IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
Говоря о результатах, я вспомнила, что у меня все еще работает Crack. Желая узнать, как много еще паролей Crack может взломать, я проверила файл crack.out снова. Невероятно! Было взломано еще 100 паролей. Еще более удивительным было то, что Crack не закончил свою работу! Он все еще «долбил», пытаясь угадать пароли. Очевидно, что пользователей никогда не учили тому, как выбирать надежные пароли. Также было очевидно, что системный администратор никогда не заботился о проверке надежности паролей.
Я схожу с ума, когда узнаю, что системные администраторы не обучают своих пользователей. Слишком часто при установке систем и формировании учетных
Кстати, на проблему ненадежности паролей было указано в отчете по аудиту прошлого года. И в отличие от некоторых других проблем, указанных в отчете, проблема паролей могла быть решена с минимальными усилиями. Мне кажется, что никто так и не смог сделать эти усилия.
Тому, кто проводил аудит в прошлом году, должно быть стыдно за то, что в отчете не указывается, сколько ненадежных паролей было обнаружено. Мне трудно поверить, что положение с ними было хуже, чем в этом году. К тому времени, как Crack завершил свою работу, им было взломано целых 190 паролей в системе с 520 пользователями. Почти каждый второй пользователь имел ненадежный пароль. При таком соотношении лучше было бы отказаться от паролей вообще. Почему бы просто не транслировать пароли по National Public Radio, чтобы напоминать их любому служащему, который позабыл свое второе имя или день рождения?!
Как дальше выяснилось, ненадежные пароли были лишь вершиной айсберга, угрожающего безопасности сети ISD. Главные проблемы, по-видимому, были сосредоточены в одной области: в области рисков безопасности, вызываемых самими людьми. Чтобы полностью выявить эти проблемы, я приступила к беседе с сотрудниками.
Для определения нарушений связей между сотрудниками я начала с верхнего уровня руководства и пошла сверху вниз. На своем пути я сделала ряд блестящих открытий.
• Руководство высшего уровня никогда не требовало и не получало отчетов о том, делаются ли какие-либо изменения в сети, повышающие ее безопасность.
• Руководители просто считали, что проблемы безопасности будут решены только потому, что они об этом сказали.
• Отдел системных администраторов был неукомплектован, и его сотрудникам не хватало времени на решение этих проблем в системах.
• Все рабочее время системных администраторов было занято подключением новых пользователей и поддержкой работы в сети систем компании. Если бы они захотели заняться решением этих проблем, у них бы просто не хватило времени.
• Системные администраторы также не умели решать проблемы безопасности. Они обратились за помощью к руководству, но подобный вид обучения не был предусмотрен в бюджете. Поэтому их запрос был отложен для рассмотрения в будущем.
• Линейные менеджеры также запросили расширить штат сотрудников по обеспечению безопасности сети. На это в бюджете опять не оказалось денег. И снова окончательный ответ на этот запрос был отложен на будущее.
Через год также не нашлось денег на новых сотрудников. Тем временем линейные менеджеры ждали, когда будет одобрен новый штат и новые сотрудники займутся решением проблем безопасности. В итоге — все ничего не делали и только ждали.
Удивительно,
Данная ситуация не является чем-то необычным. Как и многие компании, ISD проводила сокращение числа сотрудников. Поэтому запрос на увеличение штата сотрудников просто отклонялся. Может быть, линейные менеджеры недостаточно убедительно доказывали, почему такое увеличение штата сотрудников было абсолютно необходимо. Или их запрос потерялся среди других многочисленных запросов. Вы, возможно, знаете, что когда идет борьба за каждое рабочее место в условиях их ограниченности, то каждый запрос на нового сотрудника становится вопросом жизни или смерти.
Может быть и так, что запросы линейных менеджеров были достаточно убедительными, но их убедительность уменьшалась по мере продвижения через четыре уровня руководящей иерархии от запрашивающего руководителя до начальника, распоряжающегося финансированием. Несомненно, запрос финансирования был бы одобрен, если бы генеральный директор получил его собственноручно и в нем бы говорилось: «Эти средства требуются для устранения уязвимых мест в защите, так как вся сеть подвержена риску. Пока эта вакансия не будет занята, информация может быть легко украдена, изменена и уничтожена».
Резюме: Займите активную позицию
Как случилось, что финансовая сеть компании, вошедшей в список Fortune 500, оказалась такой уязвимой для атаки? Виной тому плохое руководство, недостаточное обучение, отсутствие связи между сотрудниками и сложная система прохождения отчетов (слишком много уровней руководящей иерархии).
Хотя руководящие сотрудники миссис Смит ясно себе представляли важность безопасности, они не предприняли никаких действий для получения подтверждения, что безопасность действительно обеспечена. Указаний «решить проблему» не достаточно. Руководители должны занимать активную позицию в вопросах безопасности. По крайней мере, руководители должны требовать четкого подтверждения в письменном виде того, что проблемы безопасности решены. В таком случае руководству из отчетов будет ясно видно, например, что проблемы безопасности не могут решаться по причине того, что на дополнительный штат сотрудников не выделено средств.
Во многих случаях безопасность зависит от финансирования. Степень важности информации, которую вы пытаетесь защитить, обычно определяет, сколько вам нужно потратить на ее защиту. Часто, квартал за кварталом, системы остаются подверженными риску только потому, что никто не думает о финансировании безопасности до начала взломов.
При таком развитии событий миссис Смит чрезвычайно повезло. Ведь информация компании могла быть уничтожена, а системы обрушились бы на несколько дней. Ей также повезло, что факт взлома не просочился наружу. Это вовсе не тот случай, когда генеральному директору хотелось бы попасть в выпуск новостей CNN. Ядовитые осадки плохой рекламы нанесли бы гораздо больше убытков, чем причинил в действительности сам взлом.