Comments 45
По-моему, хорошая история.
В качестве критики добавлю, что мне кажется, что полное содержимое почтовых писем излишне - усложняет восприятие текста и не добавляет погружения.
Пишите еще! Так же, будет интересно в будущем почитать аналитику на тему успешности данного подхода
Спасибо на добром слове и за критику. Учту в следующем цикле рассказов. Этот цикл уже написан и статистика по нему есть. Будет опубликована вместе с последним рассказом. Их всего 6 для не технических специалистов.
Следующая серия только пишется и я застрял на 1 рассказе про атаку на цепочку поставок. Копипастить и рерайтить уже описанные случаи не хочу как и раскрывать некоторые истории участником которых был сам. Но и достоверность сохранить надо. В общем тяжела судьба графомана :-)
Это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.
Интересно, а клиенты, которые же сами вносят кучу формулировок про обеспечение безопасности данных, паролей в том числе, осознают, что всё это работает, пока всё хорошо? И если делать все "по правильному", то контрагенту всё равно, что они теряют 100500 денег в секунду и нужно поступать, как это требуют ограничения в договоре?
У меня лично было 2 случая с очень разными компаниями, но поведение 1:1.
Что-то намудрили DBA-шники заказчика в БД и система стала работать со сбоями. Доступ запросили около 6 месяцев назад, но всё никак согласовать не получалось + были какие-то технические проблемы (то VDI не запускался, то в список разрешенного ПО не добавили необходимое). В пятницу вечером нашлись вообще все! Доступ организовали менее чем за 1 час!
Заказчик что-то хотел обновить и после обновления ОС запускается, а наше ПО как будто нет. Опять же ИБ лютует и никого не пускает. Терпели 1-2 дня, потом кто-то кому-то что-то сказал и вместо очередного письма про "отправьте заявку, авось согласуют" позвонил сначала руководитель IT-подразделения заказчика и спросил "куда надо доступ и какого уроыня?", а сразу после него уже позвонил кто-то из внутренней поддержки заказчика и сделал всё, чтобы доступ появился в течении 5 минут.
Доступ к «ГазНефтьТелеком» был только у Виталия. А Виталий завтра увольняется.
Странно, что о передаче полномочий задумываются на уровне сотрудников вечером перед увольнением.
Это не "странно". Это катастрофа. И о таких катастрофах как правило очень заранее предупреждают заказчика. Т.е. типичная история:
Вендор: "Чтобы обеспечить оперативную поддержку нужны доступы для 5 человек. У вас, дорогой заказчик 2-х факторка. Создайте пожалуйста нам 5 учёток, вот список."
Заказчик: "Наш ИБ разрешает только 1"
Вендор: "А что будем делать когда этот 1 пойдёт в отпуск, в Вам нужно будет что-то срочно решить? В договоре же сказано, что учётки не могут передаваться"
Заказчик: "А давайте решать проблемы по мере поступления! ИБ сказал нет - значит нет".
____
Через полгода-год
Заказчик: "А-а-а!!! Теряем 100500денег!"
Вендор: "Доступа к вам нет. Решите - поможем"
И вот тут моментально находятся все нужные люди, всё согласуется за минуты и доступы дают на всю команду :-)
лет 8 назад мне приснилось, что: в одном таком газнефтьтелекоме на три дня встали розничные продажи в целой стране только из-за того, что на новогодних каникулах не было ни одного безопасника, который мог согласовать продление технических учеток со сроком 31.12. С тех пор в конторе появились дежурные согласующие, которые должны быть доступны 12/7 и реальные схемы эскалации
Сказка про белого бычка. Компания в которой остался один человек, которого уже коррумпировали(заметьте за 200к всего) - уже не жилец. Вопрос тут в целом не в паролях (их можно было похитить так, что жертва об этом ничего не узнала бы), а в том, почему СБ не приняла этого деятеля еще до того, как он "дернулся". В том, почему достаточно одного пароля. В том, почему пароль уволенного работал. Итд итп.
Ну и боюсь какая-то сукцесс стори с пхукетом - это совершеннейшая фантастика. Ну т.е. безусловно в море ты искупаешься, но как в том анекдоте "в среду нырнул - в субботу всплыл"...
