Совместно с MoneyNews


Чуть больше года назад я поднял тему безопасности финансовых институтов в интернете. Речь шла о том, что «специалисты по безопасности» в большинстве фирм, занимающихся финансовой деятельностью в сети, плохо понимают специфику интернета. В качестве примера я привел список доменов, графически похожих на домены финансовых фирм, которые так и просились, чтобы их использовали для фишинга, и которые специалисты соотвествующих фирм не поспешили превентивно занять.

Тогда же я зарегистрировал эти домены, чтобы не достались злоумышленикам – и выразил готовность бескорыстно передать эти домены владельцам соотвествующих торговых марок по их первому требованию.

Требований не последовало. Тогда я списал это дело на личную обиду по отношению ко мне – на меня, как ни странно, действительно обиделись за ту публикацию, а кое-кто даже не сдержался чтобы выразить мне эту обиду лично или через посредников. Но время прошло, срок регистрации доменов истек, продлять я их не стал. Хотя стоимость доменов копеечная, с какой стати я должен за свой счет печься о безопасности того, кто сам о ней не печется.

Но когда домены освободились, я все же конечно глянул, забрали ли их правообладатели. Нет – не забрали. Ну и бог с ними, сами будут расхлебывать, если что-то случиться. А в том, что случиться рано или поздно, я не сомневаюсь.

За прошедший с той публикации год, мне несколько раз довелось понаблюдать о том, как поставлена сетевая безопасность в банках и платежных системах, и иллюзий на этот счет я не питаю. Но если раньше я списывал всю дурь в этой области на низкую квалификацию специалистов по безопасности, то теперь я больше склоняюсь к тому, что виновата система организации бизнес процессов в организациях.

Иной специалист по безопасности может и зарегистрировал бы все потенциально опасные домены, но прекрасно понимает, что главбух никогда не подпишет ему счет на покупку списка совершенно невразумительных и очевидно бесполезных буквенных сочетаний. Полтора миллиона баксов на покупку системы новейшей сигнализации – помахнет не глядя. А вот с шестистами рублями на покупку непонятного домена который даже не будет использоваться – пошлет куда подальше.

Парадокс – но такова специфика нынешней бизнес-бюрократии. Современные бизнес-процессы построены на простом (а порой и тупом) воспроизведении уже отработанных готовых бизнес-технологий. Специалисту, работающему в такой системе даже не надо понимать сути происходящих процессов. От него требуется только четко знать, какие действия следует предпринимать в той или иной ситуации. В таком-то случае – подготовить такой-то документ, в таком-то – отправить факс, а в таком-то, наоборот, принять факс и отнести в такой-то кабинет на подпись.

В такой системе вышестоящее звено оценивает эффективность работы нижестоящего звена по тому, насколько эта работа «видна». В понимании начальства слово «видна» означает некую видимую деятельность. Специфика же обеспечения безопасности наоборот, такова, что чем лучше работает служба безопасности, тем менее она видна. Если за год-другой в вашей конторе не случится никаких эксцесов, связанных с безопасностью, то при распределении премий о вас вряд ли вспомнят, а вот сомнения у начальства, стоит ли тратить большие деньги на безопасность, если все равно ничего не случается, вполне могут возникнуть.

Если вы будете регулярно обновлять софт и ставить новые заплатки на операционную систему – начальство это вряд ли заметит и оценит. А вот ваша иннициатива ограничить сотрудникам доступ в интернет, дабы не занесли заразу – не пройдет незамеченной и скорее всего будет оценена. Ваша иннициатива зарегистрировать «на всякий случай» полтора десятка бесполезных и ненужных доменов вызовет недоумение, а то и неодобрение. А вот ваше предложение изъять изо всех компьютеров USB-слоты, чтобы сотруники не дай бог не воткнули туда чего-нибудь вредное, продемонстрирует начальству ваш серьезный подход к делу.

В итоге в большинстве российских контор, специалисты по безопасности заняты двумя делами сразу: с одной стороны они действительно должны заботится о безопасности, а с другой стороны перманентно демонстрировать свою полезность и необходимость. При этом всякие преференции, как правило, они получают за второй вид деятельности, а за первый же наоборот, вместо преференций могут получить по шапке.

К сожалению, второй род деятельности имеет ту неприятную особенность, что демонстрируя его служба безопасности обычно рано или поздно подходит к той черте, когда предпринимаемые ею демонстрационные «меры по безопасности» начинают создавать неудобства в повседневной деятельности собсвтвенных сотрудников фирмы. И как только это происходит, на всей безопасности конторы можно ставить крест. Потому что испытывая неудобства из-за мер безопасности, рядовые сотрудники вольно или невольно будут искать способы обойти их. А от совместных усилий по взлому и со стороны злоумышленников и со стороны собственных сотруников выстоит очень редкая система.

Расскажу несколько вполне реальных историй, свидетелем которых я был.

В некоей конторе сетевой администратор, по совместительству отвечающий и за информационную безопасность, вышел с преложение к начальству не только ограничить сотрудникам доступ к «одноклассникам» и «в контакте», но и вообще – ограничить доступ в интернет лишь небольшим перечнем сайтов, действительно необходимых для работы, и никуда кроме этих сайтов сотруников не выпускать. Начальству идея понравилась.

Был составлен перечень «нужных» для работы ресурсов, а доступ к остальным был перекрыт. Ну понятное дело, все предугадать заранее нельзя, а потому на случай если кому-то из сотрудников потребуется по работе доступ к сайту, не входящему в перечень, была разработана специальная процедура. Сотрудник должен был написать докладную записку начальнику своего отдела, тот ставил визу у директора, после чего администратор проверив новый сайт на предмет безопасности, открывал к нему доступ, временно или постоянно. В случае, если все цепочки звена были на месте, доступ можно было получить быстро – всего за пару часов. А если кого-то не было на месте, процесс мог затянуться на несколько дней.

В ответ на ропот сотрудников всегда следовал ответ, дескать, мало ли на какие сайты вы будете ходить, вдруг вирус в сеть занесете. Доходило до того, что сотрудникам порой приходилось выскакивать в близлежащее интернет-кафе, чтобы сделать срочную работу.

Потом вдруг кто-то обнаружил, что офис находится в зоне действия одной публичной сети WiFi. Наступила лафа. В «задних» USB слотах дектопов, надежно скрытых от глаз начальства засияли веселыми огоньками WiFi девайсы, а с ними пришли и «одноклассники» и «в контакте» и файлообменный сети. Ну и всякая вирусно-троянная гадость, которая быстренько разошлась по всей локальной сети, проскользнув мимо множества надежных защит, нагроможденных админом у входа в «официальный» офисный интернет.

Наказан был конечно не админ, а те у кого нашли WiFi. Хотя по большому счету для того, чтобы начать регулировать официальный доступ в интернет и оставить сотруникам открытую возможность поставить «левый» интернет надо быть не просто плохим специалистом, но откровенным дураком. Ну и чтобы держать такого амина – тоже.

В другой конторе специалист по безопасности был куда как более грамотен. Он не только демонстрировал начальству свою полезность но и реально пытался затнуть все потенциальные возможности для злоупотреблений сотрудников. В меру своего разумения.

А потому права сотрудников были строго ограничены, чтобы они не могли устанавливать на своих компьютерах никакого софта, а USB-слоты в машинах просто отсутвовали, поскольку этот админ в отличие от предыдущего осознавал, что в USB слот можно воткнуть не только флешку с документами, но и еще кое-что. Никакого лишнего софта на компьютерах не было – строго то, что требуется для работы. Надо обменяться файлами – вот, есть CD, причем ниакой софт с этого CD без воли админа на компьютер не встанет. Надо установить какой-то софт – пиши докладную начальству.

Ну ведь не будете же вы писать докладную начальству «прошу установить на моем копьютере Фотошоп, потому что я хочу показать всем снимки из отпуска»? Или «Прошу установить MPEG проигрыватель, чтобы я мог смотреть фильмы»? Разумеется не будете.

А хочется!

А раз хочется – выход всегда найдется. Сначала кто-то притащил графическую программульку Irfan View для просмотра фоток, которая вообще не требовала никакой установки и прекрасно запускалась без админских прав. Потом сотруники открыли для себя огромный мир Open Source и вскоре поиск «софтин», которые могут быть запушены без прав админа, превратился в конторе в своеобразный вид спорта. На всех компьютерах конторы зашуршало великое множество левого софта, запускающегося без админских прав, и никак администратором не контролируемого. Ну а раз есть полезный софт, который может быть запущен без ведома и прав админа, то ведь должен быть и «вредный», как вы думаете?

Наказан за потерю важных данных был опять-таки не админ, а сотрудники.

Ну а третья история, которую я хочу рассказать, еще не произошла, но скоро – произойдет.

На днях я был в одной компании, где милая юнная девушка, рассказала, как недавно вернувшись из отпуска она обнаружила, что с целью безопасности изо всех компьютеров ее конторы были изъяты и USB-слоты и CD-дисководы, дабы сотрудники точно не занесли никакой заразы.

Нужно тебе загрузить на свой компьютер документ – отнести флешку или CD к админу, он проверит, и если опасности нет, скинет тебе принесенное по локальной сети. Но вот беда: то у админа очередь, то он занят более срочными делами, то ушел на обед. А начальство требует работу срочно, и оправданий, что «админа не было» не принимает, считает их пустой отмазкой.

- Тоже мне проблема, - воскликнул один компьютерный гуру, присуствующий в нашей компании, – отворачиваешь у компа сзади четыре винта, втыкаешь плату USB-контролера и никакой админ тебе больше не нужен!

Глаза у девушки заблестели, она достала ручку и стала распрашивать, как точно называется плата и какие винты и где именно надо отворачивать. Делала она это так целеустремленно, что я понял – скоро услышу еще одну интересную историю.

Добавить комментарий

Чтобы ваш комментарий сразу появился на странице, авторизуйтесь, щелкнув по иконке любой социальной сети внизу. Анонимные комментарии публикуются только после проверки модератором.


Защитный код
Обновить



Яндекс.Метрика
Дизайн A4J

Карта сайта