К чему беспокоиться по поводу возможных хакерских атак на корпоративную ИС, если увольняющиеся топ-менеджеры вольны забирать с собой корпоративное ПО и данные
Случилось так, что один из руководителей компании уволился. В общем-то, ничего особенного. В конце концов, в крупной компании все время кто-то увольняется, кто-то новый приходит на работу. Но дело в том, что в контракте этого менеджера был пункт, согласно которому он имел право сохранить у себя служебный ноутбук. Как менеджеру по информационной безопасности, честно говоря, мне это не понравилось, но, как оказалось, это обычная практика при приеме на работу руководителей высшего звена.
И хотя увольняющиеся топ-менеджеры всегда забирали с собой служебные ноутбуки, до сих пор никому в голову не приходило удалять с этих машин важные для компании программы и данные. Скажем, в компьютерах отделов продаж и маркетинга хранятся списки с контактной информацией клиентов, прейскуранты, электронная почта и тому подобная конфиденциальная информация.
Несколько месяцев назад упомянутый менеджер был объектом внутреннего расследования, в рамках которого была сделана копия жесткого диска его мобильного компьютера. Один из юристов, узнав о его предполагаемом увольнении, вспомнил об этом расследовании и позвонил мне. По его словам, к этому человеку у компании не было никаких претензий.
Тем не менее я сразу же попросил ноутбук увольняющегося менеджера с тем, чтобы сделать еще одну копию диска, стереть всю информацию, а затем установить на него стандартное программное обеспечение. К моему удивлению, просьба вызвала у менеджера крайне негативную реакцию. В конце концов, менее чем за сутки до его увольнения я все же смог получить его компьютер.
После этого инцидента ИТ-директор установил правила, согласно которым с диска любого компьютера, покидающего компанию вместе с увольняющимся сотрудником, должна быть удалена вся информация. Это требование отныне включено во все контракты, предусматривающие передачу сотрудникам любого оборудования.
Столкнувшись с этой проблемой, я обратил внимание на другой, не менее актуальный вопрос. За исключением определенных бизнес-приложений корпоративного уровня, таких как PeopleSoft, Oracle и Siebel, компания самостоятельно разрабатывает все программы, которое ей приходится использовать. Прежде чем любое из разработанных приложений будет установлено на компьютеры сотрудников, оно должно пройти весь цикл реализации проекта, предусматривающий множество контрольных этапов. Большинство этапов, которые меня интересуют, связаны с контролем доступа, шифрованием, защитой серверов и приложений, корректным выделением сегментов сети.
К сожалению, это относительно новый процесс и он постоянно совершенствуется. Только недавно была утверждена процедура обеспечения безопасности на различных стадиях проекта. Теперь один из специалистов по информационной безопасности обязательно принимает участие в технических совещаниях, связанных с планированием и реализацией сколько-нибудь крупных проектов.
Несколько месяцев назад я наткнулся на приложение, которое дает пользователю возможность создавать и публиковать опросы. Поскольку оно было создано для того, чтобы определенная группа сотрудников могла один раз получить несущественные сведения из отделов продаж, мы решили, что нет смысла проводить данный проект через все установленные процедуры контроля. Но еще тогда у меня возникли опасения, что любое подразделение, узнав о существовании такого инструментария, захочет воспользоваться им для сбора более важной информации.
Опасения оправдываются
Как я и предполагал, несколько подразделений заинтересовались этим инструментом. Я тут же потребовал, чтобы приложение прошло формальный цикл проверок, установленный для проектов, поскольку оно будет использовано в производственной среде для сбора более важных данных, чем планировалось изначально.
В рамках процедуры контроля было проведено множество тестов на безопасность. Оценивались и приложение, и сервер, на котором оно будет размещено. Кроме того, была проанализирована архитектура приложения, в частности, как это обычно бывает, выяснялось, какие порты должно использовать приложение и каковы взаимодействия между приложением и другими производственными серверами. Мы не хотели, чтобы одна взломанная система позволила проникнуть на другие системы просто за счет того, что между ними установлены доверительные отношения. Мы также убедились, что определены необходимые правила для сетевого экрана и разрешены только необходимые сервисы.
Что касается данного приложения для работы с опросами, оценка сервера прошла успешно. И все это потому, что у нас есть превосходный базовый образ системы, который был утвержден и скорректирован. Но в результате оценки приложения было обнаружено несколько сомнительных моментов, в том числе дефекты в сценариях, поддерживающих взаимодействие узлов. Эти изъяны могли быть использованы для того, чтобы во время просмотра опроса пользователя активизировать вредоносный код. Как только эти дефекты будут устранены, мы планируем разрешить руководителю проекта внедрять данное приложение.
Это далеко не идеальный подход, но, безусловно, неплохая отправная точка. А вы как считаете?
Эту статью написал менеджер по информационной безопасности; его настоящее имя и компания, в которой он работает, по понятным причинам не сообщаются. С ним можно связаться по адресу mathias_thurman@yahoo.com