Беззащитные защитники. Почти криминальный репортаж::Журнал СА 11.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4218
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3009
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3825
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6318
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3462
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7279
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12367
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9126
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3156
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Беззащитные защитники. Почти криминальный репортаж

Архив номеров / 2012 / Выпуск №11 (120) / Беззащитные защитники. Почти криминальный репортаж

Рубрика: Карьера/Образование /  Особое мнение

Владимир Иванов ВЛАДИМИР ИВАНОВ, специалист по информационной безопасности. Увлекается психологией, историей, философией

Беззащитные защитники
Почти криминальный репортаж

Интернет-издания и толстые пособия по безопасности полны советов, рекомендаций, готовых решений на тему, как обезопасить чей-то компьютер, сеть, облако... сделать систему, неуязвимую для вирусов, хакерских атак и даже сотрудников ИТ-отдела

Но в этих стройных конструкциях из сетевых экранов, антивирусных агентов, алгоритмов шифрования и блокирующих программ не хватает одной маленькой детали. А деталь эта – Человек.

В нашем финансово-корпоративном мире давно перестали обращать внимание на отдельных людей, и тем более никого не интересуют проблемы одного-единственного сотрудника, который при этом еще и в чем-то не похож на  стальных.

Ведь имя ему – «технарь», и его удел в понимании остальных – заучивать центнеры технической документации и сутками сидеть в холодной серверной, лишь бы всем остальным «нормальным людям» было хорошо.

И только громкие разоблачительные дела, сопровождающиеся публикациями компрометирующих материалов, порой вызывают неподдельное удивление: «А откуда это все узнали?»

Вот этим «щекотливым моментам» и посвящена данная статья.

Не одним сисадмином жива ИТ-служба

Несмотря на то что данная статья опубликована на страницах журнала «Системный администратор» и речь в ней пойдет в основном о специфике работы системного администратора или администратора безопасности, все это может быть легко применено ко многим другим не менее «простым» профессиям.

И программист, и руководитель ИТ-отдела или инженер по телефонной связи, и даже веб-дизайнер запросто могут почувствовать на себе все «нюансы», описанные в статье. Хотя и с меньшей вероятностью.

Личная безопасность и все, что с ней связано

Как-то я мельком увидел рукоять пистолета под мышкой у сотрудника ИТ-отдела одной из российских компаний. Мне стало интересно узнать, что же побудило этого человека носить с собой, как я думал, огнестрельное оружие. Пистолет оказался травматическим, купленным совершенно легально.

Позже, вызвав его на откровенный разговор, я услышал вполне заурядную историю: «Знаешь, район у нас неблагополучный, от метро нужно еще ехать, потом идти по темным закоулкам. Однажды какая-то шпана прицепилась, ноутбук и мобильный телефон отняли. Ноут корпоративный был, пришлось возмещать, а в мобильном все контакты... Ездить на такси дорого и тоже небезопасно. Проще было купить «пушку».

Казалось бы, довольно обыденная история, если бы не одна деталь – это говорил специалист, отвечающий за систему шифрования крупной компании.

Вот и возникает справедливый вопрос: какой смысл тратить деньги на сложную криптографическую защиту, если человек, обеспечивающий ее надежность, вынужден возвращаться домой по темным переулкам с «пугачом» за пазухой? Неужели так сложно просто подвозить этого сотрудника до дома, если он вынужден задерживаться на работе?

Видимо, руководство данной компании ценит экономию нескольких литров бензина намного выше, чем информационную защиту всей компании.

Много ли читателей, в чьих головах хранятся пароли доступа и другая критическая информация компании, в которой они работают, могут похвастать хотя бы минимальной заботой руководителя об их личной безопасности?

Еще один показательный пример. При аудите системы безопасности в одной фирме я обратил внимание на странное правило на корпоративном файерволе. «А это для сохранения критичных данных в другом месте», – получил я успокаивающий ответ. Этим «другим местом» оказалась квартира начальника ИТ-отдела. Он же выполнял обязанности системного администратора.

Одинокий мужчина, живущий на окраине города и получающий весьма небольшую зарплату. Как выяснилось позже, данные хранились на его личном персональном компьютере. В квартире не было даже железной двери.

