Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам, например, по электронной почте. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% — коллеги, 21% — друзья, 14% — члены семьи, а еще 14% —сообщники.
Также удалось установить, что 62% корпоративных диверсантов продумывают свои действия заблаговременно. В 47% случаев они совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% — конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% — offline, 22% — обоих сразу.
Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети. Таким образом, даже если уволить системного администратора и сразу же заблокировать его учетную запись, но забыть о его привилегии удаленного доступа и оставить прежним пароль root в системе, то рассерженный служащий сможет очень быстро отомстить начальству. В одном из таких инцидентов диверсанту удалось вывести из строя всю корпоративную сеть на 3 дня.
Таким образом, 57% саботажников имеют права администратора в системе, из них 85% на момент совершения диверсии лишились таких широких полномочий на доступ к корпоративной среде.
Что касается самой атаки, то 61% саботажников предпочитают простые и незамысловатые механизмы, к примеру, команды пользователя, обмен информацией, эксплуатацию физических уязвимостей безопасности. Оставшиеся 39% применяют более изощренные методы атаки: собственные программы или сценарии, автономные агенты и т. д. В 60% случаев злоумышленники компрометируют учетные записи, чтобы потом с их помощью провести атаку.
В 33% инцидентов это компрометация имени пользователя и пароля; в 20% — неавторизованное создание новой учетной записи. Подчеркнем, что в 92% случаев заметить подозрительную активность в данной сфере до момента совершения диверсии почти невозможно.