Беззащитные защитники. Почти криминальный репортаж

 ВЛАДИМИР ИВАНОВ, специалист по информационной безопасности. Увлекается психологией, историей, философией

Беззащитные защитники
Почти криминальный репортаж

Интернет-издания и толстые пособия по безопасности полны советов, рекомендаций, готовых решений на тему, как обезопасить чей-то компьютер, сеть, облако... сделать систему, неуязвимую для вирусов, хакерских атак и даже сотрудников ИТ-отдела

Но в этих стройных конструкциях из сетевых экранов, антивирусных агентов, алгоритмов шифрования и блокирующих программ не хватает одной маленькой детали. А деталь эта – Человек.

В нашем финансово-корпоративном мире давно перестали обращать внимание на отдельных людей, и тем более никого не интересуют проблемы одного-единственного сотрудника, который при этом еще и в чем-то не похож на  стальных.

Ведь имя ему – «технарь», и его удел в понимании остальных – заучивать центнеры технической документации и сутками сидеть в холодной серверной, лишь бы всем остальным «нормальным людям» было хорошо.

И только громкие разоблачительные дела, сопровождающиеся публикациями компрометирующих материалов, порой вызывают неподдельное удивление: «А откуда это все узнали?»

Вот этим «щекотливым моментам» и посвящена данная статья.

Не одним сисадмином жива ИТ-служба

Несмотря на то что данная статья опубликована на страницах журнала «Системный администратор» и речь в ней пойдет в основном о специфике работы системного администратора или администратора безопасности, все это может быть легко применено ко многим другим не менее «простым» профессиям.

И программист, и руководитель ИТ-отдела или инженер по телефонной связи, и даже веб-дизайнер запросто могут почувствовать на себе все «нюансы», описанные в статье. Хотя и с меньшей вероятностью.

Личная безопасность и все, что с ней связано

Как-то я мельком увидел рукоять пистолета под мышкой у сотрудника ИТ-отдела одной из российских компаний. Мне стало интересно узнать, что же побудило этого человека носить с собой, как я думал, огнестрельное оружие. Пистолет оказался травматическим, купленным совершенно легально.

Позже, вызвав его на откровенный разговор, я услышал вполне заурядную историю: «Знаешь, район у нас неблагополучный, от метро нужно еще ехать, потом идти по темным закоулкам. Однажды какая-то шпана прицепилась, ноутбук и мобильный телефон отняли. Ноут корпоративный был, пришлось возмещать, а в мобильном все контакты... Ездить на такси дорого и тоже небезопасно. Проще было купить «пушку».

Казалось бы, довольно обыденная история, если бы не одна деталь – это говорил специалист, отвечающий за систему шифрования крупной компании.

Вот и возникает справедливый вопрос: какой смысл тратить деньги на сложную криптографическую защиту, если человек, обеспечивающий ее надежность, вынужден возвращаться домой по темным переулкам с «пугачом» за пазухой? Неужели так сложно просто подвозить этого сотрудника до дома, если он вынужден задерживаться на работе?

Видимо, руководство данной компании ценит экономию нескольких литров бензина намного выше, чем информационную защиту всей компании.

Много ли читателей, в чьих головах хранятся пароли доступа и другая критическая информация компании, в которой они работают, могут похвастать хотя бы минимальной заботой руководителя об их личной безопасности?

Еще один показательный пример. При аудите системы безопасности в одной фирме я обратил внимание на странное правило на корпоративном файерволе. «А это для сохранения критичных данных в другом месте», – получил я успокаивающий ответ. Этим «другим местом» оказалась квартира начальника ИТ-отдела. Он же выполнял обязанности системного администратора.

Одинокий мужчина, живущий на окраине города и получающий весьма небольшую зарплату. Как выяснилось позже, данные хранились на его личном персональном компьютере. В квартире не было даже железной двери.

На вопрос: «А что будет, если тебя ограбят и украдут компьютер?» – он просто закрыл рукой глаза, мол, лучше об этом не думать...

Разговор об этой проблеме с начальством тогда не дал ничего. Все сводилось к тому, что «это человек надежный, работает с основания нашей компании, и, если будет надо, мы его найдем...».

