ИТ-специалисты лучше остальных знают, как обращаться с компьютерами, так почему бы не позволить им работать в офисе на личных ноутбуках? Злоумышленники чаще всего атакуют системы не напрямую. Объектами нападения становятся те, кто управляет системами. Если можно завладеть полномочиями системного администратора, то зачем искать лазейки для получения доступа к ресурсам организации?
В некоторых компаниях административные привилегии разделены по обособленным сферам. Но это скорее исключение, нежели правило. В большинстве организаций администратор владеет «ключами от всего царства». Поэтому учетные данные администратора – заветная цель для злоумышленника.
Один из основных вопросов, возникающих в связи с концепцией использования на рабочем месте личных устройств сотрудников, или BYOD, – компьютерная безопасность. В большинстве случаев вы можете блокировать возможность посещения вашими сотрудниками неизвестных сайтов и открытия подозрительных вложений, когда они на работе. Однако, приходя домой, они обретают большую свободу. Концепция использования на рабочем месте личных устройств предполагает, что сотрудники работают на собственных устройствах. Значит, в нерабочее время они вольны делать на этих устройствах все что угодно.
Недавно появилась информация, что один из самых популярных «сайтов для взрослых» распространяет вредоносное программное обеспечение (blog.malwarebytes.org/exploits-2/2015/02/top-adult-site-redtube-compromised-redirects-to-malware/). Не будем рассуждать о том, посещают ли ИТ-специалисты подобные сайты. Предлагаю исходить из того, что люди посещают популярные сайты, а ИТ-специалисты – тоже люди, даже если некоторые из них предпочли бы быть роботами-трансформерами.
Встречаются ли настолько осмотрительные сотрудники ИТ-отделов, что они на 100% защищены от всевозможных атак, инициируемых сайтами? Возможно. Все ли ИТ-специалисты достаточно осмотрительны, что можно не сомневаться в том, что их личные устройства полностью застрахованы от угрозы проникновения вредоносных программ? На этот вопрос предлагаю вам ответить самостоятельно.
Частью стратегии корпоративной безопасности должно стать правило, согласно которому ИТ-специалисты и разработчики должны выполнять особые задачи управления только на специальных компьютерах, которые применяются лишь для этой конкретной цели. Это означает, что управляющий компьютер должен быть защищен так же, как сервер, для управления которым он используется. Подобно тому, как ни один администратор, надо полагать, не станет заходить на сайты для взрослых из имеющейся в Windows версии IE, будучи подключенным по RDP к Exchange Server для экспорта почтовых ящиков, ему не следует подключаться и по RDP к тому же серверу Exchange с ноутбука, который он использует для посещения сомнительных сайтов в приватной обстановке.
Все это касается не только сайтов для взрослых. Например, недавно стало известно, что один популярный кулинарный сайт распространяет вредоносную программу (blog.malwarebytes.org/exploits-2/2015/02/celebrity-chef-jamie-olivers-website-hacked-redirects-to-exploit-kit/). Так что этого можно ожидать практически от любого сайта. Вот почему концепция «хожу, куда хочу» – не самая удачная стратегия безопасности для рабочей станции администратора. Концепция использования на рабочем месте личных устройств сотрудников практически несовместима с идеей «защищенной рабочей станции администратора». Это означает, что компьютер, на котором ИТ-специалист выполняет свою работу, не должен быть тем же устройством, которое он использует в нерабочее время, когда можно делать все, что угодно.