Редакция InfoWorld обратилась к читателям с просьбой раскрыть самые неприглядные тайны ИТ — ложь, далекую от невинности, и темные стороны технологии, о которых другие могут и не знать. Все, что открылось, в редакции тщательно обдумали и сверили факты с тем, что известно экспертам в соответствующей области. Иногда эксперты соглашались со сказанным, иногда — нет.
Так простирается ли власть сисадминов дальше, чем ИТ-директора могут представить себе в самых страшных снах? Действительно ли сотрудники ИТ-отделов привычно уносят домой списанное оборудование компаний? Могут ли данные компании, хранящиеся в облаке, исчезнуть в одночасье? И правда ли, что мы переплачиваем за техподдержку?
Читайте — и узнаете, что думают по этому поводу наши источники и эксперты.
Тайна № 1. Вы в руках сисадмина
Когда ИТ-лиса взаправду распоряжается в курятнике
Каждый, кто следил за перипетиями Эдварда Сноудена, представляет себе масштаб разрушений, которые может причинить сисадмин, составивший для себя определенный план действий. Но даже ИТ-специалисты не осознают в полной мере, насколько свободно сисадмин может обращаться с самыми разнообразными ресурсами и каким может быть размер последующего ущерба.
«Для ИТ нет секретов, — сказал Пьерлуиджи Стелла, директор по технологиям провайдера управляемых сервисов защиты Network Box USA. — Я могу запустить сниффер для моего сетевого экрана и видеть практически каждый пакет, передаваемый с любого компьютера на любой компьютер. Я могу видеть, что люди пишут в своих сообщениях, какие сайты они посещают, что они постят в фейсбук. На самом деле только этические соображения удерживают ИТ-специалистов от злоупотребления властью. Фактически это своего рода мини-АНБ в собственном офисе».
Все вышеописанное носит даже большие масштабы, чем представляет себе большинство директоров информационных служб, считает Цион Сонен, директор по стратегии компании SafeNet, специализирующейся на защите данных.
«По моим оценкам, такое положение сложилось в 9 из 10 организаций, — отметил он. — Степень защиты компаний зависит только от моральных принципов ИТ-администраторов, которым доверены системы. В скольких компаниях сисадмины злоупотребляют привилегиями доступа, сказать еще труднее — во всяком случае их достаточно, чтобы давать материал для скандальных публикаций каждую неделю. Самое удивительное, что те же люди, которые представляют наибольший риск, часто наделены полномочиями для разрешения доступа».
Дэвид Гибсон, вице-президент компании Varonis, провайдер решений управления данными, согласен, что администраторы часто могут получить доступ к не предназначенным для них данным, оставаясь при этом незамеченными. По его оценке, можно говорить о половине всех специалистов, занимающих эту должность. Впрочем, дело не только в них — большинство пользователей имеют доступ к значительно большему объему данных, чем нужно для работы. По его словам, для исправления положения нужно с большей тщательностью работать в двух направлениях: ограничивать доступ для реализации модели наименьшего уровня привилегий и вести постоянный контроль за теми, кто обращается к данным. «Организации должны иметь возможность видеть, кто к каким данным обращается, кому принадлежат данные и кто к каким файлам получал доступ, — призвал он. — ИТ-служба может вовлекать владельцев данных непосредственно в принятие информированных решений о разрешениях и допустимом использовании».
Тайна № 2. «Несуны» от ИТ
Как ИТ-ресурсы, «отправленные в отставку», удивительным образом получают вторую жизнь
Старое аппаратное обеспечение редко умирает окончательно, оно часто находит себе новый дом — и иногда это дом ваших ИТ-специалистов.
«Сотрудники часто «утягивают» оборудование, от которого отказалась компания, — напомнил Кайл Маркс, генеральный директор компании Retire-IT, работающей с жалобами на мошенничество и нарушение конфиденциальности, связанными с распоряжением ИТ-ресурсами. — Мне не встречался ИТ-специалист, у которого дома не было бы хотя бы небольшой коллекции аппаратуры. Для многих унести домой какую-то старую «железку» — дело пусть и не совсем законное, но зато ненаказуемое. Они не воспринимают это как угрозу безопасности. Коль скоро оборудование списано, в таких действиях нет ничего дурного».
Оборудование, предназначенное для пресса или мусорной корзины, часто содержит важные данные, и их утрата может привести к уязвимости информации компании, владевшей этим оборудованием. И разумеется, это самая настоящая кража.
«Кража и мошенничество — серьезные деяния, открывающие широкие лазейки для нарушений конфиденциальности, — добавил Маркс. — ИТ-инсайдер может наделать много дел, если за ним не следить. К тому же в большинстве случаев люди, отвечающие за корректное уничтожение ресурсов (с предварительным уничтожением всех данных), — это сотрудники ИТ-отделов. Организации должны иметь процедуру, обратную закупкам, которая гарантировала бы корректный порядок уничтожения ресурсов».
