Николай Федотов: что придумано одним человеком, всегда может быть взломано другим

Адрес документа: http://itsec.ru/newstext.php?news_id=58395

Николай Федотов: что придумано одним человеком, всегда может быть взломано другим


02.06.2009



Николай Федотов, главный аналитик компании InfoWatch:

Приходится сталкиваться с разными видами злоупотреблений со стороны сотрудников IT-подразделений. Использование казённых средств связи в личных или иных неслужебных целях. Например, ваш покорный слуга видел, как работники IT-департамента коллективно сочиняли проект, обязательно предусматривающий дисковый массив не менее чем на терабайт. Он им был нужен для устройства сетевого хранилища фильмов и музыки, прежний в 160 Гб уже переполнился. Доступ к нему предоставлялся всем желающим бесплатно.

"Срезание углов" в процедурах безопасности. Когда положенные действия не выполняются или выполняются не полностью, при этом всем очевидно, что из-за этого страдает безопасность. Но делать как положено – лень, а вообще не делать – начальство заругает. Сюда же относятся "поблажки" друзьям и знакомым, в результате чего теряется смысл всех прочих мер защиты.

Введение для пользователей излишних требований и ненужных согласований, не выполняющих никаких функций кроме подтверждения значимости работников IT, утешения их самолюбия. Для работников "неинформационной" безопасности – это уже давно добрая традиция.

Саботаж технически некомпетентного начальства. Бывает двух видов. Когда глупые указания дуба-начальника айтишники откровенно и дружно игнорируют, делая все по-своему. Иногда правильно, иногда неправильно. И когда таким глупым указаниям из принципа следуют педантично, чтобы в результате все не работало.

В основном сотрудники используют технические способы обхода контроля со стороны работодателя. Руководство обычно делает ставку на социальные или организационные методы. Технари, соответственно, на технические. Каждый воюет тем оружием, которым лучше владеет.

Вспоминается случай, когда в одном крупном офисе руководство ввело вход-выход по индивидуальным прокси-карточкам. При этом компьютер фиксировал время прихода-ухода работника (включая уход на обед) и в случае сильных нарушений установленного режима генерировал отчет руководству. Айтишники, не будь дураками, при молчаливом согласии сисадмина модифицировали программу учета рабочего времени. Теперь все "свои" сотрудники, по данным компьютера, приходили на службу в 8:45 плюс случайная величина с гауссовым распределением и среднеквадратичным отклонением 7,5 минут. "Уходили" – соответственно. Время всех прочих работников по-прежнему фиксировалось честно. Постепенно в "заговор" пришлось включить, кроме айтишников, всех их друзей, знакомых, подруг, а также тех, кто просто узнал об этой системе. Через год "виртуально" приходили и уходили все, кроме директора и его замов (а они с самого начала были исключены из учета). Электронные замки со временем сломались, все карточки тоже сломались и потерялись, но директору на стол исправно ложились отчеты о времени прихода-ухода работников с натуральными гауссовыми отклонениями от среднего.

Что придумано одним человеком, завсегда может быть взломано другим. Особенно учитывая то, что в России подобные запреты и обязательства частенько противоречат законодательству. И, следовательно, не имеют юридической силы. Ваш покорный слуга сам неоднократно видел и подписывал такие обязательства. Подписывал – с хитрой ухмылкой юриста, а затем нарушал с чистой совестью правозащитника. К примеру, обязательство в течение 5 лет после увольнения не работать в компаниях-конкурентах. В каковую компанию-конкурента с радостью и перешел после того, как в этой бюрократические гайки были закручены сверх всякой меры. Перешел, кстати, не один а совместно с 50 – 60% процентами всех "технарей".

Чаще же организационные запреты обходятся техническими методами, а технические – организационными. Про первое пример уже был. Насчет второго – когда я некоторое время работал на предприятии со строгими правилами фильтрации внешнего трафика и не имел доступа к прокси-серверу и межсетевому экрану, чтобы сделать себе исключение из общих правил, отправился к начальнику и убедительно обосновал необходимость доступа со своей рабочей станции на внешний сервер по протоколу SSH. Сисадмин получил соответствующий приказ и сделал на межсетевом экране ма-а-аленькую дырочку для единственного адреса и единственного порта. Протянуть в эту дырочку VPN-туннель и пустить в него весь свой трафик было уже делом техники.

В заключение можно сказать следующее. Борьба с подобными злоупотреблениями – как борьба с преступностью: экономически оправдана лишь до какого-то предела. Полностью искоренить нарушения нельзя, будет хуже. Задачей является поддерживать определенный, социально приемлемый уровень нарушений. В каких-то компаниях этот оптимальный уровень совсем низкий (послушные, легко заменимые работники), в каких-то компаниях повыше (квалифицированные, "капризные" кадры), а кое-где борьба со злоупотреблениями вообще не оправдана, ибо ущерб от них – копейка.

Источник: slon.ru
http://slon.ru/


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100