Стажер — находка для шпиона
Привет, Хабр.
Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.
В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.
Теперь, когда мы знакомы, давайте начнем.
Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.
1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.
2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:
Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.
3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.
4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.
5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.
6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.
8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.
9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.
10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам
11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.
Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.
В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.
В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.
Спасибо за внимание. Очень интересно будет почитать ваши мысли.
Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.
В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.
Теперь, когда мы знакомы, давайте начнем.
Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.
1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.
2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:
Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.
3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.
4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.
5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.
6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.
8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.
9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.
10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам
11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.
Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.
В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.
В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.
Спасибо за внимание. Очень интересно будет почитать ваши мысли.
Comments 187
Only users with full accounts can post comments. Log in, please.