Какие меры будут предприняты в случае кражи личного компьютера, и что предполагается делать в случае болезни или несчастного случая – ответа на свои вопросы я так и не получил.

Ситуации, похожие на описанные выше, встречаются в российских компаниях практически повсеместно. И это замечательный подарок для нечистых на руку конкурентов.

Посмотрите, какой заманчивый вариант для злоумышленников – не надо мучиться со взломом защиты периметра сети, не нужно внедрять инсайдеров, достаточно просто прижать айтишника возле собственного подъезда или выбить хлипкую дверь в его квартиру – и вот она, желанная информация, «вся как на ладони»! А если у того еще, не дай бог, есть дети или пожилые родители – тут вообще все просто.

Сегодня российский бизнес пока не распробовал такие «удобные методы» конкурентной борьбы. Но практика показала, что в современной России наиболее жизнеспособным является именно наихудший сценарий.

Опасности от «оборотней в погонах»

В последнее время участились тревожные сигналы о росте правонарушений, совершенных сотрудниками правоохранительных органов.

Лично я не думаю, что сейчас имеет место некий рост «полицейской преступности». Скорее всего современные средства интернет-общения помогают больше и быстрее узнавать о чужих бедах. Но оставим политическую и социальную подоплеку и перейдем напрямую к вопросам безопасности.

Недавно в прессе прозвучал тревожный сигнал об избиении системного администратора в полицейском участке. Поводом для задержания послужило фиктивное обвинение в хулиганстве.

Вот как об этом сообщает Лента.ру [1]:

«По версии следствия 16 января 2012 года системный администратор коммерческой фирмы Руслан Константинов был доставлен в «Савиново» якобы за мелкое хулиганство. Как сообщается на сайте Казанского правозащитного центра, 21-летнего задержанного в течение часа избивали. Позднее в травмпункте юноше поставили диагноз «межмышечная гематома правой голени, ушибы, ссадины».

Всю интересующую вас дополнительную информацию по данному вопросу можно получить на сайте Казанского правозащитного центра [2].

На самом деле сотрудники ИТ-подразделений – отличная мишень для нечистых на руку сотрудников правоохранительных органов. Зачем получать разрешение на выполнение тех или иных мероприятий, чтобы добыть необходимую информацию? Достаточно просто «обработать» одного из айтишников. При этом физическое воздействие вовсе не обязательно.

В статье Леонида Шапиро [3] приводится неполный список статей, по которым системные администраторы могут привлекаться к уголовной ответственности.

Но даже 146-й статьи Уголовного кодекса вполне достаточно для запугивания ИТ-специалистов, учитывая расплывчатый характер правоприменительной практики. А уж как использовать результаты, зависит только от фантазии «оборотней в погонах». Например, можно продать полученную информацию конкурентам, а можно шантажировать саму фирму.

Напротив, если проверка проводится в рамках закона, то выбивать из айтишников информацию нет особой нужды. Есть бумажный архив с подписями и печатями, есть масса свидетелей, в конце концов можно забрать технику «на проверку» и привлечь экспертов со стороны.

Разумеется, все правонарушения коррумпированных «представителей» будут напрасны при условии, что руководство компании, служба безопасности, юрисконсульт и просто рядовые сотрудники исповедуют принцип «своих не сдавать» и будут до последнего защищать своих технических специалистов. Но скажите честно, как часто вы встречали такое единодушие?

В реальной российской жизни владельцам и топ-менеджерам компаний гораздо выгоднее «сдать» своего сотрудника, свалив всю мыслимую и немыслимую вину на него одного, нежели проявить хоть какое-то участие в его дальнейшей судьбе.

Но у этого «удешевляющего» принципа есть и обратная сторона – пока существует подобная «традиция», невозможно гарантировать защиту информации.

Давление начальства и сотрудников на ИТ-специалиста

Самая частая проблема при разработке системы безопасности, с которой сталкиваются ИТ-специалисты, – это не «оборотни в погонах» и не преступники-вымогатели, а свои «родные пользователи».