На вопрос: «А что будет, если тебя ограбят и украдут компьютер?» – он просто закрыл рукой глаза, мол, лучше об этом не думать...

Разговор об этой проблеме с начальством тогда не дал ничего. Все сводилось к тому, что «это человек надежный, работает с основания нашей компании, и, если будет надо, мы его найдем...».

Какие меры будут предприняты в случае кражи личного компьютера, и что предполагается делать в случае болезни или несчастного случая – ответа на свои вопросы я так и не получил.

Ситуации, похожие на описанные выше, встречаются в российских компаниях практически повсеместно. И это замечательный подарок для нечистых на руку конкурентов.

Посмотрите, какой заманчивый вариант для злоумышленников – не надо мучиться со взломом защиты периметра сети, не нужно внедрять инсайдеров, достаточно просто прижать айтишника возле собственного подъезда или выбить хлипкую дверь в его квартиру – и вот она, желанная информация, «вся как на ладони»! А если у того еще, не дай бог, есть дети или пожилые родители – тут вообще все просто.

Сегодня российский бизнес пока не распробовал такие «удобные методы» конкурентной борьбы. Но практика показала, что в современной России наиболее жизнеспособным является именно наихудший сценарий.

Опасности от «оборотней в погонах»

В последнее время участились тревожные сигналы о росте правонарушений, совершенных сотрудниками правоохранительных органов.

Лично я не думаю, что сейчас имеет место некий рост «полицейской преступности». Скорее всего современные средства интернет-общения помогают больше и быстрее узнавать о чужих бедах. Но оставим политическую и социальную подоплеку и перейдем напрямую к вопросам безопасности.

Недавно в прессе прозвучал тревожный сигнал об избиении системного администратора в полицейском участке. Поводом для задержания послужило фиктивное обвинение в хулиганстве.

Вот как об этом сообщает Лента.ру [1]:

«По версии следствия 16 января 2012 года системный администратор коммерческой фирмы Руслан Константинов был доставлен в «Савиново» якобы за мелкое хулиганство. Как сообщается на сайте Казанского правозащитного центра, 21-летнего задержанного в течение часа избивали. Позднее в травмпункте юноше поставили диагноз «межмышечная гематома правой голени, ушибы, ссадины».

Всю интересующую вас дополнительную информацию по данному вопросу можно получить на сайте Казанского правозащитного центра [2].

На самом деле сотрудники ИТ-подразделений – отличная мишень для нечистых на руку сотрудников правоохранительных органов. Зачем получать разрешение на выполнение тех или иных мероприятий, чтобы добыть необходимую информацию? Достаточно просто «обработать» одного из айтишников. При этом физическое воздействие вовсе не обязательно.

В статье Леонида Шапиро [3] приводится неполный список статей, по которым системные администраторы могут привлекаться к уголовной ответственности.

Но даже 146-й статьи Уголовного кодекса вполне достаточно для запугивания ИТ-специалистов, учитывая расплывчатый характер правоприменительной практики. А уж как использовать результаты, зависит только от фантазии «оборотней в погонах». Например, можно продать полученную информацию конкурентам, а можно шантажировать саму фирму.

Напротив, если проверка проводится в рамках закона, то выбивать из айтишников информацию нет особой нужды. Есть бумажный архив с подписями и печатями, есть масса свидетелей, в конце концов можно забрать технику «на проверку» и привлечь экспертов со стороны.

Разумеется, все правонарушения коррумпированных «представителей» будут напрасны при условии, что руководство компании, служба безопасности, юрисконсульт и просто рядовые сотрудники исповедуют принцип «своих не сдавать» и будут до последнего защищать своих технических специалистов. Но скажите честно, как часто вы встречали такое единодушие?

В реальной российской жизни владельцам и топ-менеджерам компаний гораздо выгоднее «сдать» своего сотрудника, свалив всю мыслимую и немыслимую вину на него одного, нежели проявить хоть какое-то участие в его дальнейшей судьбе.

Но у этого «удешевляющего» принципа есть и обратная сторона – пока существует подобная «традиция», невозможно гарантировать защиту информации.

Давление начальства и сотрудников на ИТ-специалиста

Самая частая проблема при разработке системы безопасности, с которой сталкиваются ИТ-специалисты, – это не «оборотни в погонах» и не преступники-вымогатели, а свои «родные пользователи».

