Сетевая безопасность и организация бизнес-процессов в организациях

Чуть больше года назад я поднял тему безопасности финансовых институтов в интернете. Речь шла о том, что так называемые "специалисты по безопасности" в большинстве фирм, занимающихся финансовой деятельностью в сети, плохо понимают специфику интернета.

В качестве примера я привел список доменов, графически похожих на домены финансовых фирм, которые так и просились, чтобы их использовали для фишинга, и которые специалисты соответствующих фирм не поспешили превентивно занять.

Тогда же я зарегистрировал эти домены, чтобы не достались злоумышленникам, и выразил готовность бескорыстно передать эти домены владельцам соответствующих торговых марок по их первому требованию.

Требований не последовало. Тогда я списал это дело на личную обиду по отношению ко мне – на меня, как ни странно, действительно обиделись за ту публикацию, а кое-кто даже не сдержался, чтобы выразить мне эту обиду лично или через посредников. Но время прошло, срок регистрации доменов истек, продлевать я их не стал. Хотя стоимость доменов копеечная, с какой стати я должен за свой счет печься о безопасности тех кто сам о ней не печется?

Но когда домены освободились, я все же конечно глянул, забрали ли их правообладатели? Нет – не забрали! Ну и бог с ними, сами будут расхлебывать, если что-то случиться. А в том, что случиться рано или поздно, я не сомневаюсь.

За прошедший с той публикации год, мне несколько раз довелось понаблюдать за тем, как поставлена сетевая безопасность в банках и платежных системах, и иллюзий на этот счет я не питаю. Но если раньше я списывал всю "дурь" в этой области на низкую квалификацию специалистов по безопасности, то теперь я больше склоняюсь к тому, что виновата система организации бизнес-процессов в организациях.

Иной специалист по безопасности может и зарегистрировал бы все потенциально опасные домены, но прекрасно понимает, что главбух никогда не подпишет ему счет на покупку списка совершенно невразумительных и очевидно бесполезных буквенных сочетаний. Полтора миллиона баксов на покупку системы новейшей сигнализации – помахнет не глядя. А вот с шестистами рублями на покупку непонятного домена, который даже не будет использоваться – пошлет куда подальше.

Парадокс – но такова специфика нынешней бизнес-бюрократии. Современные бизнес-процессы построены на простом (а порой и тупом) воспроизведении уже отработанных, готовых бизнес-технологий. Работающему в такой системе специалисту даже не надо понимать сути происходящих процессов. От него требуется только четко знать, какие действия следует предпринимать в той или иной ситуации. В таком-то случае – подготовить такой-то документ, в таком-то – отправить факс, а в таком-то, наоборот, принять факс и отнести в такой-то кабинет на подпись.

В такой системе вышестоящее звено оценивает эффективность работы нижестоящего звена по тому, насколько эта работа "видна". В понимании начальства слово "видна" означает некую видимую деятельность. Специфика же обеспечения безопасности наоборот, такова, что чем лучше работает служба безопасности, тем менее она видна. Если за год-другой в вашей конторе не случится никаких эксцессов, связанных с безопасностью, то при распределении премий о вас вряд ли вспомнят, а вот сомнения у начальства, стоит ли тратить большие деньги на безопасность, если все равно ничего не случается, вполне могут возникнуть.

Если вы будете регулярно обновлять софт и ставить новые заплатки на операционную систему – начальство это вряд ли заметит и оценит. А вот ваша инициатива ограничить сотрудникам доступ в интернет, дабы не занесли заразу – не пройдет незамеченной и, скорее всего, будет оценена. Ваша инициатива зарегистрировать "на всякий случай" полтора десятка бесполезных и ненужных доменов вызовет недоумение, а то и неодобрение. А вот ваше предложение изъять изо всех компьютеров USB-слоты, чтобы сотрудники не дай бог не воткнули туда чего-нибудь вредное, продемонстрирует начальству ваш серьезный подход к делу.

Большинстве отечественных контор, специалисты по безопасности заняты двумя делами сразу: с одной стороны они действительно должны заботиться о безопасности, а с другой стороны перманентно демонстрировать свою полезность и необходимость. При этом всякие преференции, как правило, они получают за второй вид деятельности, а за первый же наоборот, вместо преференций могут получить по шапке.

К сожалению, второй род деятельности имеет ту неприятную особенность, что, демонстрируя его, служба безопасности обычно рано или поздно подходит к той черте, когда предпринимаемые ею демонстрационные "меры по безопасности" начинают создавать неудобства в повседневной деятельности собственных сотрудников фирмы. И как только это происходит, на всей безопасности конторы можно ставить крест. Потому что испытывая неудобства из-за мер безопасности, рядовые сотрудники вольно или невольно будут искать способы обойти их. А от совместных усилий по взлому и со стороны злоумышленников, и со стороны собственных сотрудников выстоит очень редкая система.

Расскажу несколько вполне реальных историй, свидетелем которых я был.