Дело приобретает особенно жесткий оборот, если несанкционированный доступ пытается получить любой сотрудник на руководящей должности.

При этом сложившаяся российская практика не предусматривает поиска реального виновного в преступлении. Вся ответственность за контроль и соблюдение законности полностью возлагается на технических специалистов, несмотря на то что сотрудники ИТ-подразделений не являются лицами, принимающими решения по финансовым вопросам. При этом их должностное положение не позволяет влиять на незаконные действия других сотрудников компании.

Например, системный администратор может удалить контрафактное программное обеспечение с компьютера генерального директора, но он не может запретить руководству компании использовать пиратские программы и тем более привлечь своих начальников к дисциплинарной ответственности.

Несанкционированные требования по увеличению прав или предоставлению доступа

Во время проведения разного рода обследований мне пришлось прочесть множество документов по обеспечению корпоративной безопасности.

Положения, регламенты, инструкции – нигде я не встретил строчки: «Запрещено обращаться к ответственному лицу в целях необоснованного повышения прав доступа».

И я еще ни разу в своей практике не встретил хотя бы один прецедент, когда пользователь понес реальное наказание за попытку несанкционированного получения дополнительных прав.

В результате сотрудники ИТ-отделов постоянно бомбардируются «дружескими просьбами», а чаще истеричными требованиями незамедлительно позволить скачивать данные на личную флешку, предоставить пользователю административные права или получить неограниченный доступ к запрещенным интернет-сайтам.

В ход идут любые меры, от жалоб начальству на то, что «не дают работать», до откровенного моббинга [4] технических специалистов. Сложнее всего приходится системным администраторам, являющимся единственными ИТ-сотрудниками в компании.

Но даже если офисный пользователь решит действовать скрытно и будет пойман за руку, ему практически всегда удается избежать наказания.

В большинстве российских компаний отсутствует практика привлечения к дисциплинарной ответственности за нарушение информационной безопасности. При этом очевидно, что, если произойдет утечка информации, во всем обвинят сотрудника, отвечающего за ее защиту, то есть ИТ-специалиста.

Требование установить пиратское ПО

Это, пожалуй, самая частая проблема, с которой сталкиваются сотрудники ИТ-подразделений. К сожалению, сегодня правоприменительная практика в отношении пользователей пиратского ПО такова, что в любом случае нести ответственность будет системный администратор или лицо, его заменяющее (например, программист 1С).

При этом не важно, ставил ли он на самом деле данную программу или нет, все равно. «Раз «компьютерщик» – значит, виновен!» Даже если пользователь взломает рабочую станцию, получит административные права и самостоятельно установит программное обеспечение – «под статью» пойдет системный администратор или другой сотрудник ИТ-отдела.

Понятное дело, при таком раскладе ни руководство, ни сотрудники не заинтересованы в приобретении и использовании платных программ или изучении бесплатных аналогов. Зачем тратить какие-либо усилия и средства, если «мальчик для битья» уже заранее назначен?

Поэтому ИТ-специалисты вынуждены постоянно держать оборону, отбиваясь от навязчивых просьб «скачать и сломать» такую «нужную программку».

Или еще проще – вызов в кабинет генерального и ультиматум: «Либо ты выполняешь любые требования пользователей и устанавливаешь любые программы, либо увольняешься. Где брать эти самые программы для установки – твоя проблема».

Даже если ИТ-специалист сообщит о правонарушениях в правоохранительные органы, по результатам проверки накажут его самого или других представителей ИТ-службы, но не истинных виновников и тем более не руководство компании.

Понятно, что при таком подходе бессмысленно надеяться на то, что руководство компании кинется спасать айтишника в случае проверки «компетентными органами».

Некуда бежать?

Казалось бы, эти проблемы можно решить или хотя бы облегчить, сменив работодателя. Но, к сожалению, даже смена направления деятельности не способна полностью обезопасить ИТ-специалиста.

Допустим, системный администратор переходит на работу в аутсорсинговую компанию. Но в этом случае он становится еще более «интересной мишенью», потому что является «ключиком» для доступа к информации уже нескольких фирм-клиентов.

