- Информация о материале
- Создано: 03 ноября 2009
Совместно с MoneyNews
Чуть больше года назад я поднял тему безопасности финансовых институтов в интернете. Речь шла о том, что «специалисты по безопасности» в большинстве фирм, занимающихся финансовой деятельностью в сети, плохо понимают специфику интернета. В качестве примера я привел список доменов, графически похожих на домены финансовых фирм, которые так и просились, чтобы их использовали для фишинга, и которые специалисты соотвествующих фирм не поспешили превентивно занять.
Тогда же я зарегистрировал эти домены, чтобы не достались злоумышленикам – и выразил готовность бескорыстно передать эти домены владельцам соотвествующих торговых марок по их первому требованию.
Требований не последовало. Тогда я списал это дело на личную обиду по отношению ко мне – на меня, как ни странно, действительно обиделись за ту публикацию, а кое-кто даже не сдержался чтобы выразить мне эту обиду лично или через посредников. Но время прошло, срок регистрации доменов истек, продлять я их не стал. Хотя стоимость доменов копеечная, с какой стати я должен за свой счет печься о безопасности того, кто сам о ней не печется.
Но когда домены освободились, я все же конечно глянул, забрали ли их правообладатели. Нет – не забрали. Ну и бог с ними, сами будут расхлебывать, если что-то случиться. А в том, что случиться рано или поздно, я не сомневаюсь.
За прошедший с той публикации год, мне несколько раз довелось понаблюдать о том, как поставлена сетевая безопасность в банках и платежных системах, и иллюзий на этот счет я не питаю. Но если раньше я списывал всю дурь в этой области на низкую квалификацию специалистов по безопасности, то теперь я больше склоняюсь к тому, что виновата система организации бизнес процессов в организациях.
Иной специалист по безопасности может и зарегистрировал бы все потенциально опасные домены, но прекрасно понимает, что главбух никогда не подпишет ему счет на покупку списка совершенно невразумительных и очевидно бесполезных буквенных сочетаний. Полтора миллиона баксов на покупку системы новейшей сигнализации – помахнет не глядя. А вот с шестистами рублями на покупку непонятного домена который даже не будет использоваться – пошлет куда подальше.
Парадокс – но такова специфика нынешней бизнес-бюрократии. Современные бизнес-процессы построены на простом (а порой и тупом) воспроизведении уже отработанных готовых бизнес-технологий. Специалисту, работающему в такой системе даже не надо понимать сути происходящих процессов. От него требуется только четко знать, какие действия следует предпринимать в той или иной ситуации. В таком-то случае – подготовить такой-то документ, в таком-то – отправить факс, а в таком-то, наоборот, принять факс и отнести в такой-то кабинет на подпись.
В такой системе вышестоящее звено оценивает эффективность работы нижестоящего звена по тому, насколько эта работа «видна». В понимании начальства слово «видна» означает некую видимую деятельность. Специфика же обеспечения безопасности наоборот, такова, что чем лучше работает служба безопасности, тем менее она видна. Если за год-другой в вашей конторе не случится никаких эксцесов, связанных с безопасностью, то при распределении премий о вас вряд ли вспомнят, а вот сомнения у начальства, стоит ли тратить большие деньги на безопасность, если все равно ничего не случается, вполне могут возникнуть.
Если вы будете регулярно обновлять софт и ставить новые заплатки на операционную систему – начальство это вряд ли заметит и оценит. А вот ваша иннициатива ограничить сотрудникам доступ в интернет, дабы не занесли заразу – не пройдет незамеченной и скорее всего будет оценена. Ваша иннициатива зарегистрировать «на всякий случай» полтора десятка бесполезных и ненужных доменов вызовет недоумение, а то и неодобрение. А вот ваше предложение изъять изо всех компьютеров USB-слоты, чтобы сотруники не дай бог не воткнули туда чего-нибудь вредное, продемонстрирует начальству ваш серьезный подход к делу.
В итоге в большинстве российских контор, специалисты по безопасности заняты двумя делами сразу: с одной стороны они действительно должны заботится о безопасности, а с другой стороны перманентно демонстрировать свою полезность и необходимость. При этом всякие преференции, как правило, они получают за второй вид деятельности, а за первый же наоборот, вместо преференций могут получить по шапке.
К сожалению, второй род деятельности имеет ту неприятную особенность, что демонстрируя его служба безопасности обычно рано или поздно подходит к той черте, когда предпринимаемые ею демонстрационные «меры по безопасности» начинают создавать неудобства в повседневной деятельности собсвтвенных сотрудников фирмы. И как только это происходит, на всей безопасности конторы можно ставить крест. Потому что испытывая неудобства из-за мер безопасности, рядовые сотрудники вольно или невольно будут искать способы обойти их. А от совместных усилий по взлому и со стороны злоумышленников и со стороны собственных сотруников выстоит очень редкая система.
Расскажу несколько вполне реальных историй, свидетелем которых я был.