дык понятно же что очень упрощенно все.
а насчет 200к - вона ирл находятся умники за обещание 50к релейный шкаф на жд путях поджечь
причем 50к рублей, а в истории 200к долларов
Это ведь ведущие айти специалисты тоже ?
Сколько в год получал уволившийся человек? Тот кто один тащил 50+% работы всей компании :)? Сколько получал оставшийся?
Если конкуренты могут подкупить ваших сотрудников и остаться в плюсе, то что-то крупно не так либо с организацией работы(слишком много завязано на одного человека для которого 200к$ это прям мечта всей жизни), либо с их зарплатой.
А как же истории с сотрудниками которые устраиваются в компании чтобы промышленным шпионажем заниматься? Как-то же они СБ проходят...
Прикольно. Правда через весь пафос очень тяжко пробираться по сюжету.
Сказка для детей - это как надо упороться, чтобы дать левым людям доступ на продуктив, да ещё и обеспечить этот доступ таким образом, что они могли бы что-то себе забирать самостоятельно
Возможно Вы знаете способ, как предоставить вендору возможность обновлять прод иначе? Расскажите пожалуйста. Мне самому не очень хочется подписывать тонны соглашений с очень подробным "туда ходи, сюда не ходи". И системы бывают разные. Просто на поверхности: предоставлен доступ к проду, но к почте\буферу обмена и проч. закрыт. Что мешает тупо скриншоты делать и распознавать?
Да, способ есть вендер пишет детальную инструкцию, высылает подписанной электронной подписью фикс, и админы клиента накатывают.
На край сотрудник вендоров присылает фикс с электронной подписью, инструкцию что он будет делать, приезжает в офис заказчика и вместе с админом накатывает фикс, разумеется с только необходимыми правами только к папке приложения и без всякого доступа к инету со стороны сервера. И это не самое параноидальное у вас военных часто в доступ к секретной части компов нет физически, то есть если и что-то обновлять, то править исходные коды руками и генерить новые исходники.
Вы забыли единорогов пукающих бабочками!
Последнюю инструкцию которую я как представитель вендора 2 года назад отправил таким вот клиентам, недавно в очередной раз (4 или 5 по счету) надо было исполнить. Всего 3 sql-запроса в которые надо было вставить доменное имя в одном месте. Выполнили только 1 вставив не то доменное имя! И потом 2 недели почти каждый день таскали на созвоны и выясняли почему не работает. Показать результат отказывались ссылаясь на ИБ и не признавались в том, что всё сделали не так. И это не единичный случай!
Как вам специалисты крупного провайдера, которые не в курсе, что это за "список отозванных сертификатов"? Или "мы пропишем в строке подключения https://ip-address и все будет работать!". А то, что серты выдаются на имя, а не на IP приходится очень долго объяснять. И эти люди рулят инфраструктурой огромного телеком-провайдера!
Так что бизнес зная что-то о своих сотрудниках предпочитает согласовать доступ или оплатить командировку через всю страну, но обойтись без инструкций:-)
Мы говорим как надо или как получается из-за криворуких клиентов, набравших родственников руководства и школьников за копейки?
Это две большие разницы.
Ну и просто у меня опыт работы с несколько более серьезными компаниями, чем у вас.
Сформулирую иначе: как сделать правильно и чтоб работало и с учётом реальности? Той самой реальности в которой инструкции читают по диагонали, родственников нанимают и прочую дичь творят.
Потому хотя бы в такой форме попытаюсь хоть чуть ситуацию улучшить.
Опять же Ваше решение условно применимо с точки зрения заказчика, а я готовил рассказы для сотрудников вендора. Я хочу чтобы люди хотя бы по глупости не подставлялись. Коррупция будет всегда в той или иной форме и там другие способы борьбы. А я тут про образование:-)
А что бы изменил кейс, если Денис получил доступ официально через клиента? Он так же бы слил данные и свалил, а клиент все равно собак повесит на вендоров, хоть и сам себе злобный Буратино давший админ доступ ко всему.