А если он переходит на работу к облачному или интернет-провайдеру, то он уже находка для любителей поживиться чужими данными.

Получается, что профессиональный рост не снижает, а повышает риск стать жертвой в результате «охоты на информацию».

Но все же есть несколько мер, способных если не исправить, то хотя бы немного улучшить ситуацию.

Меры эти делятся на две категории: те, которые можно реализовать на уровне отдельных специалистов, и реализующиеся на общероссийском, в том числе законодательном уровне.

На частном уровне

Говорить «нет», когда это нужно, даже в самых сложных ситуациях. Некоторые рекомендации я изложил в своей статье [5].

Важнейшее условие – обмен информацией. Сегодня в Интернете достаточно ресурсов, так называемых черных списков работодателей, где можно выложить правдивую информацию о проблемной компании. Именно правдивую, без прикрас, преувеличений и переходя на личности. Только отрицательные факты.

Казалось бы, зачем это делать, если в данном месте работать уже не придется.

Но, во-первых, если явление приобретет массовый характер, это даст реальный рычаг воздействия на нечестных работодателей.

Во-вторых, публичное освещение неправомерных действий дает обидчику сигнал – «объект находится под защитой», и поэтому нападать или давить на ИТ-специалиста может быть опасно. Особенно это актуально тогда, когда имеет место проявление коррупции.

«Своих не сдавать». Профессиональная солидарность – основное оружие личной безопасности.

• Это не значит покрывать мелкие дисциплинарные нарушения своих коллег.
• Это значит не соглашаться на сомнительные предложения руководства вроде: «Давай этого уволим, а тебе зарплату добавим».
• Еще это означает не давать пользователям расширенные права «по дружбе», не ставить таким «друзьям» на компьютеры пиратское ПО и не делать никаких поблажек.

Поддерживать своих коллег в соблюдении принятых норм и правил.

На общественном уровне

Необходимо добиваться справедливого применения законов и прочих нормативных актов. Сотрудник ИТ-подразделения, не принимающий финансовых решений, не должен отвечать за грехи своего начальства. Ни уголовно, ни административно.

Мало того, если у айтишников будет иммунитет при преследовании по «компьютерным» статьям, они превратятся в надежную опору при обеспечении законности.

Если нет риска получить срок за пиратскую программу или «черную бухгалтерию», установленную по приказу директора, значит, нет нужды скрывать эти нелицеприятные факты.

В итоге правоохранительные органы и власть получат добровольную армию помощников, способных сильно облегчить расследование самых запутанных дел.

Необходимо добиваться справедливой ответственности за разглашение коммерческой тайны, персональных данных и другой конфиденциальной информации. Если имело место давление на ИТ-специалистов, виновный должен понести справедливое наказание. Ни один случай такого «воздействия» не должен остаться безнаказанным.

***

Вопрос, расмотренный в данной статье, можно обсуждать со всех сторон очень долго и скрупулезно. Но рано или поздно возникает необходимость переходить от слов к реальным делам. Даже самая долгая дорога начинается с первого шага.

1. Информационный портал Lenta.ru. Возбуждено дело об избиении сисадмина в казанской полиции – http://lenta.ru/news/2012/10/03/savinovo.
2. Казанский правозащитный центр: «Возбуждено уголовное дело об избиении задержанного в отделе полиции Казани» – http://www.investigation.ru/ru/novosti/pravooxraniteli/760-vozbuzhdeno-ugolovnoe-delo-o-nasilii-aderzhannogo-v-otdele-policzii-kazani.html.
3. Шапиро Л. Семь принципов Наполеона для системных администраторов. //«Системный администратор», №10, 2010 г. – http://samag.ru/archive/article/1017.
4. Все против одного: моббинг на рабочем месте. //«Кадровик», №9, 2012 г. – http://www.kadrovik.ru/modules.php?op=modload&name=News&file=article&sid=13555.
5. Иванов В. Как сказать «нет» так, чтобы сказать «нет» – http://samag.ru/uart/more/19.

Комментарии могут оставлять только зарегистрированные пользователи