Но действительно ли каждый ИТ-специалист ворует старое аппаратное обеспечение? Сотрудник, многие годы проработавший в сфере уничтожения ИТ-ресурсов, попросивший не называть его имени, возразил, что это не так распространено, как полагает Маркс. «Не хочу сказать, что воровства нет совсем, — отметил он. — Просто я не встречал в отрасли людей с таким образом мыслей».
Большая часть оборудования, следы которого теряются, пропадает по более прозаическим причинам — например, отгружается не там, где следовало бы.
«Обобщать в данном случае некорректно, на самом деле большинство компаний испытывают законную гордость за предоставление безопасных сервисов, честны и последовательны в своих действиях».
Тайна № 3. Хранить данные в облаке часто более рискованно, чем вы думаете
Вся защита мира бессильна, когда вы слышите: «Откройте! Полиция!»
Хранить данные в облаке удобно, но это удобство может обернуться дорого — потерей данных в юридическом беспорядке, порожденном делами, не имеющими к вам никакого отношения.
«Большинство людей не понимают, что когда данные хранятся в облаке, в системах других компаний, «рядом» с данными множества других предприятий, то возникающие у них юридические проблемы могут привести к раскрытию ваших данных», — предупредил Майк Балтер, директор корпорации CSI, специализирующейся на ИТ-поддержке.
Другими словами, ваши данные, находящиеся в облаке, могут быть изъяты при расследовании дела, к которому вы не имеете никакого отношения, просто потому, что вы хранили их на тех же серверах, где хранятся данные тех, против кого ведется дело.
Классической иллюстрацией может стать блокировка данных файлообменного сайта MegaUpload, предпринятая по распоряжению властей США и Новой Зеландии в 2012 году. Наряду с «сокровищницей» пиратских фильмов власти конфисковали данные тысяч законопослушных граждан и отказались вернуть их. До сих пор неясно, получат ли эти люди свои данные обратно.
«Риск такого захвата вполне реален, — подтвердил Джонатан Езор, директор института Touro Law Center Institute for Business, Law and Technology. — Если есть законное основание для того, чтобы правоохранительные или иные государственные органы затребовали устройства или системы хранения данных (на что в определенных обстоятельствах нужны соответствующие полномочия), и если в этих системах будут храниться данные и подозреваемых, и законопослушных граждан, то может быть изъято всё. Когда данные организации хранятся в каком-то месте, где их нельзя контролировать, она не сможет предотвратить получение кем-либо доступа к аппаратному обеспечению».
Пользователи, которые хотели бы защититься от худшего сценария, должны знать, где фактически хранятся их данные и какие законы в этом случае применимы, пояснил Дэвид Кемпбелл, генеральный директор компании JumpCloud, специализирующейся на обеспечении защиты.
«Мы рекомендуем найти провайдера услуг хранения в облаке, который давал бы гарантию хранения данных на определенных серверах, в определенных местах, таких как Amazon, чтобы можно было заранее уменьшить риски», — отметил он.
Шифрование данных уменьшает шансы, что если кто-либо захватит данные, то сможет прочитать их, добавляет Езор. Еще один хороший совет: храните недавние резервные копии под рукой. Вполне может случиться, что однажды эти копии станут единственным хранилищем ваших данных.
Тайна № 4. В вашем бюджете дыра, а босс дает карт-бланш по своему усмотрению
Официальная процедура закупки — для «черной кости»
Почти что в каждой средней компании, а нередко и в компаниях большего размера, существует два способа получить одобрение закупок, уверен Майк Мейкле, генеральный директор компании Hawkthorne Group, предоставляющей консалтинговые услуги в области менеджмента и ИТ. Есть официальная процедура закупок — требующая много времени и ставящая на вашем пути больше огненных колец, чем цирковой дрессировщик перед своими животными. И есть своего рода «выделенная полоса» для избранных.
«У руководителей старшего звена есть своя магистраль для закупок, — сказал он. — То, что от служащего ИТ-отдела может потребовать восьми месяцев хождения по официальным кабинетам, руководитель может получить за пару недель, если не быстрее. Я называю это «золотым планом предпочтений». Во всех правительственных и частных организациях, с которыми мне приходилось работать, существовал секретный план закупок».
Цель официальной процедуры закупок — помешать сотрудникам тратить деньги компании, как сказал Мейкле, если только они не знают волшебного слова. К сожалению, ИТ-директор не входит в клуб избранных, а это означает, что крупные закупки техники могут делаться без серьезного анализа стоимости и эффективности или учета стратегических потребностей ИТ.
«Начальство идет обедать, где слушает сладкие речи вендоров, после чего полмиллиона тратится на приложение для управления мобильным приложением, аналог которому и так есть в компании», — сказал он.
Впрочем, анонимный представитель частной фирмы, предоставляющей консалтинговые услуги оборонным предприятиям и компаниям из списка Fortune 100, уверен, что это не совсем так. Действительно, порой организации идут в обход стандартных процедур закупки, но почти всегда потребности ИТ-служб удовлетворяются сразу и им не приходится тратить недели, чтобы получить то, что им необходимо.