Минус одно звено в цепочке как минимум. И Вы упорно не замечаете главную идею которую я доношу до читателя. Давайте прямо:
НИКОГДА! НИКОМУ! НИ ЗА ЧТО! НИ ПОД КАКИМ БЛАГОВИДНЫМ ПРЕДЛОГОМ! НЕ ДАВАЙ СВОИ КРЕДЫ!!!
Если хоть один менеджер прочитав это вместо манипуляций типа "ну там клиент негативит дай/возьми чужой пароль и почини" пойдёт и уведомит клиента об увольнении сотрудника и о необходимости создать новую учётку, значит уже не зря старался.
Такое даже в военке встречается редко, в более "приземлённых" вещах типа банков всё сильно проще - несколько месяцев изучаешь дев, потом выдают доступы в прод - и твори дичь. При этом я был субподрядом субподряда, даже не представляю сколько там внутри было посредников - при этом через месяц после массового сокращения ребутнул комп, впн радостно подключился к проду.. доступы не отозваны. Я конечно посмотрел, удивился, отключился, но будь у меня злой умысел, включая "недоволен расставанием" - разгребать они могли бы долго. Да, и меня бы в итоге нашли, логгинг там есть, но это не отменит потенциального вреда.
Для понимания - когда работал в scalable solutions, он же криптобиржа hitbtc и ещё 20 на той же базе - все доступы были отрезаны уже во время речи "мы пи**расы уходим из рф и кидаем тебя на деньги, всё-равно получал в конверте, ничего не докажешь, а учитывая что мы уходим - предъявлять будет и некому. И да, на отпускные за 3 года без отпуска ты тоже кинут через *уй."
>> в более "приземлённых" вещах типа банков всё сильно проще - несколько месяцев изучаешь дев, потом выдают доступы в прод - и твори дичь
Видимо, очень зависит от банка, я работал в двух банках из топ100 мировых - доступа даже на UAT у деволовера нет и получить почти невозможно (а на прод точно невозможно).
>> Такое даже в военке встречается редко
Я два года отслужил офицером-двухгодичником. И именно так безопасность там и обеспечивается.
Что-то безопасники на другой стороне очень быстро зашевелились. Так не бывает, если уж с выдачей доступов бардак - значит, и со всем остальным тоже.
Выше писал комментарий. Суть: пока всё ОК - да, согласование доступа это месяцы и тонны бумаги. Когда реально горит (не "клиент негативит", а реально санкции регулятора грозят или инцидент серьёзный) ИБ любой компании (даже государственной) очень быстро работать начинает. Буквально за минуты иногда вопросы решаются - была бы воля руководителя или риск высокий.
Так если они не шевелятся пока санкции регулятора грозить не начнут - откуда вообще они об инциденте-то узнали?
Когда инциденты происходят, то безопасники по разному узнают. Чаще их вызывают "на ковёр" и спрашивают в курсе ли они того, что происходит? Т.е. бизнес терпит безопасников с их закидонами сколько может, а когда безопасники заиграются окончательно или допустят инцидент - бизнес начинает стучать кулаком по столу, требовать решений, срочных действий и прочего.
Господа, приоткрою Вам как писались истории (все составляющие цикл включая эту): Реальная история описывается по пунктам как расследование. Далее меняется всё. Даты, имена, названия компаний, названия стран, суммы выплат. Потом отдельные блоки истории дополняются подробностями которые носят функцию "украшения" текста, чтобы это было интереснее читать не технарям. Потом отдаём на рерайт профессионалам которые доводят рассказ до состояние "можно показать людям".
Т.е. если кто-то думает, что это "сказка" или "так не бывает" и проч. Поверье - это ни разу не сказка и именно так и бывает. Сам видел к сожалению. В некоторых случаях ходил к следователю в качестве стороннего эксперта и показывал как обходятся некоторые моменты в системе которые лежали в основе обвинения человека в мошенничестве. И дело рассыпалось.
Не допускать ситуаций при которых доступ с экспертизой к критичным вещам есть только у одного человека. Отказоустойчивость должна начинаться с отказоустойчивости сотрудников.
