[Из песочницы] Стажер — находка для шпиона

Привет, Хабр.

Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.

В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.

Теперь, когда мы знакомы, давайте начнем.

Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.

1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.

2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:

Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.

3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.

4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.

5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.

6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну, а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.

7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.

8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.

9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.

10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам

11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.

Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.

В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.

В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.

Спасибо за внимание. Очень интересно будет почитать ваши мысли.

Комментарии (14)

  • 20 июля 2016 в 19:30

    +1

    Думаю, это характерно для маленьких компаний. По своему опыту стажерства в гигантах, скажу, что были и грамотные политики паролей, и письмо из службы безопасности сразу же после попытки отсканировать сеть из дома в поиске забытого на столе в офисе включенным сервера. Однажды даже была выборочная проверка моего исходного кода на закладки не тимлидом, а именно ребятами из СБ. После увольнения всегда была беседа с сотрудником ИБ о том, понимаю ли я ответственность, к чему я имел доступ, как меня найти в случае чего и так далее. Так что такие компании есть.
  • 20 июля 2016 в 19:31

    0

    Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.

    А у меня на первой работе серверная располагась игровой. Пошел в теннис поиграть и заодно проверил как там серверки живут. Помогал когда-то восстанавливать базы SQL Server на одном заводе так так еще веселее… Серверная в подвале где вечный конденсат капал на сервера и ничего… секреты производства на дисках еще живы :)
  • 20 июля 2016 в 19:45

    +5

    Я много сталкивался с безопасностью разных компаний с точки зрения внешнего наблюдателя: пентест, аудит, исследование безопасности приложений. И могу сказать довольно простую вещь: информационная безопасность просто никому сейчас не нужна, что бы при этом не говорили.

    Разработчику гораздо проще и быстрее написать говнокод, который что-то делает, вместо того, чтобы сделать это безопасно. Зачастую для этого надо изучать что-то новое и непривычное, это не всем нравится.

    Менеджер хочет получить готовый продукт, а не перенос сроков на месяц, так как надо проверить очередное нововведение на безопасность.

    Почти всем сотрудникам гораздо проще использовать один пароль и держать все двери открытыми, чем запоминать или хранить кучу паролей и носить и выдавать ключи под роспись.

    И есть главная причина: все понимают, что банально выгоднее игнорировать проблемы безопасности и выпускать продукт скорее, чем тратить кучу времени и ничего не сделать. Я много раз в таких ситуациях привожу в качестве примера ответ одной компании на сообщение об уязвимости: «Мы сознательно игнорируем вопросы безопасности, чтобы ускорить процесс разработки».

    Пока такая схема работы будет выгодной, кучи статей и критики ничего не сделают.

  • 20 июля 2016 в 19:52 (комментарий был изменён)

    +1

    информационная безопасность просто никому сейчас не нужна
    +++
    Ну, вернее, я бы сказал не «никому», а «мало где».)
  • 20 июля 2016 в 20:12

    0

    Каждая компания сама решает, как ей быть с безопасностью, какие меры принимать, а какие нет. Исключения составляют случаи, когда меры безопасности диктуются законодательно, например при работе с персональными данными, госсекретами, или если речь идет о финансовых системах компаний, акции которых торгуются публично. В этих случаях есть четкие требования, которые надо выполнять, и для этого там и сидят безопасники. Возможно, вам стоит именно к таким компаниям присматриваться для продолжения карьеры. Остальным это зачастую не нужно.
  • 20 июля 2016 в 20:14

    +1

    И вы нигде даже NDA не подписывали?
    • 20 июля 2016 в 20:55

      0

      Подписывала, он был везде одностраничный. Вот сейчас держу перед собой NDA с последней стажировки. Если кратко, то тут запрещено почти все, что не разрешено. Но это на словах, ведь компания не защищена от моих глупых действий пользователя. Я стажер, откуда мне знать что у них там тайна, а что можно запостить или скинуть друзьям с скайп?

      И да, есть вопрос. Кое-где были кейгены, которые я использовала, в том числе скидывала себе на флешку. Кейген относится к конфеденциальной информации/сведениям? Потому что если нет, то видимо я имею право оставить его себе

  • 20 июля 2016 в 20:18

    +4

    Как ни прискорбно, но обеспечить безопасность на том уровне на котором вы хотите действительно зачастую дороже чем стоит та самая информация которю нужно оберегать. Необходимо учесть что цена складывается не только из стоимости охранных мероприятий, но и стоимости сниженной производительности сотрудников. Очень мало людей которые работают за комьютером и при этом не нуждаются в полноценном интернете. Белыми списками тут не обойтись, а черные списки никак не обеспечат достаточной безопасности. Поэтому для не профильного бизнеса действительно проще не заморачиваться.
  • 20 июля 2016 в 20:41

    +3

    Неужели это считатется правильным подходом к ИБ в комапаниях, разрабатывающих ПО:  поставить камеры, заблокировать локального админа, заблокировать какие-то сайты, пропуска, ключи в пеналах с печатами? Какой-то оборонный завод, а не софтверная компания.
    ИМХО, ИБ нужен для охраны чувствительной информации. То, что вам придерживали дверь, что у вас был «свободный доступ к ресурсам», это совсем не значит, что вы могли что-то важное украсть (информацию о клиентах, важные ноу-хау и т.п.) Ограничения же, о которых вы говорите, в большинстве своем мало помогают в сохранности информации, зато очень неприятны и неудобны для сотрудников, что заставляет их, знающих внутреннее устройство вашей компании, искать способы эти ограничения обходить. А обманчивая видимость безопасности — очень страшная вещь.
    • 20 июля 2016 в 21:35

      0

      Я и не говорю, что надо стоять над душой сотрудника и отслеживать каждый чих. Просто к слову об информации о клиентах. В фирмы они приезжали, в переговорных с руководителями общались. Проверок переговорных не было (мой личный вывод, но непосредственно перед встречами там точно никто ничего не проверял).
      Описание багов уже выпущенного ПО можно отнести к важной информации. Документ с ними нашелся абсолютно случайно. И баги точно не были исправлены, так куратор сказал, тем более задачи по исправлению висели на некоторых разработчиках.
      Вся структура сотрудников была в outlook с занимаемыми должностями и телефонами. И по некоторым данным было совсем не сложно установить кто и сколько проработал, где сидел и чем занимался.
      Все это можно, как мне кажется, стажер знать не должен.
      • 20 июля 2016 в 21:41

        0

        А что, на ваш взгляд, нужно было проверять в переговорках? Искать жучков?)
        • 20 июля 2016 в 21:53

          0

          Дааа!) Наверное я выгляжу слишком наивной сейчас. Универские знания, так заботливо вложенные в голову просто не дают покоя. Да, жучков, их самых. Войти то в переговорную мог кто угодно. Тем более ключи то иногда оставались снаружи, а там и слепок можно сделать

          Но судя по всему стоит забыть про мечту заниматься корпоративной безопасностью (или отодвинуть на очень долго) и идти учить веб

          • 20 июля 2016 в 22:03

            0

            Но судя по всему стоит забыть про мечту заниматься корпоративной безопасностью
            Это почему?

            и идти учить веб
            Звучит как приговор)

            • 20 июля 2016 в 22:17

              0

              За полтора года поиска не нашла ни одного места, которое давало бы старт в этой сфере или хотя бы близкой области этой безопасности. Не вижу ниточку, за которую хвататься.

              А веб, судя по стажировкам видимо очень даже нужен. Веб безопасность имелась в виду)

© Habrahabr.ru