Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?
Очевидно, кто-то не обратил на это внимания при установке систем. А может быть, они просто доверяли каждому, кто имел доступ к сети музея, В современном мире такой уровень наивности может привести к большой беде! По словам Майкла Андерсона, эксперта по компьютерному праву и бывшего агента Министерства финансов США, в 85 процентах случаев промышленный шпионаж ведется изнутри компании-объекта.
Положительным являлось то, что технический персонал музея осуществлял регулярное резервное копирование и хранил ленты вне помещений сети. И все же предоставление свободного доступа к информации каждому в сети не было хорошей идеей. Как раз о таком риске я и должна была сообщить руководству музея.
Основную часть дня у меня занял взлом важных систем и сбор доказательств, необходимых для составления моего итогового отчета. Этап аудита, состоящий из взломов, был очень прост. Сортировка всей полученной информации не заняла много времени.
Когда все было рассказано и сделано, мой список рисков выглядел следующим образом:
• Настройки безопасности особо критичных систем были недостаточными.
• Сами системы не были классифицированы (некритичные, особо критичные и т. д.).
• Легко можно было получить права суперпользователя.
• Пароли легко угадывались.
• Не были установлены патчи, повышающие безопасность.
• Не было механизмов обнаружения вторжения, позволяющих предотвратить, обнаружить неавторизованный доступ к конфиденциальной информации или получить сведения о нем.
• Контрольных журналов просто не было.
• Имелась избыточность разрешений на доступ к файлам.
• Выполнялись ненужные сетевые службы.
Короче, Кирстен была права. Системы были широко открыты. Ни один из серверов базы данных, подвергавшихся высокому риску, не имел серьезной защиты, Почему? Для завершения аудита я должна была получить ответ на этот вопрос.
Мнение Кирстен на этот счет мне было уже известно. Нужны были факты. Так как была вторая половина пятницы, то мне придется ждать следующей недели. Довольно странно начинать аудит в конце недели, но так уж составлен график.
Я уже собирала вещи, когда вспомнила, что мне нужно лететь домой и встретиться в субботу с моей сестрой. Мы поедем с ней в Сан-Франциско на уикенд, где я буду ее баловать. Она гораздо младше меня — ей. 13 лет, поэтому я по возможности выкраиваю для нее время по выходным: она удовлетворяет свои капризы, а я трачу на это деньги. Я похожа на бабушку, которая не успела состариться. В этот уикенд мы должны посетить в Сан-Франциско столько музеев, сколько сможем. Среди всего прочего, девочка занимается изобразительным искусством (и у нее это получается) и любит ходить в музеи и картинные галереи. Было бы хорошо провести с ней выходные и посмотреть на музеи с другой точки зрения — не как на объекты с высокой степенью риска и летучестью информации из-за незащищенности систем, но как на само искусство ради искусства.
Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.
День 2-й: Системные администраторы против группы обеспечения безопасности
Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.
Мне предстояло во второй части аудита показать, почему системы не защищены, и это означало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продолжающуюся уже несколько лет.
Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.
У меня было ощущение, что за обнаруженными рисками кроется война между группой обеспечения безопасности и системными администраторами. Вскоре я в этом не сомневалась.
Кирстен запланировала интервьюирование всех причастных к этому делу игроков. Она любезно предоставила мне несколько свободных часов утром перед проведением бесед. Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)
Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и процедурами позволяет составить мнение об отношении компании к вопросам безопасности. Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.
Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было трудно читать и понимать. Мое внутреннее чутье подсказывало, что системные администраторы, вероятно, не настроили безопасность из-за того, что они не поняли политик и процедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось в них примерно три года назад. В результате некоторые политики даже не были технически корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали в защите системы дыру и делали бы систему более уязвимой для атаки.
Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале документация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безопасности или даже из музея.
Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группами. Групповое интервью часто сопровождается напряженностью, — даже когда не ведется война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на один с ключевыми игроками.
В чьих руках безопасность
Сначала я встретилась с системными администраторами. Так как они отвечали за настройку безопасности систем, то я хотела послушать их сторону первой. И конечно, еще потому, что системные администраторы всегда рассматриваются как главные виновники проблем, возникающих с безопасностью.
Я начала с общего вопроса: «Какие процедуры используются для настройки безопасности?» Невероятно, но ответом было: «Никаких». Их «процедура» заключалась в том, чтобы соединить системы с сетью без каких-либо мер предосторожности.
Я продолжала на них давить: «Разве вы не отвечаете за настройку безопасности систем?» Они отвечали: «Да, но группа обеспечения безопасности должна сказать нам, как это сделать. Так как их политики и процедуры безопасности лишены всякого смысла, то мы не знаем, как настраивать системы».
Я спросила далее о том, кто из них работает здесь дольше других. Один из системных администраторов поднял руку и ответил: «Я работаю уже пять лет».
Я спросила: «И эта проблема была все эти годы?»
«Да, я так думаю» — был его ответ.
Невероятно! Выходит, эти парни знали, что их системы годами подвергались риску, и даже не пошевелились, чтобы решить возникшие проблемы. Я попыталась им растолковать, что информацию систем нужно обезопасить уже сейчас, а не еще через пять лет, но, зная их историю, я не ждала быстрого решения проблемы.
Перекладывание ответственности
Затем я встретилась с группой обеспечения безопасности. Как и системные администраторы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем обвиняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети. Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»
Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Действительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.
Я продолжила беседу с группой обеспечения безопасности, системными администраторами и менеджерами, но их ответы большей частью касались одних и тех же проблем.
• Группа обеспечения безопасности отвечала за первоначальное написание политик и процедур. Но никто из них не отвечал за их обновление.
• Теоретически размещение политик и процедур на сервере должно было бы обеспечивать их легкую доступность для системных администраторов. На практике никто не сказал системным администраторам, как добраться до этого сервера.