Стажист — знахідка для шпигуна

Привіт, Хабр.

Я студент профілю «інформаційна безпека автоматизованих систем» і так склалося, що мені не все одно на ІБ. Чудово розуміючи, що в цій області крім знання ГОСТІВ, всіляких документів, технічної підкованості, англійської, впевненості в собі і так далі-далі, мені знадобиться ще й досвід роботи; з початку повноліття шукалися всі можливі варіанти цей досвід отримати. Так само відомо, що просто так займатися безпекою у себе в фірмі ніхто не дасть, а в консалтингу потрібні щонайменше специ на цілий день, було прийнято рішення йти працювати в компанію звичайним стажистом. А там вже розвиватися, шукати контакти, зв'язки, цікавих людей і інше. Зрештою досвід зайвим рідко буває.

Загалом, на даний момент закінчується моя деяка за рахунком практика в деякій по рахунку компанії. Всі компанії були російськими; напевно, це важливе уточнення. Кожна компанія займалася розробкою якого-то, відповідає за безпеку. Попрацювавши в кожній компанії, я не в змозі вгамувати вогонь у грудях, який з'являвся, дивлячись на стан корпоративної безпеки. Ви будете праві, якщо після прочитання скажете, що це просто юнацький максималізм і я хочу досягти ідеалу, і взагалі ІБ — це дуже нудно, програмістом бути цікавіше і так далі. Відразу обмовлюся, що у всіх компаніях у мої обов'язки входило тестування різних продуктів. На співбесіді обмовлялося, що для початку я хочу тільки стажування.

Тепер, коли ми знайомі, давайте почнемо.

Далі буде список, як мені здається, грубих порушень норм корпоративної безпеки. Можливо, в силу відсутності досвіду в даній сфері, моя думка буде помилково. Дуже уважно поставлюся до будь-яких коментарів і критики з цього приводу.

1) На кожному місці роботи у мене був вільний/майже вільний доступ в інтернет до всіх ресурсів. Так само можливість викачувати і встановлювати будь-ПО. Ніяких систем контролю співробітників встановлено не було.

2) На кожному місці роботи не було прописано чітких інструкцій щодо зберігання і створення пароля. Аж до такого випадку:

Мені був необхідний деякий документ, який перебував на комп'ютері керівника. На той момент керівник був у відпустці і мені порадили просто йому зателефонувати з метою з'ясування пароля (логін був у всіх типу n.surname). Довго згадуючи, хто я, він все ж повідомив мені свій пароль. Після чого ніхто з працівників, включаючи заступник керівника, не стежив, що саме я виконую на комп'ютері. Справа була в п'ятницю. В понеділок керівник вийшов на роботу і скомпрометований пароль не змінив. Що цікаво, цей пароль підходив до пошти (двофакторної аутентифікації не було) і облікового запису внутрішнього кампуса.

3) На кожному місці роботи можна було використовувати будь-які записуючі пристрої. І копіювати будь-які файли, рівно як і відсилати поштою. Можливо, дійсно важливі файли і документи, які б блокувалися, просто не знайшлися. Але все, що стосувалося тих вимог, опису багів, фичей спокійно перекидалося по пошті.

4) На деяких місцях роботи облік взятих у користування дисків, рутокенов, знімних пристроїв, моніторів, муршрутизаторов та іншого заліза не вівся належним чином. Якщо точніше, то незважаючи на наявність людини, який повинен був записувати такі моменти, він просто надавав шафа і просив написати лист. Більш того, після використання чого-небудь саме співробітник повертав предмет в шафу. Так що все, що потрібно зробити, просто при поверненні покласти свій диск/флешку в шафу, підписавши аналогічним чином типу «продукт №n збірка №m». Антивірус, до речі, теж ніде не стояв.

5) Системи відеоспостереження і пропускна система. На одному місці про камери не чули, мовляв все всім довіряють. Камера була одна і на вході. В іншому місці камери дуже любили і всюди пхали, абсолютно не замислюючись про те, що чоловік, який стежив за всім цим, не мав відношення до компанії і міг стежити за тим, хто і що робить. Ніяких захисних плівок чи вставок на моніторах не було. Що стосується пропускної системи, то тут вже людський фактор. Безліч раз, ще тільки починаючи працювати в компаніях зі штатом більше 100 чоловік, мені притримували двері, яка відкривалася карткою-ключем. Не думаю, що всі ці люди мене знали.

6) Серверні. На одному з місць роботи ключ видавався під розпис. Так-так, звичайний ключ. Просто під розпис. Так, навіть мені, стажисту. Ну а далі зліпок начебто, так? В тій серверної, до речі, камер не було. Серверна в іншому офісі просто відкривалась на цілий день для всіх. Та ні, там не було камер ні в коридорі, ні в самій серверної.

7) Пароль для внутрішніх системних папок, «режим бога» в розробляється ЗА і деяких інших речей був один.

8) Переговорні були відкриті, до співбесід ніяк не перевірялися (а співбесіди майже скрізь були та часті), звукоізоляції там явно не було.

9) Так само в одній з компаній абсолютно випадково була знайдена інформація про судові позови.

10) Був інцидент, коли фінансовий звіт розійшовся по пошті всім співробітникам

11) При переїзді одна з компаній втратила коробку з універсальними персональними ідентифікаторами, які потенційно давали доступ до будь-залізці, розробленої на той момент.

Безумовно, є принцип Іб, який говорить, що не треба стометрової стіною і колючим дротом захищати інформацію про дні народження співробітників. І всі методи і рішення повинні бути економічно доцільними. Але, повторюся, всі компанії займалися розробкою ПЗ, яке має цю саму безпеку забезпечувати.

В кінці кожної стажування я шукала спосіб поговорити з людиною, яка займається ІБ в даній компанії. Ні в якому разі не для того, щоб показати його неправоту, просто поговорити і задати питання. У більшості випадків керівники відмахувалися і говорили, що дані компанії все одно нікому не потрібні. Аудити після пари років проводити стало ліньки. А все, чим вони тут займаються, це… на це питання ніхто не дав точної відповіді. Напевно, на те вони і безпечники, такі таємниці зберігати. Можливо, російським компаніям просто необхідно, щоб їх інформацію почали красти. І це в нашому менталітеті страхувати будинок тільки після того, як він згорить.

У будь-якому разі, я сподіваюся, що є російські компанії, яким не все одно на збереження своїх даних.

Дякую за увагу. Дуже цікаво буде почитати ваші думки.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.