Привет, Хабр.
Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.
В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.
Теперь, когда мы знакомы, давайте начнем.
Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.
1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.
2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:
Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.
3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.
4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.
5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.
6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.
8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.
9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.
10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам
11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.
Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.
В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.
В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.
Спасибо за внимание. Очень интересно будет почитать ваши мысли.
Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.
В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.
Теперь, когда мы знакомы, давайте начнем.
Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.
1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.
2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:
Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.
3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.
4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.
5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.
6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.
8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.
9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.
10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам
11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.
Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.
В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.
В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.
Спасибо за внимание. Очень интересно будет почитать ваши мысли.