klink0v (klink0v) wrote,
klink0v
klink0v

Про информационную безопасность

С подачи max_andriyahov прочитал очень-очень старый псто у тов. vovney. Текст датирован концом 2011-го года, но актуален и по сей день. Поэтому сделаю перепост с добавлением некоторых комментариев.


О корпоративной секьюрности

Вспомнил одну идиотскую работу, которую мне как то пришлось выполнить. Клиент просил потестировать систему безопасности и работу егойных админов. Моя задача, с правами рядового сотрудника, вынести за пределы офиса информацию, содержащуюся в текстовом файле. Да, по работе у "сотрудника" доступ к этому файлу есть. Админы тамошние "безопасность" типа настроили. USB заблокированы, сидиромов - нет, трафик просматривается на предмет наличия таких документов и т.п.

Попытка 1

Файл сохраняется на корпоративный веб сервак, который стоит внутри конторы и торчит наружу. Ну чё, закрыли они такую фишку.

Попытка 2

Мощный снифер ловит все пакеты и просматривает в них наличие документов doc, rtf и ещё пары сотен. Причем не только по имени, но и по структуре. Файлик сохраненный в картинку, зазипованый и переименованый в bin (а ещё я первые два байта отрезал =) ) — не поймал.

Попытка 3

Инет вырублен на**й. Открываю корпус, сбрасываю биос, USB включается. Списываю на флешку - ухожу.

Попытка 4

На корпусе - замочек, USB залиты пластиком. Здоровой отвёрткой тупо выламываю замок (задачи скрыть следы небыло), снимаю винт - ухожу.

Попытка 5

Тонкий клиент (бездисковая терминальная станция). Коннектится на сервак и оттуда типа работаем. Открываю файл, фотографирую на телефон (3Мп вполне хватает). OCR. Готово.

Собственно к чему это я? Да к тому, что только техническими средствами х** вы добьётесь нормальной безопасности, особенно изнутри. Сначала должны быть приняты административные меры, и только потом - технические.


Далее комментарий в ЖЖ у max_andriyahov.



Сегодня еду в метро. Рядом сидит девушка. Заходит с мобильника в корпоративный оутлук. Ну я подсмотрел пароль. Ради интереса проверил - все так, вся рабочая переписка полностью доступна.

Что я к этому хотел бы добавить лично от себя?


  1. Можно создать сколь угодно технически совершенную систему информационной безопасности. Но если ей будут пользоваться люди с уровнем интеллекта, сравнимым с деревянной табуреткой, то грош цена всей этой технике. Против наклеек с паролями на мониторе и пересылкой друг дружке бизнес-критичных документов через mail.ru сисадмины, увы, бессильны.

  2. Аналогично, бесполезно чисто техническими средствами заставлять своих сотрудников работать. Например, закрывать им доступ ко "Вконтактику", запрещать MP3-файлы и игрушки, шпионить за рабочими столами, вводить строгий пропускной режим по времени, требовать выполнения принципа "попа-часы" и т.д. Вместо этого их нужно грузить работой в достаточном количестве и отслеживать выполнение результата, после чего грамотно мотивировать и стимулировать рублём. Всё остальное — как мёртвому припарки. И техника тут тоже бессильна. Если человек не заинтересован в результате — работать он не будет.

Tags: безопасность, бизнес, перепост
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments