«Дыры» в личной и профессиональной безопасности
- Опубликовано: 17.08.2010
Следи за собой!
В наше время «дыры», они же уязвимости в системе безопасности, стали как нельзя более актуальны, во многом из-за сложившейся в стране и мире ситуации с терроризмом. Ниже я бы хотел перечислить те «дыры», с которыми приходилось сталкиваться мне, причём, несмотря на очевидность способов их «латания», также указать и на решение.
Здесь под личной безопасностью я понимаю безопасность жизнедеятельности как отдельного человека (личности), так и различных общественных организаций (предприятий, учреждений и т. п., вплоть до государства). Под профессиональной безопасностью подразумевается один из аспектов личной безопасности, связанный с профессиональной деятельностью (в моём случае это компьютеры).
Итак, несколько примеров из жизни…
Пример первый, из бухгалтерской практики
В своё время мне довелось работать над созданием, тестированием и сопровождением бухгалтерских программ (см. моё резюме), следовательно, так или иначе сталкиваться с реальными бухгалтерами различного уровня. Так вот, подавляющее большинство из них, вне зависимости от уровня занимаемой должности, совершенно халатно относятся в сохранности бухгалтерских (финансовых) данных. Речь здесь идёт не об открытом доступе к папкам и файлам (это больше прерогатива системных администраторов), а о халатности в отношении паролей. Пароль на вход в бухгалтерскую программу нередко не установлен, а если и установлен, то обычно имеет такой вид: «1», «12», «123» и т. д., насколько хватит фантазии, но не более 5-ти – 6-ти цифр. Более того, даже если пароль сделан более сложным, то он… написан на бумажке, приклеенной к монитору, вместе с именем для входа! Когда я это увидел (а на бумажке было написано даже несколько имён и паролей для доступа) и спросил, зачем так сделано, мне ответили: а чтоб не забыть, а то мы постоянно забываем эти штуки!
Решение. Руководство должно так или иначе обязать (например, посредством должностных инструкций) бухгалтеров всех уровней жёстко следовать разработанной специалистом (системным администратором) парольной политике, да и политике безопасности в целом. Все пароли при этом они должны запоминать, а не записывать. Периодически проводить внезапные инспекции на предмет соблюдения.
Пример второй, с проходной завода
Когда-то я работал в инженерном центре одного из заводов-гигантов нашего города Владимира. Инженерный центр занимался разработкой новых видов продукции и поэтому вход в него, да и на всю территорию завода был строго регламентирован, в том числе в отношении проноса носителей информации. Объявление на проходной гласило: запрещается внос-вынос дискет, жёстких дисков, лазерных компакт-дисков. Соответственно, делал вывод я, не возбраняется внос-вынос магнитооптических дисков, флэш-брелоков и прочих альтернативных носителей информации, о которых служба безопасности, видимо, не знала. Более того, при досмотре сложно было утаить только обычные лазерные компакт-диски, 5-дюймовые (700/800 Мбайт), а вот диски поменьше, 3-дюймовые (210 Мбайт), «проходили на ура».
Решение. Во-первых, сделать объявление более универсальным: запрещается внос-вынос любых носителей информации. А во-вторых, регулярно проводить обучение персонала службы безопасности новым технологиям хранения и передачи данных, хотя бы на уровне знакомства с их внешним видом.
Пример третий, с проходной оборонного завода
Была у меня также пара командировок по работе на один из заводов-гигантов в другом городе, тоже столице своей области (более конкретных названий вы здесь, конечно, не услышите – из соображений безопасности 😉). Завод оборонный, причём занимается (ну или занимался) производством совсем не шуточных вещей, соответственно, с безопасностью на проходной там должно было быть ещё строже. Действительно, каждый раз нас «мурыжили» по часу-полтора, оформляли пропуска, потом проверяли, записывали вносимое оборудование. Естественно, никаких носителей информации и быть не должно. Тем не менее, проносимый мною ноутбук вообще не был воспринят сколько-нибудь серьёзно. Был задан вопрос: что это? Я ответил: ноутбук. Проверяющий парировал: я не знаю что это такое, поэтому запишу «чемодан». Так «мальчик с чемоданом» проник на территорию завода. Причём не только с «чемоданом», но также и с мобильным телефоном, также не вызвавшим подозрения, хотя на самом деле с его помощью можно было легко обойти существовавший на предприятии запрет на выход в Интернет.
Решение. Гнать в шею из службы безопасности таких невежественных работников, или, если случай ещё не клинический, проводить их регулярное обучение всё тем же новым технологиям хранения и передачи данных. Мобильные телефоны или отбирать на проходной, или установить на территории завода соответствующие «глушители».
