pomoc w znalezieniu nowej roli, aby zmniejszyć motywację do zemsty.

 

Choć nie eliminuje to w 100% zagrożeń, dbanie o pozytywną kulturę organizacyjną i otwartą komunikację pomaga w identyfikacji niezadowolonych pracowników, zanim ich frustracja osiągnie poziom prowadzący do sabotażu.

 

Nieudokumentowane lub niespójne repozytoria kodu.


Fakt, że czyszczenie środowiska zajęło ponad rok, wskazuje na brak wzorcowych, w pełni zaufanych artefaktów do odtworzenia produkcji.

 

Jak oceniać ryzyko takiego incydentu

 

Z punktu widzenia analizy ryzyka przypadek Lu idealnie spełnia definicję zagrożenia typu high impact, low likelihood. Prawdopodobieństwo jest zwykle oceniane jako umiarkowane lub niskie, ale konsekwencje – zarówno finansowe, jak i operacyjne – mogą być katastrofalne.

 

Warto zwrócić uwagę na trzy wymiary oceny:

 

Prawdopodobieństwo


Wzrasta w sytuacjach reorganizacji, zwolnień, konfliktów pracowniczych.
Najbardziej narażone są stanowiska uprzywilejowane: developerzy z dostępem do serwerów produkcyjnych, administratorzy systemów, konsultanci z czasowym dostępem do środowisk krytycznych.

 

Wpływ


Incydent Lu pokazuje, że nawet częściowe zakłócenie działania kluczowego systemu może prowadzić do ogólnofirmowych przestojów. Wpływ obejmuje bezpośrednie straty finansowe (w tym przypadku setki tysięcy dolarów), a także w utratę reputacji firmy.

 

Ryzyko rezydualne


Nawet po wdrożeniu kontroli takich jak przegląd kodu czy monitoring anomalii, pewne ryzyko sabotażu wewnętrznego zawsze pozostaje. Kluczowe jest, aby było ono świadomie zarządzane i objęte planami ciągłości działania.

Jakie rozwiązania warto wdrożyć

 

Przypadek Lu wyznacza bardzo konkretne kierunki działań.

 

Po pierwsze, należy projektować systemy tak, jakby ich developer mógł próbować je sabotować. Oznacza to zakaz bezpośredniego dostępu do produkcji, egzekwowanie zasad minimalnych uprawnień (least privilege) oraz obowiązkową separację uprawnień i zapobieganie konfliktom interesu, szczególnie w przypadku wprowadzania zmian w kodzie produkcyjnym.

 

W momencie, gdy wdrożenie przebiega poprzez zautomatyzowany pipeline, a każdy artefakt jest podpisany kryptograficznie, szansa na niezauważone manipulacje znacząco maleje.

 

Po drugie, organizacje muszą traktować zagrożenie typu „insider threat” jako osobną kategorię ryzyka dla bezpieczeństwa informacji i ciągłości działania. To oznacza formalne powiązanie procesów HR i bezpieczeństwa, szczególnie w momentach newralgicznych, takich jak degradacja czy zwolnienie pracownika uprzywilejowanego. Wycofanie uprawnień powinno być operacją planowaną i monitorowaną end-to-end.

Po trzecie, monitoring i reakcja muszą uwzględniać wzorce charakterystyczne dla sabotażu. Powtarzające się wyjątki, nietypowe warunki logiczne w kodzie, nietypowe zachowanie użytkownika – to sygnały, które powinny być automatycznie analizowane.

 

Po czwarte, plan ciągłości działania musi obejmować scenariusz odbudowy środowiska po sabotażu kodu. Tu, podobnie jak w przypadku ransomware, kluczowa jest możliwość szybkiego odtworzenia środowiska „od zera”, z pełną pewnością, że komponenty pochodzą wyłącznie ze zaufanego repozytorium.

