Думать о безопасности заранее

1.7. Думать о безопасности заранее

Что бы вы ни думали об окружении, в котором работают ваши системы, считать безопасность данностью нельзя. Риску подвержены даже изолированные компьютеры, не подключенные к Интернету (хотя очевидно, что они рискуют не так, как компьютеры, соединённые с внешним миром).

Таким образом, крайне важно думать о влиянии на безопасность всего, что вы делаете. Следующий список иллюстрирует, какого рода вопросы вы должны принимать во внимание:

  • Природа опасностей, потенциально угрожающих вашим системам

  • Расположение, тип и ценность данных этих систем

  • Характер и частота авторизованного доступа к системам

Думая о безопасности, не стоит ошибочно полагать, что потенциальные взломщики будут нападать только на ваши компьютеры, расположенные вне сети компании. Очень часто злоумышленниками оказываются сотрудники компаний. Поэтому, проходя по офису в следующий раз, посмотрите на людей вокруг и задайте себе вопрос:

Чтоб произойдёт, если этот сотрудник попытается взломать нашу защиту?

ЗамечаниеЗамечание
 

Это не значит, что вы должны относиться к своим сотрудникам, как к преступникам. Это всего лишь значит, что вы должны посмотреть на характер работы, выполняемой этим сотрудником, и определить, каким образом он сможет обойти систему безопасности, если будет в этом заинтересован.

1.7.1. Угрозы социальной инженерии

Хотя, задумываясь о безопасности, большинство системных администраторов в первую очередь концентрируются на технических вопросах, важно не забывать и о других угрозах. Довольно часто причины уязвимостей в безопасности лежат не в технологиях, а в природе человека.

Люди, желающие взломать систему безопасности, часто пользуются человеческими недостатками и полностью обходят технические средства управления доступом. Это также называется социальной инженерией. Рассмотрим это на примере:

Оператор, работающий во вторую смену, принимает телефонный звонок. Звонящий представляется финансовым директором организации (имя директора и другие сведения он узнал на сайте компании, на странице «Руководство»).

Он заявляет, что находится где-то в другой точке мира (возможно, это просто выдумано или на сайте компании размещено сообщение, в котором упоминается о том, что финансовый директор собирается посетить выставку).

Звонящий рассказывает ужасную историю: его ноутбук украли в аэропорту, сейчас он встречается с важным клиентом, и ему нужен доступ к внутренней сети для проверки состояния счёта этого клиента. Будет ли оператор так любезен, что даст ему все необходимые сведения для доступа к сети?

Уверены ли вы в том, что сделает оператор? Если оператор не получал чётких указаний (в виде правил и процедур), вероятнее всего, вы не можете быть в нём уверены.

Политики и процедуры, как маяки, предназначены для однозначного определения, как нужно себя вести, а как нет. Однако, также как и маяки, политики и процедуры помогают только тогда, когда им следуют. И в этом кроется корень проблемы — маловероятно, что абсолютно все будут придерживаться ваших политик и процедур. На самом деле, в зависимости от типа организации, может быть так, что у вас просто нет полномочий определять политики, и уж тем более требовать их выполнения. Что же делать тогда?

К сожалению, простого ответа на этот вопрос нет. Возможно, поможет обучение пользователей; делайте всё возможное, чтобы пользователи знали о безопасности и угрозах социальной инженерии. Устройте на перерыве презентацию, посвящённую безопасности. Распространяйте в списках рассылки своей организации ссылки на новости по теме безопасности. Вы должны быть открыты для вопросов пользователей о том, что кажется им не совсем правильным.

В общем, постарайтесь предупредить пользователей всем доступными способами.