Дело приобретает особенно жесткий оборот, если несанкционированный доступ пытается получить любой сотрудник на руководящей должности.

При этом сложившаяся российская практика не предусматривает поиска реального виновного в преступлении. Вся ответственность за контроль и соблюдение законности полностью возлагается на технических специалистов, несмотря на то что сотрудники ИТ-подразделений не являются лицами, принимающими решения по финансовым вопросам. При этом их должностное положение не позволяет влиять на незаконные действия других сотрудников компании.

Например, системный администратор может удалить контрафактное программное обеспечение с компьютера генерального директора, но он не может запретить руководству компании использовать пиратские программы и тем более привлечь своих начальников к дисциплинарной ответственности.

Несанкционированные требования по увеличению прав или предоставлению доступа

Во время проведения разного рода обследований мне пришлось прочесть множество документов по обеспечению корпоративной безопасности.

Положения, регламенты, инструкции – нигде я не встретил строчки: «Запрещено обращаться к ответственному лицу в целях необоснованного повышения прав доступа».

И я еще ни разу в своей практике не встретил хотя бы один прецедент, когда пользователь понес реальное наказание за попытку несанкционированного получения дополнительных прав.

В результате сотрудники ИТ-отделов постоянно бомбардируются «дружескими просьбами», а чаще истеричными требованиями незамедлительно позволить скачивать данные на личную флешку, предоставить пользователю административные права или получить неограниченный доступ к запрещенным интернет-сайтам.

В ход идут любые меры, от жалоб начальству на то, что «не дают работать», до откровенного моббинга [4] технических специалистов. Сложнее всего приходится системным администраторам, являющимся единственными ИТ-сотрудниками в компании.

Но даже если офисный пользователь решит действовать скрытно и будет пойман за руку, ему практически всегда удается избежать наказания.

В большинстве российских компаний отсутствует практика привлечения к дисциплинарной ответственности за нарушение информационной безопасности. При этом очевидно, что, если произойдет утечка информации, во всем обвинят сотрудника, отвечающего за ее защиту, то есть ИТ-специалиста.

Требование установить пиратское ПО

Это, пожалуй, самая частая проблема, с которой сталкиваются сотрудники ИТ-подразделений. К сожалению, сегодня правоприменительная практика в отношении пользователей пиратского ПО такова, что в любом случае нести ответственность будет системный администратор или лицо, его заменяющее (например, программист 1С).

При этом не важно, ставил ли он на самом деле данную программу или нет, все равно. «Раз «компьютерщик» – значит, виновен!» Даже если пользователь взломает рабочую станцию, получит административные права и самостоятельно установит программное обеспечение – «под статью» пойдет системный администратор или другой сотрудник ИТ-отдела.

Понятное дело, при таком раскладе ни руководство, ни сотрудники не заинтересованы в приобретении и использовании платных программ или изучении бесплатных аналогов. Зачем тратить какие-либо усилия и средства, если «мальчик для битья» уже заранее назначен?

Поэтому ИТ-специалисты вынуждены постоянно держать оборону, отбиваясь от навязчивых просьб «скачать и сломать» такую «нужную программку».

Или еще проще – вызов в кабинет генерального и ультиматум: «Либо ты выполняешь любые требования пользователей и устанавливаешь любые программы, либо увольняешься. Где брать эти самые программы для установки – твоя проблема».

Даже если ИТ-специалист сообщит о правонарушениях в правоохранительные органы, по результатам проверки накажут его самого или других представителей ИТ-службы, но не истинных виновников и тем более не руководство компании.

Понятно, что при таком подходе бессмысленно надеяться на то, что руководство компании кинется спасать айтишника в случае проверки «компетентными органами».

Некуда бежать?

Казалось бы, эти проблемы можно решить или хотя бы облегчить, сменив работодателя. Но, к сожалению, даже смена направления деятельности не способна полностью обезопасить ИТ-специалиста.

Допустим, системный администратор переходит на работу в аутсорсинговую компанию. Но в этом случае он становится еще более «интересной мишенью», потому что является «ключиком» для доступа к информации уже нескольких фирм-клиентов.

