"Почему сисадмин не может отвечать за информационную безопасность предприятия".

Трагедия в двух больших и двух малых актах, с прологом, эпилогом и постскриптумом.

Пролог:

Жила-была контора, не большая, не маленькая. И бизнес у нее был соответствующий, так... средненький: купить целиком там, продать по частям здесь, где-то какие-то услуги оказать... в общем — все как обычно. И был у этой конторы директор, в ИТ продвинутый, который с первых же дней ее существования нанял компьютерного гения местного, на должность сисадмина великого. Дабы способствовал тот внедрению высочайших ИТ-технологий на предприятии, и всячески их там же и поддерживал. Долгие месяцы директор нарадоваться не мог на работу своей ИТехнологичной правой руки, до того тот аккуратно и c душой свою работу делал.

Но однажды случилось непредвиденное: на горизонте бизнес-просторов показались западные инвесторы, которых не в последнюю очередь волновало — а как обстоят в этой конторе дела с защитой конфиденциальной информации и информации, составляющей коммерческую тайну? Можно ли доверять информации, полученной из этой конторы (финансовые отчеты и пр.), можно ли вообще получить эту информацию в любой, удобный для инвесторов момент? Так и ушли инвесторы ни с чем, и не вложили деньги в бизнес этой компании, ибо на все вопросы ответы были "нет", "не было" и "а что это вообще за нах такой?".

Призадумался тут директор — а ведь дело говорят, инфу-то и вправду защищать надо, сохранности бизнеса ради, ну и для привлечения столь ценного инвесторского внимания. А кто в конторе способен защитить информацию лучше чем тот, кто системами обработки/хранения/передачи этой информации управляет? Ну в самом деле, не брать же на эту плевую формальную задачу отдельного человека? Глупости какие... Сисадмин ведь — ого-го каких пядей во лбу, справится, никуда не денется.

И позвал директор админа, и поведал ему, что отныне его оклад удваивается, а в обязанности ему вменяется охрана всея циркулирующей информации от всяческих конфузов и невзгод. Так и ушел новоиспеченный админ-безопасник, с одной стороны — весьма озадаченный ("че делать-то надо?"), с другой — не менее весьма обрадованный (оклад удвоили, фигли). Покопавшись в столь любимой им википедии, да мануалах редхатовских/микрософтовских, на предмет ответа на вопрос "что делать", админ понял, что делать-то уже ничего и не надо. Все чек-листы секьюрные он еще при развертывании систем прокрыжил, файрвол — "от" и "до" сконфигурил — ничего лишнего не оставил, за логами следит, антивирусы на рабочих местах обновляет. А вся эта бодяга организационно-бюрократическая, о которой столько всего в той же википедии написано — это не для него, да и вообще... для такой конторки как их — только баластом будет, никакой пользы от нее не предвидится, да и не понятно нихрена. А следовательно — админу оклад повысили за что, что он уже и так делал с момента своего появления здесь! С этой радостной мыслью, админ отправляется спать, а автор — понимает, что с прологом пора бы уже и завязывать и переходить к непосредственно (прости господи) актам...

Акт первый, большой: "Взлом" или "Первый раз — не п$%^#@т".

Была у директора конторы одна слабость: то ли волею судеб, то ли силою природы, но тяготел он всем телом и душой к любви мужской, страстной. Педиком был короче. Слабость эту он, разумеется — всячески скрывал от партнеров и подчиненных, дабы минимизировать влияние его личной жинзи на его же жизнь деловую. И вот однажды, прийдя на работу и запустив броузер на своем ноутбуке, он с ужасом увидел, как вместо главной страницы их корпоративного сайта красуется его фотография, натурально — в обнаженном виде, да еще и с бойфрендом в обнимку. Ну и надпись сопроводительная, не оставляющая ни малейшего сомнения относительно его ориентации. Он тут же админа к себе на ковер: "Как так? Я ж тебе, гаденышу деньги такие — за что платил? О каком обеспечении ИБ на предприятии можно говорить, если любой желающий наш сайт разломать может и мою репутацию вот так вот очернить?". Долго директор еще журил админа за произошедшее, и закончил
свою пламенную речь словами: "ты имей ввиду: то, что сейчас про меня на сайте написано — правда. Поэтому завтра с утра явишься ко мне, либо с подробным докладом о произошедшем и о принятых тобой мерах, либо с баночкой вазелина, дабы в дальнейшем неповадно было свои обязанности не выполнять!". Админ, ясное дело, не на шутку испугался, ибо ориентацию директорскую никоим образом не разделял. Засел за изучение логов веб-сервера и обнаружил, что взлом осуществлялся прямо из офиса их конкурентов. Вот же — их айпишник, вот POST-запрос с SQL-инъекцией, вот попытки получить доступ к файловой системе сервера.... Админ аккуратненько все куски логов на флешку слил, закрыл уязвимость на сайте, вернул нормальную стартовую страницу и лег спать.

На следующее утро, прибегает радостный к директору, все как есть, на одном дыхании рассказывает и отдает флешку с добытыми доказательствами. Директор — сияет, еще бы — такая возможность устранить конкурента. Все чин по чину, оформляют заявление в местное ОВД, дают показания и т.п. Через несколько дней — отказ в возбуждении уголовного дела. "Как так? На каком основании?" — только и спросили директор с админом. "Да на том самом основании, что доказать наличие состава преступления не представляется возможным. Любая экспертиза покажет, что после взлома вы на своих серверах ковырялись. Чем докажете, что эти логи на флешке, настоящие, а не вами сфальцифицированные? С каких это пор вообще — доказательную базу собирает сам потерпевший?" — отвечал им следователь. Так и остался взлом безнаказанным для хакерюг. А админа — директор простил, на этот раз. Ведь и ежу понятно, что не мог он всех этих юридических тонкостей знать. Админ же — сделал для себя из этой истории два важных вывода: во-первых, неплохо бы изучить юридическую составляющую проведения расследований инцидентов ИБ, а во-вторых, что неплохо было бы провести аудит всех, хотя бы смотрящих наружу информационных систем, потому что второго такого шанса спасти свою задницу у него уже не будет. Посему, решил бедный админ получать второе высшее — юридическое, а заодно и за сканеры безопасности засел, в попытках сломать системы которые сам же конфигурировал, и понял, что сие — гиблое дело, так у него на эти системы — глаз совсем "замылился" с одной стороны, да и навыков взлома любых систем у него вообще нет — с другой.

Акт второй, большой: "Инсайд" или "Второй раз, уже отнюдь — не первый"

К чести админа надо сказать, что навыки взлома систем, используемых в конторе он таки-получил. Целый месяц ушел у него на штудирование необходимой литературы и мануалов, даже курс специальный прошел за счет конторы. Правда на свои прямые обязанности — забил совсем. Но спустя еще месяц, выдал на гора директору результаты его "комплексных тестов на проникновение", с перечнем выявленных (и уже устраненных им же) уявзимостей. Посему, наказания за несиполнение прямых обязанностей на этот раз избежал. И только собрался, с гордо поднятой головой из кабинета директора выходить, как тот его остановил и поведал, что есть у него инфа кулуарная, о том, что один из сотрудников инфу секретную налево сливает. То закупочные прайсы конкурентам продаст, то критерии проведения тендеров их участникам за отдельную плату озвучит. И что надо бы этого супостата изловить, да по всей строгости закона наказать. Только не как в прошлый раз, а то тесты на проникновение будут проведены над самим админом, в самой извращенной форме.

Понял админ, что проколов быть просто не должно. Обложился юридическими справочниками, рекомендациями ФБР по расследованию инцидентов ИБ и прочей беллетристикой. Расследование вел грамотно — определил перечень лиц, имеющих доступ к сливаемой информации (в него попали почти все сотрудники, т.к. эта инфа лежала на общедоступной сетевой шаре), установил аудит событий файловой системы, фиксировал все попытки доступа к этим файлам, мониторил интернет-трафик сотрудников на предмет передачи этой информации налево. Прошло несколько дней и алилуйа, супостат был найден! Им оказался один шустрый паренек из отдела маркетинга и рекламы, не так давно принятый на работу, но уже не раз замеченный в посещении порно-сайтов гейской тематики и заигрывании с коллегами мужского пола по аське. Незамедлительно админ сообщил об этом директору (я разве еще не сказал, что админом еще в первом акте был разработан детальный план реагирования на инциденты ИБ?), директор в свою очередь сообщил в компетентные органы. В тот же день, в офис явился следователь с парой оперативников, которые, по-быстрому найдя понятых, приступили к выемке вещдоков с рабочей станции сотрудника и файлового сервера. Следователь тем временем, брал показания у директора и админа. И по ходу дачи показаний, выяснилось, что мало того, что сотрудник никогда не обязывался не разглашать подобную инфу, так и инфа сама по себе не является коммерческой тайной, ибо она таковой объявлена не была, меры по ее сохранности не предпринимались, сотрудники были вообще не в курсе — какая инфа является закрытой, а какая нет. И снова — отказ в возбуждении уголовного дела.

