Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Я собрала материал и отправилась в суши-бар (Хигаши-Вест). Повара Ричард, Крейг и Гарт всегда встречали меня там с улыбкой в конце тяжелого дня, Наградой мне будет лучшее суши в Пало-Альто. Немного суши, немного участия и подбадривающая беседа позволят мне забыть о депрессивном состоянии безопасности в корпоративных сетях. Так и случилось.

Не успела я забыться, как зазвонил будильник. Было 4.30 утра — как раз есть время, чтобы пробежаться перед работой. В сонном состоянии я пошла на зарядку. Подсознательно я все равно прикидывала мой дневной план по завершению аудита в InterMint.

После пробежки я отправилась в InterMint и встретилась в холле с руководителем аудита Рэндаллом Милленом. Он выписал мне пропуск на этот день и определил время беседы с системными администраторами.

Я не распространялась Рэндаллу о моих находках, Я просто сказала, что нашла некоторые любопытные вещи, о которых сообщу позднее. Мне не хотелось слишком рано говорить о них. По взгляду Рэндалла я поняла, что он доволен моей работой. Но он еще не знал, что эта работа заставит его понять риск, увеличить финансирование и, что важнее остального, обеспечить обучение.

Еще раньше мое чутье подсказывало о существовании здесь проблем с обучением. Я знала, на что похожа «окопная» работа системного администратора. Во многих компаниях обучение является роскошью. Кроме того, что они должны быть быстрыми, сообразительными и способными справиться с любой неисправностью, системные администраторы считаются всезнайками, выведенными в пробирке, унаследовавшими хорошую карму или полученными с помощью другого метода, но только не в результате хорошего обучения. Администраторы, не вписывающиеся в такие рамки, будут съедены в сыром виде — совсем как суши.

Я побеседовала с каждым из системных администраторов отдельно, чтобы узнать их мнение о том, почему административная сеть защищена, а другие системы широко открыты. Чтобы сразу узнать больше, я начала с системного администратора, обслуживающего административные системы. Хосе хорошо знал свою работу, и я хотела узнать, как он смог этому научиться и почему другие этого не смогли сделать. Беседуя с Хосе, я обнаружила, что он очень много знает. Он был доброжелателен, и с ним легко было говорить. Он понимал всю важность административных систем. Как я уже говорила, система генерального директора была взломана, когда Хосе только начал работать. Он быстро выяснил, где и какой недостаток имеется в системе. После этого случая в компании усилили контроль над безопасностью, а Хосе прошел полный курс обучения по поддержанию безопасности в сети. Я спросила его, что он думает о состоянии безопасности остальных систем компании. Он не мог на это ответить, но сказал, что сомневается в хорошем состоянии безопасности, так как никто из других системных администраторов не был обучен ее поддержке. Он также деликатно заметил, что сомневается в способности коллег сделать свои системы безопасными.

Опрос остальных системных администраторов подтвердил подозрения Хосе. Ни один из них не был обучен поддержанию безопасности. С Тией даже не проводилось базового обучения как системного администратора целых шесть месяцев с момента ее поступления на работу! Для таких, как Тия, это большая проблема, так как она никогда раньше не занималась поддержкой платформ UNIX. Ее успех в настройке безопасности систем зависел от того, как она будет обучена одним из других системных администраторов. А так как другие системные администраторы не знали, как безопасность настроить, то и Тия не могла ничему от них научиться.

Дон, Кендзи, Смиту и Тию с Хосе объединяло то, что все они были очень умными людьми. У всех был опыт программирования, а Тия и Кендзи даже имели ученые степени по вычислительной технике. В нашей среде необразованных людей не встретишь. Просто их заталкивают на должности персонала технической поддержки, как это обычно случается с системными администраторами, и говорят, чтобы они учились в процессе работы.

Метод «плыви или тони» в области обеспечения безопасности редко срабатывает. Вы не сможете научиться защите систем на своем рабочем месте, если рядом с вами никто этим не занимается. Нужно создавать хорошо налаженную практику обучения. По меньшей мере, тот, кто уже обучен, как, например, Хосе, должен передать имеющиеся у него приемы и знания остальным сотрудникам. А именно приемы, как настроить общую безопасность, и знание того, почему некоторым системам необходимо обеспечивать повышенный уровень безопасности. В идеале остальные сотрудники тоже должны были бы пройти курс профессионального обучения безопасности, чтобы научиться настраивать и поддерживать сети, не допуская взлома.