А если он переходит на работу к облачному или интернет-провайдеру, то он уже находка для любителей поживиться чужими данными.

Получается, что профессиональный рост не снижает, а повышает риск стать жертвой в результате «охоты на информацию».

Но все же есть несколько мер, способных если не исправить, то хотя бы немного улучшить ситуацию.

Меры эти делятся на две категории: те, которые можно реализовать на уровне отдельных специалистов, и реализующиеся на общероссийском, в том числе законодательном уровне.

На частном уровне

Говорить «нет», когда это нужно, даже в самых сложных ситуациях. Некоторые рекомендации я изложил в своей статье [5].

Важнейшее условие – обмен информацией. Сегодня в Интернете достаточно ресурсов, так называемых черных списков работодателей, где можно выложить правдивую информацию о проблемной компании. Именно правдивую, без прикрас, преувеличений и переходя на личности. Только отрицательные факты.

Казалось бы, зачем это делать, если в данном месте работать уже не придется.

Но, во-первых, если явление приобретет массовый характер, это даст реальный рычаг воздействия на нечестных работодателей.

Во-вторых, публичное освещение неправомерных действий дает обидчику сигнал – «объект находится под защитой», и поэтому нападать или давить на ИТ-специалиста может быть опасно. Особенно это актуально тогда, когда имеет место проявление коррупции.

«Своих не сдавать». Профессиональная солидарность – основное оружие личной безопасности.

  • Это не значит покрывать мелкие дисциплинарные нарушения своих коллег.
  • Это значит не соглашаться на сомнительные предложения руководства вроде: «Давай этого уволим, а тебе зарплату добавим».
  • Еще это означает не давать пользователям расширенные права «по дружбе», не ставить таким «друзьям» на компьютеры пиратское ПО и не делать никаких поблажек.

Поддерживать своих коллег в соблюдении принятых норм и правил.

На общественном уровне

Необходимо добиваться справедливого применения законов и прочих нормативных актов. Сотрудник ИТ-подразделения, не принимающий финансовых решений, не должен отвечать за грехи своего начальства. Ни уголовно, ни административно.

Мало того, если у айтишников будет иммунитет при преследовании по «компьютерным» статьям, они превратятся в надежную опору при обеспечении законности.

Если нет риска получить срок за пиратскую программу или «черную бухгалтерию», установленную по приказу директора, значит, нет нужды скрывать эти нелицеприятные факты.

В итоге правоохранительные органы и власть получат добровольную армию помощников, способных сильно облегчить расследование самых запутанных дел.

Необходимо добиваться справедливой ответственности за разглашение коммерческой тайны, персональных данных и другой конфиденциальной информации. Если имело место давление на ИТ-специалистов, виновный должен понести справедливое наказание. Ни один случай такого «воздействия» не должен остаться безнаказанным.

***

Вопрос, расмотренный в данной статье, можно обсуждать со всех сторон очень долго и скрупулезно. Но рано или поздно возникает необходимость переходить от слов к реальным делам. Даже самая долгая дорога начинается с первого шага.

  1. Информационный портал Lenta.ru. Возбуждено дело об избиении сисадмина в казанской полиции – http://lenta.ru/news/2012/10/03/savinovo.
  2. Казанский правозащитный центр: «Возбуждено уголовное дело об избиении задержанного в отделе полиции Казани» – http://www.investigation.ru/ru/novosti/pravooxraniteli/760-vozbuzhdeno-ugolovnoe-delo-o-nasilii-aderzhannogo-v-otdele-policzii-kazani.html.
  3. Шапиро Л. Семь принципов Наполеона для системных администраторов. //«Системный администратор», №10, 2010 г. – http://samag.ru/archive/article/1017.
  4. Все против одного: моббинг на рабочем месте. //«Кадровик», №9, 2012 г. – http://www.kadrovik.ru/modules.php?op=modload&name=News&file=article&sid=13555.
  5. Иванов В. Как сказать «нет» так, чтобы сказать «нет» – http://samag.ru/uart/more/19.

Комментарии
 
  22.11.2012 - 07:12 |  grinder

Отличная статья, которая отчасти объясняет почему в частности "Система «под ключ»
Почему мы ее не можем сделать?" http://samag.ru/archive/article/2308

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru