IT-security и человеческий фактор

 

В основе данной статьи - попытка анализа проблем информационной безопасности, имеющих место в корпоративной сети предприятия; что нередко вскрывается в ходе аутсорсинга либо ит-консалтинга.

Установив шлюз (программный или аппаратный), создав демилитаризованную зону и безопасно соединив филиалы посредством VPN -  имеем ли мы право почивать на лаврах, считая, что надежно защитили ресурсы корпоративной сети от взлома?

Dev banner 2

 

Сетевой экран имеет одну особенность... я бы даже сказал - вопиющую недоработку.  Данное изобретение совершенно не понимает и не принимает во внимание ряд человеческих условностей, как то: необъятное самолюбие поднявшегося на некоторую ступеньку карьерной лестницы сотрудника, упивающегося возможностью применить на практике (и на коллегах) еще вчера нереализуемые амбиции; скажем - приказать айтишнику снять с трафика его рабочей станции ряд ограничений, накладываемых политикой информационной безопасности предприятия; или - симпатии и антипатии системного администратора (он тоже человек, а не хост), которого можно потихоньку попросить открыть доступ к Одноклассникам или Vkontakte, либо - того хуже - доступ к рабочему столу из внешней сети (что далеко не всегда регламентировано и поощряется).

Прибавьте к вышесказанному то обстоятельство, что российский бизнес... скажем так, имеет свою специфику. Возможно, это объясняется его молодостью, и мудрость придет с годами. Во всяком случае - автору этой статьи, который протер до дыр не одну табуретку сисадмина (увы, мягкое кресло здесь на ум не приходит) очень хочется на это надеяться.

Статистика ассоциации ICSA утверждает, что более двух третей от общего числа сетевых экранов уязвимы ввиду неправильного их конфигурирования. Плюс - сетевой экран не идеален, он имеет уязвимости, для которых с течением времени выпускаются апдейты... им на смену открываются новые дыры. Порой подводит логика сетевого экрана - она не безупречна; примером служит, скажем, туннелирование (злонамеренная деятельность осуществляется в рамках вполне разрешенного протокола). Как видите - всего немало. Но человеческий фактор зачастую бьет все рекорды некомпетентности или злого умысла.

Сущим бедствием для корпоративной сети может являться... обыкновенный модем. Да-да, самый примитивный, домашний и обыденный модем, использующий сеть мобильного оператора связи или попросту - общегородскую телефонную сеть. И далеко не всегда пользователи лишены административных привилегий и не в состоянии его подключить  - необходимость рутовых прав порой диктуется, допустим, работой в 1С или в банках-клиентах (припоминаю случаи, когда админы даже крупного брендового предприятия оставляли бухгалтерам права администратора - ввиду неспособности или нежелания грамотно поставить работу отдела). И вот - казалось бы, цели вполне безобидные: обеспечить доступ к работе из дома (на период, допустим, болезни, отпуска), или скачать несколько аудиофайлов для корпоративной же вечеринки в обход сетевого экрана, где эта возможность заблокирована по маске.... а по сути - это пожар и аврал, это экстренная ситуация и повод к оргвыводам; по сути - СЕТЕВАЯ ЗАЩИТА ВЗЛОМАНА.

Вот и ответ. Программное обеспечение, как известно, несвободно от ошибок, а мозг компьютерного взломщика - изобретателен. Но - не будем забывать, что, по утверждению автора знаменитого "Манифеста хакера",  в основе и у истоков компьютерного взлома лежит...  обыкновенное любопытство. Т.е. - сугубо человеческое. И не будем сбрасывать со счетов человеческий фактор - практика показывает, что именно он, а не техника - причина утечки или потери информации.

Не будем останавливаться, в рамках данной статьи, на всевозможных уязвимостях и способах их реализации в неблаговидных целях - имя им легион; отмечу лишь, в заключение и в качестве некоторого итога, что сотрудники it-аутсорсинговой компании, в силу того, что представляют собой обособленную от сложившейся на предприятии иерархии служебных отношений структуру - нередко оказываются способны реализовать информационную защиту значительно более корректно и грамотно, нежели штатные системные администраторы. Все просто - чтобы разглядеть систему, и чтобы ею управлять - необходимо не быть ее частью . Особенно - в нашей стране. :)