При большом влиянии сотрудников на работоспособность системы (особенно с потерями миллионы в минуту) - не обижать сотрудников не доплатой, плохими условиями труда, ужасным графиком. Повышенный риск, повышенная ответственность - повышенная оплата.
Одна учётка - один человек. Если не дают более одной учётки - сами виноваты. Требовать фиксировать отказ документально.
Говорить правду, а не врать - т.к. сработает против всех участников процесса.
Многоуровневый либо индивидуальный доступ либо вообще мандатный.
clients_database.xlsx .... от создателей igra-prestolov-vse-sezony-bez-virusov.avi.exe.
Да и вообще немного дичь. Грубо говоря при таких потерях в минуту безопасность должна на совершенно другом уровне.
Масло масляное - проверял
Вода мокрая - проверял
....
А если серьёзно, то "безопасность должна на совершенно другом уровне" - об этом и речь! Огромные компании за огромные деньги нанимают компании\частников которые тестируют безопасность, платят большие зарплаты безопасникам которые производят тонны регламентов, а в итоге в этом году сколько крупных утечек и взломов было? Точно не один. И вот видя весь этот театр цирк безопасности при котором люди далёкие от IT (юристы, менеджеры, экономисты, бухгалтеры, делопроизводители, секретари) обладают возможностями раскрыть информацию\принести трояна в контур и проч. но при этом не обладают знаниями основ, мы и решили с командой, что надо как-то ситуацию менять. Как-то доносить. Если я просто кину ссылку на очередной postmortem с хабра или напишу отчёт или просто очередной список "туда не ходи - снег в башка попадёт", это читать не будут и значит эффективность =0. А если я найду формат который донесёт до НЕ технарей основные сценарии развития атак на них - эффективность уже не будет нулевой. Какой будет - покажет время и регулярные тесты которые у нас проводятся.
Сильно не минусите плз. (я наверное был не прав, но вам судить)
Расскажу реальную историю:
Работал я в крупной компании и делали мы объект для не менее крупной компании. Проект на год - полтора. Я заведовал 3 системами.
И вот вроде все идет к сдачи, но заказчик встает в позу, не приму, по мелочным придиркам, на работу никак не влияющих. Ну мы и выключили все нафиг. Системы уже в эксплуатации, а денег и документов нет.
Быстро организовали нам сдачу экспрессом, но все равно не складывалось - бюрократия...
А в это время, моя контора начала задерживать ЗП, платить по 30-40% и в общем готовиться к банкротству.
В итоге, у них передо мной задолженность в 4 месяца ЗП, а заказчик говорит - готов подписать приемку, сдавайте доки, давайте пароли.
Так вот хрен я им пароли отдал. Сказал, после расчета.
Все кончилось хорошо, через заявление в суд, рассчитали и я все отдал.
Кажется как будто статья написана ради " Но Денис уже пил коктейль на пляже Пхукета", ты слей пароли, а там новая жизнь, а на деле депортируют даже не по запросу интерпола, а миграционки.
Статья написана ради того, чтобы когда в очередной раз менеджер придёт прыгать на голове сотрудника поддержки и орать "возьми чужой пароль и почини!", сотрудник поддержки нахрен послал менеджера добывать персональный пароль и привязку к собственному 2Fa (телефон или токен - не столь важно). И свой никому не давал осознавая, что "когда надо - всё быстро согласуют и дадут. А если не очень надо, то и незачем собственной шкурой рисковать нарушая правила соблюдать которые сам подписался".
Вот закрылся ithappens и приходится теперь писать сказки самим(
Есть ещё одна интересная история. Про типа, который душу вложил в проект, а когда он начал работать, его уволили. Тип навернул всю экосистему и снёс все исходники и репозитории. Вообщем, ноль на выходе. Уголовка, 3 года суда. Два года условно. Апелляция на протяжении почти 2 лет. И когда срок давности подходил к концу, а тип получил положительную рекомендацию от надзорных органов, что всё ок, условку выпронил, апелляция сносит решение первой инстанции и даёт типу 2 года реального срока. Вот так вот. В этой истории есть один интересный момент - по таким делам реальные сроки не дают. А тип получил два года интересных ощущений на реальной зоне, да ещё общего режима.
Уволившийся сотрудник