Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Коллеги Хосе вовсе не заслуживали такой же оценки. Юридические системы были поразительно уязвимыми. Мне хватило нескольких минут, чтобы получить контроль над первой системой. Я без усилий прошлась по системам всех юристов компании. Очевидно, Дон имела совершенно другой подход к установке и обслуживанию систем. Выглядело так, как если бы Дон (или ее начальник) считали юридические системы не столь важными, чтобы их защищать или контролировать. Несомненно, юристы InterMint испугаются, это узнав.

Я обнаружила, что юридические системы открыты настежь. Либо Дон не имела времени или желания настроить безопасность, либо она не знала, как это делать. Контроль и наблюдение также не работали — никто не заметил, как я перепрыгивала из одной системы в другую, выискивая все их юридические секреты. Я уверена, что конкурентам очень бы хотелось взглянуть на некоторые отрывки из информации, по которой я прошлась. Я набрала достаточно свидетельств (по доступу к файлам ограниченного пользования и юридическим документам), чтобы обеспечить юридический отдел ночными кошмарами, и перешла на финансовые системы.

Системы Кендзи были защищены не лучше, чем системы Дон. Через несколько минут я имела доступ к первой системе в финансовой сети. Еще через несколько минут я получила контроль над всеми финансовыми системами. Может быть, в этой компании юридическая и финансовая информация считается не столь важной, чтобы ее защищать? Или Кендзи и Дон просто бестолковы? Моим предположением было то, что руководство не понимает вопросов безопасности и риск для своей информации. Оно никогда серьезно не смотрело на меры защиты информации в своей сети. Если бы руководство поняло, что вся их информация в сети доступна любому, то, я уверена, их бы расстроила мысль о том, что кроме штатных сотрудников во внутренней сети могут законно присутствовать и другие. Подрядчики, клиенты, консультанты, временные сотрудники, надомные работники — выбор большой. В зависимости от вида бизнеса и степени развития компании список может быть еще длиннее.

Состояние систем Смиты было еще хуже. Я смогла получить полный контроль и доступ к информации в ее системах так же, как и в двух ранее тестируемых сетях. Но действительно пугало то, что я смогла бы сменить пароль, хранящийся в PROM [31] Programmable Read-Only Memory — программируемое ПЗУ. — Примеч. пер. аппаратной части, и обрушить систему. Смита лишилась бы доступа к ее системам до тех пор, пока я не сообщила бы ей новый пароль, иначе ей пришлось бы менять PROM в аппаратуре. С небольшими творческими способностями (и еще с меньшими моральными устоями) хакер мог бы захватить власть над всем операционным залом и перевести несколько миллионов долларов на оффшорный счет. Чтобы разориться за неделю, такой компании нужно потерять несколько миллиардов долларов, поэтому что для них значат несколько миллионов при таком богатстве?

Теперь меня стала беспокоить легкость, с какой можно было взломать системы фирмы. Конечно, последняя группа (системы отдела охраны компании) должна была опровергнуть мое мнение. Уж над этими-то системами должен осуществляться тщательный контроль. Не так ли?

А вот и нет! Тию, должно быть, учили «защищать» свою сеть Дон, Кендзи или Смита! Снова я, никем не замеченная, получила полный контроль над системами. Некоторая полученная мной информация была действительно аппетитной. Среди всего прочего я смогла добраться до файлов с подробной информацией по ведущимся расследованиям. Представьте себе, что вы мошенник, по которому ведется расследование в компании. Имея самый малый опыт взлома, вы сможете получить всю информацию по расследованию, проводящемуся против вас. Убрать немного информации здесь, изменить немного информации там, и вот — никаких вопросов к вам от отдела охраны! Расследование закрыто.

Я набрала достаточно фактов, чтобы закончить в аудите раздел тестирования. К тому же я чувствовала, что вволю начиталась конфиденциальной информации за этот день. Как большинство профессионалов в вопросах безопасности, меня беспокоила, главным образом, защищенность сетей. В данном случае очень беспокоила. Такая большая сеть и с таким чрезвычайным уровнем риска вызывала у меня подавленность. Так как эта корпоративная сеть существовала уже пять лет, то, скорее всего, такой уровень риска присутствовал все это время.

Многие думают, что аудиторы безопасности наслаждаются, обнаруживая неряшливое отношение к безопасности и риск в системах, и видят в этом смысл своего существования. По правде сказать, иногда меня захватывает возможность взламывать одну систему за другой. Как бы то ни было, в этот день у меня было более чем достаточно «прав на существование».