В некоей конторе сетевой администратор, по совместительству отвечающий и за информационную безопасность, вышел с преложение к начальству не только ограничить сотрудникам доступ к «одноклассникам» и «в контакте», но и вообще – ограничить доступ в интернет лишь небольшим перечнем сайтов, действительно необходимых для работы, и никуда кроме этих сайтов сотруников не выпускать. Начальству идея понравилась.
Был составлен перечень «нужных» для работы ресурсов, а доступ к остальным был перекрыт. Ну понятное дело, все предугадать заранее нельзя, а потому на случай если кому-то из сотрудников потребуется по работе доступ к сайту, не входящему в перечень, была разработана специальная процедура. Сотрудник должен был написать докладную записку начальнику своего отдела, тот ставил визу у директора, после чего администратор проверив новый сайт на предмет безопасности, открывал к нему доступ, временно или постоянно. В случае, если все цепочки звена были на месте, доступ можно было получить быстро – всего за пару часов. А если кого-то не было на месте, процесс мог затянуться на несколько дней.
В ответ на ропот сотрудников всегда следовал ответ, дескать, мало ли на какие сайты вы будете ходить, вдруг вирус в сеть занесете. Доходило до того, что сотрудникам порой приходилось выскакивать в близлежащее интернет-кафе, чтобы сделать срочную работу.
Потом вдруг кто-то обнаружил, что офис находится в зоне действия одной публичной сети WiFi. Наступила лафа. В «задних» USB слотах дектопов, надежно скрытых от глаз начальства засияли веселыми огоньками WiFi девайсы, а с ними пришли и «одноклассники» и «в контакте» и файлообменный сети. Ну и всякая вирусно-троянная гадость, которая быстренько разошлась по всей локальной сети, проскользнув мимо множества надежных защит, нагроможденных админом у входа в «официальный» офисный интернет.
Наказан был конечно не админ, а те у кого нашли WiFi. Хотя по большому счету для того, чтобы начать регулировать официальный доступ в интернет и оставить сотруникам открытую возможность поставить «левый» интернет надо быть не просто плохим специалистом, но откровенным дураком. Ну и чтобы держать такого амина – тоже.
В другой конторе специалист по безопасности был куда как более грамотен. Он не только демонстрировал начальству свою полезность но и реально пытался затнуть все потенциальные возможности для злоупотреблений сотрудников. В меру своего разумения.
А потому права сотрудников были строго ограничены, чтобы они не могли устанавливать на своих компьютерах никакого софта, а USB-слоты в машинах просто отсутвовали, поскольку этот админ в отличие от предыдущего осознавал, что в USB слот можно воткнуть не только флешку с документами, но и еще кое-что. Никакого лишнего софта на компьютерах не было – строго то, что требуется для работы. Надо обменяться файлами – вот, есть CD, причем ниакой софт с этого CD без воли админа на компьютер не встанет. Надо установить какой-то софт – пиши докладную начальству.
Ну ведь не будете же вы писать докладную начальству «прошу установить на моем копьютере Фотошоп, потому что я хочу показать всем снимки из отпуска»? Или «Прошу установить MPEG проигрыватель, чтобы я мог смотреть фильмы»? Разумеется не будете.
А хочется!
А раз хочется – выход всегда найдется. Сначала кто-то притащил графическую программульку Irfan View для просмотра фоток, которая вообще не требовала никакой установки и прекрасно запускалась без админских прав. Потом сотруники открыли для себя огромный мир Open Source и вскоре поиск «софтин», которые могут быть запушены без прав админа, превратился в конторе в своеобразный вид спорта. На всех компьютерах конторы зашуршало великое множество левого софта, запускающегося без админских прав, и никак администратором не контролируемого. Ну а раз есть полезный софт, который может быть запущен без ведома и прав админа, то ведь должен быть и «вредный», как вы думаете?
Наказан за потерю важных данных был опять-таки не админ, а сотрудники.
Ну а третья история, которую я хочу рассказать, еще не произошла, но скоро – произойдет.
На днях я был в одной компании, где милая юнная девушка, рассказала, как недавно вернувшись из отпуска она обнаружила, что с целью безопасности изо всех компьютеров ее конторы были изъяты и USB-слоты и CD-дисководы, дабы сотрудники точно не занесли никакой заразы.
Нужно тебе загрузить на свой компьютер документ – отнести флешку или CD к админу, он проверит, и если опасности нет, скинет тебе принесенное по локальной сети. Но вот беда: то у админа очередь, то он занят более срочными делами, то ушел на обед. А начальство требует работу срочно, и оправданий, что «админа не было» не принимает, считает их пустой отмазкой.
- Тоже мне проблема, - воскликнул один компьютерный гуру, присуствующий в нашей компании, – отворачиваешь у компа сзади четыре винта, втыкаешь плату USB-контролера и никакой админ тебе больше не нужен!
Глаза у девушки заблестели, она достала ручку и стала распрашивать, как точно называется плата и какие винты и где именно надо отворачивать. Делала она это так целеустремленно, что я понял – скоро услышу еще одну интересную историю.