В некоей конторе сетевой администратор, по совместительству отвечающий и за информационную безопасность, вышел с предложением к начальству не только ограничить сотрудникам доступ к "одноклассникам" и "в контакте", но и вообще – ограничить доступ в интернет лишь небольшим перечнем сайтов, действительно необходимых для работы, и никуда кроме этих сайтов сотрудников не выпускать. Начальству идея понравилась.

Был составлен перечень "нужных" для работы ресурсов, а доступ к остальным был перекрыт. Ну, понятное дело, все предугадать заранее нельзя, а потому на случай если кому-то из сотрудников потребуется по работе доступ к сайту, не входящему в перечень, была разработана специальная процедура. Сотрудник должен был написать докладную записку начальнику своего отдела, тот ставил визу у директора, после чего администратор, проверив новый сайт на предмет безопасности, открывал к нему доступ, временно или постоянно. В случае если все цепочки звена были на месте, доступ можно было получить быстро – всего за пару часов. А если кого-то не было на месте, процесс мог затянуться на несколько дней.

В ответ на ропот сотрудников всегда следовал ответ, дескать, мало ли на какие сайты вы будете ходить, вдруг вирус в сеть занесете. Доходило до того, что сотрудникам порой приходилось выскакивать в близлежащее интернет-кафе, чтобы сделать срочную работу.

Потом вдруг кто-то обнаружил, что офис находится в зоне действия одной публичной сети WiFi. Наступила лафа. В "задних" USB слотах десктопов, надежно скрытых от глаз начальства засияли веселыми огоньками WiFi девайсы, а с ними пришли и "одноклассники" и "в контакте" и файлообменные сети. Ну и всякая вирусно-троянная гадость, которая быстренько разошлась по всей локальной сети, проскользнув мимо множества надежных защит, нагроможденных админом у входа в "официальный" офисный интернет.

Наказан был конечно не админ, а те у кого нашли WiFi. Хотя по большому счету для того, чтобы начать регулировать официальный доступ в интернет и оставить сотрудникам открытую возможность поставить "левый" интернет надо быть не просто плохим специалистом, но откровенным дураком. Ну и чтобы держать такого амина – тоже.

В другой конторе специалист по безопасности был куда как более грамотен. Он не только демонстрировал начальству свою полезность, но и реально пытался заткнуть все потенциальные возможности для злоупотреблений сотрудников. В меру своего разумения.

А потому права сотрудников были строго ограничены, чтобы они не могли устанавливать на своих компьютерах никакого софта, а USB-слоты в машинах просто отсутствовали, поскольку этот админ в отличие от предыдущего осознавал, что в USB слот можно воткнуть не только флешку с документами, но и еще кое-что. Никакого лишнего софта на компьютерах не было – строго то, что требуется для работы. Надо обменяться файлами – вот, есть CD, причем никакой софт с этого CD без воли админа на компьютер не встанет. Надо установить какой-то софт – пиши докладную начальству.

Ну ведь не будете же вы писать докладную начальству "прошу установить на моем компьютере "Фотошоп", потому что я хочу показать всем снимки из отпуска"? Или "Прошу установить MPEG проигрыватель, чтобы я мог смотреть фильмы"? Разумеется, не будете.

А хочется!

А раз хочется – выход всегда найдется. Сначала кто-то притащил графическую программульку Irfan View для просмотра фоток, которая вообще не требовала никакой установки и прекрасно запускалась без админских прав. Потом сотрудники открыли для себя огромный мир Open Source и вскоре поиск "софтин", которые могут быть запущены без прав админа, превратился в конторе в своеобразный вид спорта. На всех компьютерах конторы зашуршало великое множество левого софта, запускающегося без админских прав, и никак администратором не контролируемого. Ну а раз есть полезный софт, который может быть запущен без ведома и прав админа, то ведь должен быть и "вредный", как вы думаете кто?

Наказан за потерю важных данных был опять-таки не админ, а сотрудники.

Ну а третья история, которую я хочу рассказать, еще не произошла, но скоро произойдет.

На днях я был в одной компании, где милая юная девушка, рассказала, как недавно, вернувшись из отпуска, она обнаружила, что с целью безопасности изо всех компьютеров ее конторы были изъяты и USB-слоты и CD-дисководы, дабы сотрудники точно не занесли никакой заразы.

Нужно тебе загрузить на свой компьютер документ – отнести флешку или CD к админу, он проверит, и если опасности нет, скинет тебе принесенное по локальной сети. Но вот беда: то у админа очередь, то он занят более срочными делами, то ушел на обед. А начальство требует работу срочно, и оправданий, что "админа не было" не принимает, считает их пустой "отмазкой".

-- Тоже мне проблема, -- воскликнул один компьютерный гуру, присутствовавший в нашей компании, – отворачиваешь у компа сзади четыре винта, втыкаешь плату USB-контролера и никакой админ тебе больше не нужен!

Глаза у девушки заблестели, она достала ручку и стала расспрашивать, как точно называется плата и какие винты и где именно надо отворачивать. Делала она это так целеустремленно, что я понял – скоро услышу еще одну интересную историю.