 

Lesson learned

Choć sprawa Davisa Lu jest przykładem o dużej skali, nie jest odosobniona. Każda duża organizacja dysponuje niewielką grupą personelu posiadającego poziom dostępu umożliwiający sabotaż o podobnej destrukcyjnej sile. Ryzyko to może zmaterializować się w wyniku pojedynczej, niezweryfikowanej zmiany, luki w procedurach kontroli lub nieuwagi w okresach reorganizacji.

Z perspektywy zarządzania ryzykiem, scenariusze o niskiej częstotliwości, lecz katastrofalnym wpływie powinny być traktowane priorytetowo w stosunku do incydentów częstszych, lecz łatwiejszych do zarządzania. Przypadek Lu ilustruje, że odpowiednio przygotowany insider jest w stanie jednym działaniem sparaliżować globalne systemy przedsiębiorstwa, a ich pełne przywrócenie i oczyszczenie może wymagać kilkunastu miesięcy.

Dostęp uprzywilejowany jako ryzyko strategiczne

Każda organizacja zatrudnia personel, którego rola lub dostęp techniczny pozwala na natychmiastowe wstrzymanie jej działalności operacyjnej za pomocą pojedynczej interwencji (np. fragmentu kodu lub konfiguracji). Pracownicy ci muszą być objęci odrębnym i rygorystycznym reżimem bezpieczeństwa. Ich uprawnienia powinny podlegać kontroli równie ścisłej jak procedury zarządzania finansami czy dostęp do systemów regulowanych.

Ataki insiderskie oparte na nadanych uprawnieniach i wiedzy

Sabotaż wewnętrzny wykorzystuje zrozumienie architektury systemów i nadmierne zaufanie w organizacji. Z tego względu, nawet rozbudowane systemy ochrony perymetrycznej nie zastąpią skutecznych procesów zarządzania uprawnieniami (IAM) oraz rygorystycznej kontroli zmian.

Reorganizacje, konflikty i degradacje jako okresy podwyższonego ryzyka

Incydenty z udziałem insiderów rzadko mają charakter przypadkowy – są często poprzedzone istotnymi zmianami w relacji pracownika z firmą. Moment zmiany roli, ograniczenia uprawnień lub zaistnienia konfliktu powinien automatycznie uruchamiać procedury oceny ryzyka oraz wzmożony monitoring działań pracownika w kluczowych systemach.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"
Dyrektywa NIS2: Nowe obowiązki i szanse dla polskich firm
Atak Shai Hulud 2.0.
Akty sabotażu na infrastrukturze krytycznej w Polsce

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Proszę bardzo, oto lista słów kluczowych dla artykułu o ataku Shai Hulud 2.0, w formacie po przecinku: Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna

Akty sabotażu na infrastrukturze krytycznej w Polsce

To już nie są amatorskie podpalenia. Czy jesteśmy gotowi na wojnę hybrydową nowej generacji?
Czytaj dalej
Raport

Akty sabotażu na infrastrukturze krytycznej w Polsce

Ciągłość działania
Zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw
sabotaż kolejowy, atak na infrastrukturę kolejową, wojna hybrydowa, dywersja, operacje hybrydowe, sabotaż w Polsce, infrastruktura krytyczna Polska, atak na tory kolejowe, sabotaż kolejowy Lubelskie, incydent w Życzynie, ładunki wybuchowe C4, eksplozja na torach, atak na infrastrukturę krytyczną, bezpieczeństwo państwa, bezpieczeństwo kolejowe, zagrożenia hybrydowe, operacje wrogich służb, analiza incydentu sabotażowego, wojskowe materiały wybuchowe, C4 w Polsce, profesjonalna dywersja, działania dywersyjne, reakcja służb, luka w systemie bezpieczeństwa, wojna informacyjna, eskalacja zagrożeń, operacje przeciwko Polsce, reagowanie kryzysowe, bezpieczeństwo transportu kolejowego, terroryzm infrastrukturalny, zagrożenia dla kolei, operacje specjalne, monitoring infrastruktury, ochrona infrastruktury krytycznej, sabotaż torów kolejowych, atak na transport kolejowy, działania sabotażowe, operacje wrogich agentur, dywersanci, incydent kolejowy 2025, bezpieczeństwo narodowe Polski
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów