Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Натан сказал, что подождет. Несколько недель для него не много значили. Хотя Натан явно был озабочен безопасностью, но он еще не был так напуган, чтобы нанять кого-то для решения проблемы. Я продолжала удивляться, каково же его клиентам при такой угрозе надежности и целостности их информации.

Через несколько недель я отправилась в главный офис TransWorld для проверки состояния дел. Первой проблемой, обнаруженной мной при полномасштабном аудите, была физическая безопасность. Сеть располагалась в здании, офисное пространство которого было поделено между несколькими компаниями. Сетевые серверы, компьютеры, брандмауэры и коммутационную аппаратуру отделяли от остальных компаний лишь внутрикомнатные стенки высотой пять футов. [10] около полутора метров. — Примеч. пер. Системы даже не были заперты в стойках.

Более того, все адреса и учетная информация клиентов были в персональных компьютерах (ПК). ПК имели резервное копирование, но устройства для этого находились прямо рядом с ними. Любой, кто бы ни пожелал, мог перепрыгнуть через невысокие стенки, взять систему и устройство резервного копирования и просто уйти. Разве это не беспорядок? Представьте себе, что ваш провайдер вызывает вас, чтобы поискать, заплатили ли вы ему за прошедший месяц!

Безопасность информации не выглядела лучше. Я уже это предполагала, но всегда нужны твердые факты. Я села за клавиатуру и начала аудит. Через несколько секунд я взломала корневой каталог и получила полный контроль над их главным сервером. При этом я не «выкладывалась», а просто использовала незащищенное место в операционной системе, о котором широко известно много лет.

Я обычно выискиваю подобные программные ошибки, когда пытаюсь взломать корневой каталог в системе. Если мне удается взломать корневой каталог за считанные секунды, то я точно знаю, перед чем я оказалась. И обычно за этим стоит серьезный риск.

Продолжая проверку, нашла подтверждение моим ожиданиям. Настроек безопасности здесь тоже не было. Эти системы были установлены «как есть», без настройки их безопасности и без добавления дополнительных средств защиты. В основном, проблемы были теми же, что и с домашней сетью Натана (и неудивительно).

И снова масса уязвимых мест в безопасности. Список разновидностей риска, которым подвергалась TransWorld, возглавляли следующие пункты:

• Существовала избыточность разрешений на доступ к файлам.

• Не были стерты старые учетные записи пользователей.

• В программы не были внесены исправления (патчи), повышающие безопасность.

• Не была обеспечена надлежащая физическая безопасность.

Уже только в этом скрывался огромный потенциал для бедствия. В TransWorld нужно было поработать экспертам по вопросам безопасности не менее двух недель и с полным рабочим днем, с тем чтобы защитить их сеть. Как и во многих других начинающих компаниях, им не хотелось тратить деньги на сотрудника, занимающегося безопасностью. Я думаю, что они хотели вместо этого купить побольше оборудования, а может быть, они ожидали предъявления им какого-то счета к оплате в этом месяце.

Как бы то ни было, я передала свою информацию Джорджу в обмен на обещанное пиво. А что касается безопасности их сети — то я не питала особых надежд. У Джорджа не было времени поговорить со мной за его пивом. Он был так занят работой сети, обслуживанием клиентов, написанием программ и общественной жизнью. Иногда мне казалось, что серьезное отношение к безопасности мне никогда не встретится.

Как бы плохо ситуация ни выглядела, Джордж и Натан все же действительно хорошие люди. Они знают, как устанавливать и обслуживать системы. Им известны все тонкости подключения к Интернету. Но их проблема заключается в том, что они не знают, как защитить свои системы, и не обращаются за посторонней помощью. Они не думают о возможном вторжении хакера в их сеть. Так как они не считают безопасность приоритетной, то тратят свои финансы на любые другие цели. И конечно, получат то, за что платили.

У Джорджа и Натана могут возникнуть реальные причины для беспокойства в будущем. Взаимоотношения «провайдер/клиент» подразумевают ответственность провайдера, хранящего вашу веб-страницу и личный каталог, за безопасность, надежность и целостность вашей информации. Но до настоящего времени через суд не прошло ни одного дела в отношении безответственного провайдера, потерявшего информацию клиента. Довольно трудно сказать, чем должны руководствоваться судьи. Я считаю (и большинство клиентов думает так же), что суд должен принимать во внимание то, что если вы оплатили данную услугу, то ваша информация попадает в руки к специалистам, которые должны обеспечить ее защиту и безопасность. В конце концов, разве не за это вы платите?