«Руководители, не искушенные в технологии, не знают об ИТ достаточно, чтобы принимать решения о крупных покупках, — добавил он. — Руководитель высшего звена может вмешиваться в процесс закупок, в заказе на закупку стоит его подпись. Если в технологии окажутся изъяны, можно отследить того, кто отдал соответствующее распоряжение».
Тайна № 5. Никто не уважает техподдержку
В этой службе сидят мальчики и девочки, которые просто читают по бумажке
Такое, наверное, знакомо очень многим. Вы звоните в техническую поддержку, и специалист, находящийся от вас, быть может, за тридевять земель, отвечает так, что у вас создается твердое впечатление, что он знает меньше вашего и просто зачитывает инструкцию. Возможно, так оно и есть.
«ИТ-поддержка — дешевая услуга, — посетовал Тим Синглтон, президент фирмы Strive Technology Consulting. — Инструменты, которыми пользуются большинство фирм, бесплатны, компьютеры не требуют специальных знаний, как это было раньше. Ребенок соседки или любитель гаджетов, работающий, например, в бухгалтерии, может привести ваш компьютер в рабочее состояние не хуже, чем специалист ИТ-компании».
Кто-то возразит, что это заявление соответствует действительности в случае небольших затруднений, но ведь возникают и серьезные неисправности, отмечает Арамис Альварес, старший вице-президент по вопросам сервисов и поддержки компании Bomgar, предоставляющей компаниям удаленные услуги ИТ-поддержки.
«Проблемы бывают разные, — отметил Альварес. — Люди, более или менее знакомые с техникой, могут устранить некоторые базовые проблемы, но не всегда справляются, например, с вирусами. Не исключено, что вмешательство ребенка соседки может закончиться уничтожением данных».
«После этого вам придется выложить куда более крупную сумму, — добавил Джой Сильверман, генеральный директор New York Computer Help, — и такое часто случается, когда компании пытаются из экономии самостоятельно менять какие-то компоненты или привлекать своих и без того загруженных ИТ-специалистов».
«Во множестве компаний и частных квартир Нью-Йорка мы видели компьютеры со следами самостоятельной починки или работы ИТ-специалистов другой компании, членов семьи или приятелей, — сказал он. — Парень из бухгалтерии, которого зовут в случае проблем с компьютерами, скорее всего, очень занят и не имеет достаточного опыта для работы с неисправным жестким диском, системной платой или источником питания. Если «упадет» сеть или сервер, кому вы доверите ремонт — этому парню или специалисту с 20-летним стажем?»
Тайна № 6. Мы знаем о вас гораздо больше, чем вы думаете
Будем рады поучаствовать в сборе данных
Думаете, вы под колпаком Агентства национальной безопасности? Да они мошки по сравнению с продавцами потребительских товаров и брокерами данных.
Величайшие преступники — это казино, как сказал Дж. Т. Матис, работавший менеджером базы данных казино, автор и издатель книги «I Deal to Plunder: A Ride Through the Boom Town» («Как я работал на грабителей: сквозь безумно растущий город»). Входя в казино, вы ставите на кон не только деньги — вы рискуете своими персональными данными. По оценке Матиса, маркетинговая база данных его бывшего работодателя содержит имена более чем 100 тысяч действующих и бывших игроков.
«За вами следят с того момента, когда вы переступаете порог казино, — предупредил Матис. — Если вы сидите перед игровым автоматом, казино знает, где вы находитесь, сколько раз вы дернули за ручку и как много денег оставили в автомате. Они знают, что в 16:30 вы любите отведать омара. Они знают, какие сигареты и вино вы предпочитаете и какую порнушку смотрите в номере отеля. Они знают, что женщина, с которой вы приехали, — не ваша жена».
Профессор университета штата Луизиана Майкл Саймон, работавший когда-то в казино, подтвердил слова Матиса. Но он добавил, что нет существенной разницы в том, кто собирает данные: CVS, PetSmart или Amazon.
«Я преподавал на курсах MBA по вопросам анализа баз данных и добычи данных и могу сказать, что во всех компаниях, сотрудники которых у нас обучались, собирали данные по клиентам и предложения для клиентов обязательно учитывали их интересы», — сказал он. Саймон написал книгу «The Game of My Life: A Personal Perspective of a Retired Gaming Executive» («Игра моей жизни: будущее уволенного руководителя игровой компании»). «Это превратилось в практику бизнеса, это ни для кого не секрет. Например, я привел свою собаку в компанию PetSmart, чтобы купить определенные продукты, и теперь в предложениях, которые они мне присылают, учтены многие мои предпочтения. Мне это нравится, ведь PetSmart предлагает то, что я хочу, и не закидывает меня ненужными предложениями».
Есть одно уточнение: Матис уволился в мае 2012 года, и у него до сих пор хранятся копии базы данных. Когда он позвонил в казино, чтобы вернуть их, из казино ему так и не перезвонили в ответ. Нужны вам азартные игры с вашими данными?
- Dan Tynan. 6 dirty secrets of the IT industry. InfoWorld 2013-10-28