IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

У руководства Rockland проект оптимизации пользовался большим успехом. Возглавившие проект специалисты по административным информационным системам Джо Дэвис и Марлен Шмидт были широко известны с лучшей стороны в медицинских кругах. К ним обращались за консультацией по подобным проектам и другие больницы. Дела Джо и Марлен шли хорошо, и они открыли свою компанию глобального масштаба по оказанию услуг больницам в оптимизации их систем.

Когда Мэтт Борланд приступил к руководству этими новыми системами, то вскоре обнаружил, что не все так хорошо, как казалось. Хотя Джо и Марлен покинули больницу героями, потребовалось

лишь небольшое время, чтобы у Мэтта возникли проблемы с оставленным ими хозяйством.

До этого Мэтт был системным администратором и знал, как трудно поддерживать системы в рабочем состоянии. Он был доволен своим назначением на пост руководителя технической поддержки компьютеров Rockland General. Он делал карьеру и теперь стал менеджером третьего уровня, что давало ему возможность подняться на следующую ступеньку служебной лестницы компании. За свои усилия по оптимизации системы Джо и Марлен были возведены в герои предыдущим руководством, и Мэтт полагал, что его усердный труд также будет вознагражден.

Но Мэтт вскоре обнаружил, что Джо и Марлен нарисовали лишь декорации. Они оставили после себя компьютерный зал с высоким риском и с тоннами конфиденциальной информации, доступной в сети больницы каждому, кто захочет ее скопировать, изменить или украсть. Так как Мэтт считал, что принял под свое начало первоклассную систему, после такого открытия он почувствовал себя глубоко несчастным.

Если вы недавно сами стали отвечать за техническую поддержку новых систем, то, возможно, лучше поймете затруднения Мэтта. Знаете ли вы, где в вашей сети находятся системы повышенного риска? Не оставили ли вам предшественники кошмар проблем безопасности, с которыми вы не знаете как справиться?

В начале главы я придала проблеме немного мелодраматизма, сделав последствием плохой настройки систем смерть. К сожалению, это действительно может случиться.

Каждый день менеджеры, директора по информационным технологиям и системные администраторы принимают системы, установленные другими людьми. Если при этом они не проводят аудит таких систем (вещь крайне редкая), то просто считают, что системы защищены. Это — рискованное предположение. Трудно обвинять в чем-то предыдущих руководителей и персонал технической поддержки, если вы уже распоряжаетесь системами шесть и более месяцев. Когда вы принимаете новые системы, то нужно немедленно их протестировать, чтобы знать, в каком состоянии они находятся. Независимо от того, что могли в прошлом наделать какие-то Мо, Ларри или Керли под конец рабочего дня, вы должны понять, что это теперь ваша система и работать с ней придется вам. Если вы являетесь системным администратором, то все обвинения будут направлены против вас. В конце концов, разве не вы обеспечиваете техническую поддержку систем?

Мэтт принял руководство технической поддержкой систем, но был так занят проверкой их работоспособности (так как это было его главной целью), что даже не задумывался о том, что могут возникнуть проблемы с безопасностью. К счастью для него, риски были обнаружены при проведении непланового аудита компьютерного зала. Если бы такого не произошло, то он мог бы потерять работу или, по меньшей мере, свою репутацию. И кто-то мог бы потерять свою жизнь.

Лишь случайно руководство Rockland General заглянуло за декорации. И пока вы не взглянете на состояние безопасности вашей сети,

вы можете и не испытать такого счастья. Итак, рассмотрим подробнее детали этого аудита.

День 1-й: Тестирование безопасности

Когда Мэтт стал руководить сетью компьютеров больницы, то он начал искать пути улучшения производительности сети и ее технической поддержки. Ему было очень важно поддерживать систему в готовности к применению. Доступность системы была одной из целей Мэтта.

Доступность — это важная цель. Если вы не можете получить доступ к информации о пациентах из-за того, что системы постоянно не работают, то у вас появятся проблемы (и вполне осязаемые). Мэтт постарался обеспечить надежный механизм отчетов о доступности систем. Один из системных администраторов даже отвечал за отправку таких ежедневных и ежемесячных отчетов Мэтту. Таким образом, Мэтт проявлял живой интерес к производительности и доступности сети.

В это же время аудиторы больницы решили провести неплановый аудит безопасности. Аудит был задуман без оповещения кого-либо из персонала, обслуживающего компьютеры, — даже Мэтта.

Довольно занятно работать в компании десятки лет и не знать ее собственных аудиторов. Но. они действительно существуют. И появляются по малейшему сигналу. То есть как только почуют риск на вашем участке работы. Аудиторы — это особая порода людей. Они высматривают риск, докладывают о плохом состоянии дел и стараются риск уменьшить.

Менеджер аудита Rockland General Мария Планк наняла меня для проведения аудита их компьютерного зала. Как и большинство больничных аудиторов, Мария не разбиралась в системах своего заведения. Но это не представляло для нее проблем. Она чуяла риск за милю. Это было в ее крови. До нее дошли разговоры о высоком риске в компьютерном зале, и она решила нанять кого-то для проведения аудита. Ей не нужно было выяснять, каким являлся (если он только был) риск: для нее было достаточно получить результаты от эксперта. В этом месте на сцену вышла я.

Выяснение риска

Из разговора с Марией я не получила много информации. Она говорила лишь о подозрении на риск. Я попросила у нее сетевую схему компьютерного зала и список систем, подозреваемых на риск.

Мария предоставила мне временный офис с телефоном и системой. Она также создала мне в системе учетную запись — на случай, если я захочу здесь писать мой отчет. Это было прекрасно. Я взглянула на сетевую схему. Ого, да здесь тонны серверов баз данных. Меня это не удивило — так бывает после основательной оптимизации. Удивительным было другое: ни одному из этих серверов не был присвоен класс риска. Иначе говоря, ни один из них не был обозначен как критичный, особо критичный или некритичный.

Так как Мария не знала, какие серверы подвергаются большему риску, то я решила определить это сама. Есть два способа получить эту информацию. Вы можете открыть сессию на каждом сервере и осмотреть хранящуюся в них информацию. (Этот способ отнимает много времени при наличии большого количества серверов.) Вы также можете опросить системных администраторов. Я не могла этого сделать, так как их не предполагалось уведомлять об аудите. Оставался первый способ. Теперь я вступала в игру. Ее целью было раскрыть как можно больше информации и рисков прежде, чем меня обнаружат.