Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уровень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах случаев промышленный шпионаж ведется изнутри компании-объекта.

Положительным являлось то, что технический персонал музея осуществлял регулярное резервное копирование и хранил ленты вне помещений сети. И все же предоставление свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о таком риске я и должна была сообщить руководству музея.

Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходимых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был очень прост. Сортировка всей полученной информации не заняла много времени.

Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:

• Настройки безопасности особо критичных систем были недостаточными.

• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).

• Легко можно было получить права суперпользователя.

• Пароли легко угадывались.

• Не были установлены патчи, повышающие безопасность.

• Не было механизмов обнаружения вторжения, позволяющих предотвратить, обнаружить неавторизованный доступ к конфиденциальной информации или получить сведения о нем.

• Контрольных журналов просто не было.

• Имелась избыточность разрешений на доступ к файлам.

• Выполнялись ненужные сетевые службы.

Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для завершения аудита я должна была получить ответ на этот вопрос.

Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно начинать аудит в конце недели, но так уж составлен график.

Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в субботу с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать. Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на бабушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франциско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобразительным искусством (и у нее это получается) и любит ходить в музеи и картинные галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки зрения — не как на объекты с высокой степенью риска и летучестью информации из-за незащищенности систем, но как на само искусство ради искусства.

Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.

Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.

Мне предстояло во второй части аудита показать, почему системы не защищены, и это означало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продолжающуюся уже несколько лет.

Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.

У меня было ощущение, что за обнаруженными рисками кроется война между группой обеспечения безопасности и системными администраторами. Вскоре я в этом не сомневалась.

Кирстен запланировала интервьюирование всех причастных к этому делу игроков. Она любезно предоставила мне несколько свободных часов утром перед проведением бесед. Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)

Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и процедурами позволяет составить мнение об отношении компании к вопросам безопасности. Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.