«Хмммм я никогда не видела, чтобы кто-то подключал сервер базы данных к Интернету, не защитив его брандмауэром». Дэйв ответил: «Наш эксперт по брандмауэрам Фред настроил Drug10 после установки мной системы на выполнение им функции брандмауэра».
После этого мне все равно было трудно поверить в то, что эти два человека подсоединили их систему напрямую к Интернету. Вот и говори про риск! Так как я уже собрала достаточно информации, чтобы начать тестирование, то решила поговорить с администратором брандмауэров Фредом после проведения тестов безопасности системы. Мне хотелось поговорить с ним, имея все факты. Меня уже звал к себе Drug10. Я должна была идти.
Было уже почти 5 часов дня, и я была вынуждена перенести тестирование систем на завтра. Дэйву надо было забирать ребенка, и ему не хотелось слоняться по компьютерному залу, пока я буду проводить аудит систем. Однако он согласился завтра первым делом создать мне учетную запись на сервере Drug10, чтобы я смогла сразу же, как только приеду, приступить к работе. Договорившись, мы ушли в одно и то же время.
В отличие от Дэйва, с радостью ушедшего с работы, я не была счастлива от ожидания. Мне надо было освободить свою голову от мыслей, иначе до утра я могла бы сойти с ума. Этому могла помочь хорошая пробежка. Я пришла в себя, когда уже зашнуровывала кроссовки. Я распахнула дверь дома и выбрала маршрут потяжелее по холмам. После пяти миль бега по холмам Портола
аудита, так это то, что они понимают риск и имеют полномочия внутри компании, достаточные для того, чтобы вытащить вилку из розетки у любой системы, если есть необходимость. Я как раз и рекомендовала немедленно вытащить вилку у Drug10. И спасибо менеджеру внутреннего аудита за серьезное отношение к проблеме. Обслуживающий персонал работал всю ночь, устанавливая новую систему взамен Drug10. К следующему утру новая система была подключена к сети.
Последний день аудита: Кто несет ответственность за безопасность
Во главе списка рисков были следующие:
Не были сделаны исправления программ (патчи), повышающие безопасность.
Существовала избыточность разрешений на доступ к файлам.
Пароли легко было отгадать.
Были включены ненужные сетевые службы.
Большое количество рисков не удивило меня. Когда такая важная система, как Drug10, настраивается столь плохо, что информация всей компании и ее клиентов подвергается риску, то я не могла ожидать, что обнаружу должный контроль над безопасностью других систем. Перед тем как написать отчет, я решила поговорить с Фредом, так называемым экспертом JFC по брандмауэрам. Зайдя в его офис, я попросила уделить мне немного времени. Когда я села и пыталась завязать с ним разговор, Фред продолжал печатать. Мне это очень не нравится. Когда люди печатают во время разговора с вами, то этим стараются показать две вещи: 1) «У меня есть дела важнее разговора с вами». 2) «Вам вовсе не нужно мое внимание (или вы не заслуживаете его)». Я не была настроена терпеть такое отношение ко мне, поэтому встала и попросила Фреда встретиться со мной в зале заседаний в конце холла.
Фред от своих манер общения не отказался и там. Пытаясь получить от него информацию, я обнаружила, что он саркастичен, заносчив и не очень умен. По моему мнению, он был типичным неудачником. Он попытался переложить ответственность на другого. Он путано стал мне объяснять, что все было бы в порядке, если бы Дэйв настроил безопасность на сервере базы данных. Он также сказал, что в его намерения не входило настраивать безопасность системы это, по его мнению, была работа Дэйва.
Если вы работаете системным администратором, как Дэйв, то вы, возможно, вспомните подобный случай. Когда защита взломана, то все показывают пальцем на вас.
Мне не хотелось тратить много времени на разговор с Фредом, так как нужно было писать отчет. И все же я решила задать ему еще несколько вопросов, с тем чтобы подзадорить его, (Ладно, с моей стороны это не совсем хорошо, но всем нам хочется иногда позабавиться.)
Оказалось, что Фред работает в JFC, обслуживая сеть и настраивая брандмауэры, уже пять лет. Для JFC это означало, что пять лет ее безопасность подвергалась большому риску. Ernst & Young сообщала в 1996 году, что более 20 процентов обследованных компаний не имело сотрудников, занимающихся безопасностью. Но они не сообщили о том, что иметь недобросовестного сотрудника на этой должности может быть так же плохо, если не хуже. При отсутствии эксперта по безопасности пользователи хотя бы не будут заблуждаться, предполагая, что их информация защищена, в то время как все будет наоборот.
Прием на должность эксперта по безопасности неподходящего сотрудника может подвергнуть риску всю компанию, особенно если ее руководство недостаточно разбирается в этих вопросах и не знает, за какие промахи эксперт по безопасности должен отвечать. Начальник Фреда, кажется, совсем этого не знал, Я думаю, что он даже не понимал риска.
А риск в JFC был существенным. Из-за плохой конфигурации вы даже не могли сказать, не украл ли хакер конфиденциальную информацию для продажи конкуренту. Также нельзя было сказать, не оставил ли он за собой «троянского коня», «червя» или вируса, которые бы могли позднее заразить информацию JFC и ее клиента McConnell.