Косо поглядывая на задницу админа, директор решает разобраться с "крысой" по-своему, уволив его и разослав соответствующие "рекомендации" по местным компаниям и кадровым агенствам. Вызвав его к себе на ковер, он ставит вопрос ребром: "сам уйдешь, или по статье уволить да еще и во всеуслышанье рассказать о твоих сексуальных предпочтениях и прочих подвигах здесь?". На что паренек отвечает "увольняйте по статье" и спокойно уходит. Через неделю — на имя директора и админа приходят повестки в суд по факту нарушения конституционных прав паренька, а именно — право на тайну личной жизни. "Да как же так, он же эти свои тайны через наши системы гнал, по принадлежащим нам каналам, о какой тайне, тем более личной тут идет речь?". Так-то оно так, но как оказалось, сотрудника не предупредили о том, что компания оставляет за собой право просматривать эту информацию, и кому бы ни принадлежали системы и каналы, информация которую сотрудник передавал по ним — самая что ни на есть личная, охраняемая Конституцией, посему, правонарушение налицо. Ну в общем кое-как от этого хлопца контора откупилась (т.е. еще и приплатила ему за то, что он воровал у них инфу), и забыла его как страшный сон. А вот "комплексные тесты на проникновение" в кабинете директора — админ еще долго забыть не мог, ибо прав он был насчет того, что второго шанса у его задницы не будет.

Отойдя от пережитого шока, админ сделал еще несколько выводов:

— каждый из сотрудников должен иметь доступ только к той информации, которая необходима для выполнения служебных обязанностей
— политика категорирования информационных ресурсов и порядок обращения с конф. инфой и инфой, содержащей ком. тайну — должны иметь место быть, причем сотрудники должны ознакомится с ними под роспись, обязавшись их всячески выполнять.
— на уровне трудового договора должно быть четко прописано, что компания оставляет за собой право проведения проверок, в ходе которых возможен доступ к любой информации, передаваемой сотрудников с использованием технических средств, принадлежащих компании.
— все эти бумажки (либо ссылки на них) необходимо собрать в одном большом документе "политика информационной безопасности компании", и ознакомить с ним весь персонал.
— за соблюдением сотрудников политики ИБ необходимо как-то следить
— тесты на проникновение нужно проводить не только для систем, смотрящих наружу, т.к. существуют еще и внутренние угрозы
— с учетом сказанного выше, времени на администрирование систем попросту не остается.

Акт третий, малый: "Персональные данные" или "Второй раз — возвращается".

Униженный и подавленный админ кое-как вел свои дела, подумывая то об увольнении, то о самоубийстве. И тут новая напасть — недавно принятый закон о персональных данных, предписывающий всем организациям известить "Россвязьохранкультуру" о своем намерении обрабатывать и хранить персональные данные, обеспечить использование сертифицированных соответствующими надзорными органами используемых для этого технических средств, и наличие в штате организации n-человек с образованием, дающим допуск к защите этих долбанных персональных данных. В связи с чем, админ в срочном порядке:

1. Совместно с юристом (у него же еще нет юридического образования) составил письмо в "...охранкультуру"
2. В срочном порядке поменял опенсорсные ERP и CRM на коммерческие, но сертифицированные по самые уши аналоги, вогнав контору в бешенные затраты
3. Прошел курсы повышения квалификации по специальности "защита информации", т.к. его физфаковский диплом это совсем не то, о чем говорится в данном законе.

В сухом остатке — куча убитого времени, пришедшая в упадок ИТ-инфраструктура и ставшая уже традиционной, встреча с директором в его кабинете и за затраты и за упадок и just for директорский fun.

Акт четвертый, малый: "Вирусная атака" или "А админ-то где?"

15 мая 2008 года, полным ходом идет атака на пользователей соц. сети "вконтакте". Оба антивирусника (на прокси и на рабочих местах) — пока откровенно сосут и у дроппера и у самого трояна, сажаемого по ходу атаки на машину пользователя. Админ, понимая, что у него нет другого выхода кроме как, либо забить на эту атаку, либо попытаться выяснить — с каких машин прошли по вредоносной ссылке и попытаться полечить их вручную, начинает дергаться и до него доходит, что свои профессиональные навыки, в попытках стать мега-безопасником, он утратил окончательно и безповоротно, т.к. он уже больше юрист и менеджер, нежели технический специалист. В итоге — атака проходит успешно (для атакующих), куча пользовательских машин оказывается в составе бот-сети, трафик, внесение айпишников конторы в блэк-листы и т.п. Ну и традиционная встреча с директором в его кабинете, конечно же.

Пролог:

Устав от постоянно переживаемых стрессов и нехватки времени, от регулярных домогательств директора, от коллег, видящих теперь в нем врага, который может уволить в любой момент за несоблюдение политики ИБ, от того, что из классного технического спеца он превратился в непонятно кого, без всяких перспектив на рынке труда, админ закупил за счет конторы бухту витой пары пятой категории (для расширения СКС) и одну масленку первоклассного машинного масла (для смазки серверных кулеров). На следующее утро, его обнаружили повесившимся на этой самой витой паре, смазанной этим самым маслом. В своей предсмертной записке, админ объяснял, почему считает подобное совмещение должностей крупнейшей ошибкой директора как топ-менеджера, того самого педика, доведшего его своим самодурством до самоубийства. Директора посадили по этой самой статье...

P.S: Я понимаю, что на месте сисадмина, гораздо логичнее было бы просто уволиться нах, и подать на директора заявление в ОВД после первого же акта. Но так хотелось трагичной развязки со смертью главного героя...