IT-безопасность: стоит ли рисковать корпорацией? - [56]

Кирстен проводила меня в холл и сказала, что встретит меня в понедельник в 9.00.

Выходные всегда проходят быстро, Я не успела это понять, как очутилась в холле, ожидая Кирстен и в готовности закончить аудит. Я немного волновалась.

Мне предстояло во второй части аудита показать, почему системы не защищены, и это означало проведение бесед. Я не боюсь бесед и встреч с людьми, но из слов Кирстен поняла, что ввязываюсь в войну, развязанную из-за настроек, политик и процедур и продолжающуюся уже несколько лет.

Хорошей новостью было то, что у меня появилось много энергии после уикенда. Обычно беседы меня подавляют. Это связано с тем, что мне часто приходится говорить с людьми, не заботящимися об информации, за обеспечение безопасности которой они получают деньги.

У меня было ощущение, что за обнаруженными рисками кроется война между группой обеспечения безопасности и системными администраторами. Вскоре я в этом не сомневалась.

Кирстен запланировала интервьюирование всех причастных к этому делу игроков. Она любезно предоставила мне несколько свободных часов утром перед проведением бесед. Я это оценила. (Кто знает, как выглядят эти парни до утреннего кофе?)

Перед тем как войти в зону боевых действий, я решила просмотреть политики и процедуры, выпущенные группой обеспечения безопасности. Обычно знакомство с политиками и процедурами позволяет составить мнение об отношении компании к вопросам безопасности. Компания, не имеющая хороших политик и процедур, как правило, не имеет и хорошей безопасности.

Я обнаружила несколько проблем с политиками и процедурами. Во-первых, их было трудно читать и понимать. Мое внутреннее чутье подсказывало, что системные администраторы, вероятно, не настроили безопасность из-за того, что они не поняли политик и процедур. Политики и процедуры также были устаревшими. Последнее изменение вносилось в них примерно три года назад. В результате некоторые политики даже не были технически корректны. Пунктуально выполняя один из документов процедур, вы бы проделывали в защите системы дыру и делали бы систему более уязвимой для атаки.

Чем дальше я продвигалась по материалам, тем больше убеждалась в том, что вначале документация была составлена кем-то, кто понимал важность политик и процедур. Вместе с тем у меня складывалось впечатление, что этот человек уже ушел из группы обеспечения безопасности или даже из музея.

Теперь я была готова к встречам с персоналом. К сожалению, это будут встречи с группами. Групповое интервью часто сопровождается напряженностью, — даже когда не ведется война. Я пошла на эту первую встречу, думая, что всегда смогу затем поговорить один на один с ключевыми игроками.

Сначала я встретилась с системными администраторами. Так как они отвечали за настройку безопасности систем, то я хотела послушать их сторону первой. И конечно, еще потому, что системные администраторы всегда рассматриваются как главные виновники проблем, возникающих с безопасностью.

Я начала с общего вопроса: «Какие процедуры используются для настройки безопасности?» Невероятно, но ответом было: «Никаких». Их «процедура» заключалась в том, чтобы соединить системы с сетью без каких-либо мер предосторожности.

Я продолжала на них давить: «Разве вы не отвечаете за настройку безопасности систем?» Они отвечали: «Да, но группа обеспечения безопасности должна сказать нам, как это сделать. Так как их политики и процедуры безопасности лишены всякого смысла, то мы не знаем, как настраивать системы».

Я спросила далее о том, кто из них работает здесь дольше других. Один из системных администраторов поднял руку и ответил: «Я работаю уже пять лет».

Я спросила: «И эта проблема была все эти годы?»

«Да, я так думаю» — был его ответ.

Невероятно! Выходит, эти парни знали, что их системы годами подвергались риску, и даже не пошевелились, чтобы решить возникшие проблемы. Я попыталась им растолковать, что информацию систем нужно обезопасить уже сейчас, а не еще через пять лет, но, зная их историю, я не ждала быстрого решения проблемы.

Затем я встретилась с группой обеспечения безопасности. Как и системные администраторы, персонал этой группы также знал, что сеть не защищена. Разумеется, они во всем обвиняли некомпетентных системных администраторов. Я их спросила, показывали ли они системным администраторам, как производить настройку безопасности, и они сообщили мне, что политики и процедуры могли быть взяты системными администраторами из Сети. Мне было сказано: «Любой, кто представляет, что он делает, должен знать, где их найти!»

Беседа с группой обеспечения безопасности подтвердила мои прежние подозрения. Действительно, парень, написавший политики и процедуры безопасности, покинул компанию два года назад. Они недавно поручили одному из сотрудников посмотреть, как их можно обновить. К сожалению, простое усовершенствование процедур на этой стадии было слишком незначительным, слишком запоздалым. Системы уже были широко открыты, а политики стали действительно непонятными.