Пример четвёртый, с проходной магистрального нефтепровода
Тоже служебная командировка, на один из нефтяных объектов недалеко от столицы уже другого региона. На объекте – большие резервуары для нефти (прямо как из фильма «Белое солнце пустыни», только огромнее) и насосно-перекачивающее оборудование. Фотографировать и записывать на видео строго запрещено, на проходной проверяют наличие фото- и видеокамер. Про кинокамеры не спрашивают, они уже из раздела фантастики. Но странно то, что не проверяют мобильные телефоны, которые давно уже могут иметь в своём составе фотоаппарат.
Решение. Опять же, регулярно проводить обучение новым технологиям обработки, хранения и передачи данных.
Пример пятый, охрана государственного учреждения
Это один из последних эпизодов, который меня окончательно подвигнул на написание этой статьи. Случилось это уже после очередной серии терактов, произошедших в России осенью 2004 года, когда было объявлено «об усилении мер безопасности». Мне было необходимо встретиться с одним из своих бывших одногруппников (по университету), который работал в одном из крупнейших государственных учреждений города Владимира. В этот же день я собирался вечером пойти в спортзал, поэтому со мной была довольно крупная спортивная сумка. Когда же я пришёл к этому самому госучреждению, и меня встретил в вестибюле мой товарищ, всё общение с охраной свелось к диалогу между ним и, видимо, знакомым охранником: «Пропустишь, это со мной», – и кивок головы в ответ. Что было у меня в сумке, никого не интересовало.
Решение. А вот здесь, по-моему, налицо явная некомпетентность работника службы безопасности. И не имеет значения то, насколько важен сам объект охраны (почему госучреждения должны охраняться лучше школы?!) – ошибка была допущена принципиальная. Гнать в шею, вместе с руководством службы безопасности.
Пример шестой, положительный, охрана другого госучреждения
Ну, не всё же так плохо, подумал я и решил добавить положительный пример. Речь об охране другого государственного учреждения, Управление министерства юстиции по Владимирской области, которое мне довелось нескоолько раз посетить в процессе легализации моего диплома. Так вот, все разы, когда я оказывался на проходной, будь то с сумкой-дипломатом, либо всё с той же спортивной сумкой, меня подвергали досмотру (даже книгу просили пролистать). И это правильно. В последний раз, правда, охранник даже начал как бы оправдываться: «Ну, понимаете, у нас тут инструкция…» – но я понимал и даже подбодрил его: «Ничего страшного, зато у вас всё правильно». Он уточнил: «Не как в других судах?» (просто в этом же здании находится и областной суд) – «Нет, разгильдяйство пробралось выше», – ответил я, намекнув на госучреждение из предыдущего примера…
Не пример, но предупреждение о безопасности в Интернете
Если вы думаете, что безопасность вашей работы в Интернете, в частности, возможность заражения компьютерными вирусами, упирается только в человеческий фактор, то есть в вашу осторожность, то вы ошибаетесь. Последние обнаруживаемые «дыры» в системе безопасности практически всех Интернет-обозревателей и прочих сетевых приложений являются настолько серьёзными, что вашего участия в заражении компьютера может уже и не потребоваться. Но это отнюдь не означает, но нужно опускать руки и терять бдительность. Наоборот, нужно быть ещё более осторожными, в частности, если дело касается сохранности личной информации в Сети и тем более онлайновых платежей.
Подробнее читайте соответствующую новостную статью на сайте CNews.ru.
Пример седьмой, положительный, охрана школы
В иркутской гимназии № 3 занимается почти полторы тысячи детей. Расположена она на окраине города, поэтому вопросам безопасности здесь уделяют особое внимание. В гимназии установлены современные охранная и пожарная сигнализации, система оповещения. Уже через минуту после срабатывания этой системы из классов начинают выводить детей, причём без лишней суеты. Пройти в школу ученики могут только по именным ярлыкам. Для дополнительных занятий и посещения спортивных секций выписываются отдельные пропуска. Также только по специальным пропускам за подписью директора в здание могут попасть родители. Охрана в гимназии круглосуточная, не меньше трёх человек. По периметру и в основных помещениях установлены видеокамеры.
Подробнее читайте соответствующую новостную статью на сайте Sec.ru.
Пример восьмой, снова отрицательный… и смешной
В нашем офисном здании находится режимное ФГУП «Крона», на этаж к которому можно попасть только через дверь с кодовым замком. Впрочем, иметь для этого ключ совсем не обязательно – достаточно протянуть руку через решётку и нажать открывающую кнопку с обратной стороны двери! 😁
Фотографии этого «суперсекретного» и «надёжного» замка в виде этой своего рода «инструкции по взлому» были даже добавлены в мою коллекцию курьёзных картинок.
Наверное, продолжение в виде негативных примеров ещё последует. Хотя не хотелось бы. Но помните: предупреждён – значит, вооружён.