Логотип StingRay

Поделиться
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
FacebookFacebookRSSTwitterYouTubeВ контактеОдноклассники
Силуэт человека

«Дыры» в личной и профессиональной безопасности

  Следи за собой, будь осторожен!
Следи за собой!


В. Цой, «Следи за собой»

В наше время «дыры», они же уязвимости в системе безопасности, стали как нельзя более актуальны, во многом из-за сложившейся в стране и мире ситуации с терроризмом. Ниже я бы хотел перечислить те «дыры», с которыми приходилось сталкиваться мне, причём, несмотря на очевидность способов их «латания», также указать и на решение.

Здесь под личной безопасностью я понимаю безопасность жизнедеятельности как отдельного человека (личности), так и различных общественных организаций (предприятий, учреждений и т. п., вплоть до государства). Под профессиональной безопасностью подразумевается один из аспектов личной безопасности, связанный с профессиональной деятельностью (в моём случае это компьютеры).

Итак, несколько примеров из жизни…

Пример первый, из бухгалтерской практики

В своё время мне довелось работать над созданием, тестированием и сопровождением бухгалтерских программ (см. моё резюме), следовательно, так или иначе сталкиваться с реальными бухгалтерами различного уровня. Так вот, подавляющее большинство из них, вне зависимости от уровня занимаемой должности, совершенно халатно относятся в сохранности бухгалтерских (финансовых) данных. Речь здесь идёт не об открытом доступе к папкам и файлам (это больше прерогатива системных администраторов), а о халатности в отношении паролей. Пароль на вход в бухгалтерскую программу нередко не установлен, а если и установлен, то обычно имеет такой вид: «1», «12», «123» и т. д., насколько хватит фантазии, но не более 5-6 цифр. Более того, даже если пароль сделан более сложным, то он… написан на бумажке, приклеенной к монитору, вместе с именем для входа! Когда я это увидел (а на бумажке было написано даже несколько имён и паролей для доступа) и спросил, зачем так сделано, мне ответили: а чтоб не забыть, а то мы постоянно забываем эти штуки!

Решение. Руководство должно так или иначе обязать (например, посредством должностных инструкций) бухгалтеров всех уровней жёстко следовать разработанной специалистом (системным администратором) парольной политике, да и политике безопасности в целом. Все пароли при этом они должны запоминать, а не записывать. Периодически проводить внезапные инспекции на предмет соблюдения.

Пример второй, с проходной завода

Когда-то я работал в инженерном центре одного из заводов-гигантов нашего города Владимира. Инженерный центр занимался разработкой новых видов продукции и поэтому вход в него, да и на всю территорию завода был строго регламентирован, в том числе в отношении проноса носителей информации. Объявление на проходной гласило: запрещается внос-вынос дискет, жёстких дисков, лазерных компакт-дисков. Соответственно, делал вывод я, не возбраняется внос-вынос магнитооптических дисков, флэш-брелоков и прочих альтернативных носителей информации, о которых служба безопасности, видимо, не знала. Более того, при досмотре сложно было утаить только обычные лазерные компакт-диски, 5-дюймовые (700/800 Мбайт), а вот диски поменьше, 3-дюймовые (210 Мбайт), «проходили на ура».

Решение. Во-первых, сделать объявление более универсальным: запрещается внос-вынос любых носителей информации. А во-вторых, регулярно проводить обучение персонала службы безопасности новым технологиям хранения и передачи данных, хотя бы на уровне знакомства с их внешним видом.

Пример третий, с проходной оборонного завода

Была у меня также пара командировок по работе на один из заводов-гигантов в другом городе, тоже столице своей области (более конкретных названий вы здесь, конечно, не услышите – из соображений безопасности ;-). Завод оборонный, причём занимается (ну или занимался) производством совсем не шуточных вещей, соответственно, с безопасностью на проходной там должно было быть ещё строже. Действительно, каждый раз нас «мурыжили» по часу-полтора, оформляли пропуска, потом проверяли, записывали вносимое оборудование. Естественно, никаких носителей информации и быть не должно. Тем не менее, проносимый мною ноутбук вообще не был воспринят сколько-нибудь серьёзно. Был задан вопрос: что это? Я ответил: ноутбук. Проверяющий парировал: я не знаю что это такое, поэтому запишу «чемодан». Так «мальчик с чемоданом» проник на территорию завода. Причём не только с «чемоданом», но также и с мобильным телефоном, также не вызвавшим подозрения, хотя на самом деле с его помощью можно было легко обойти существовавший на предприятии запрет на выход в Интернет.

Решение. Гнать в шею из службы безопасности таких невежественных работников, или, если случай ещё не клинический, проводить их регулярное обучение всё тем же новым технологиям хранения и передачи данных. Мобильные телефоны или отбирать на проходной, или установить на территории завода соответствующие «глушители».

Пример четвёртый, с проходной магистрального нефтепровода

Тоже служебная командировка, на один из нефтяных объектов недалеко от столицы уже другого региона. На объекте – большие резервуары для нефти (прямо как из фильма «Белое солнце пустыни», только огромнее) и насосно-перекачивающее оборудование. Фотографировать и записывать на видео строго запрещено, на проходной проверяют наличие фото- и видеокамер. Про кинокамеры не спрашивают, они уже из раздела фантастики. Но странно то, что не проверяют мобильные телефоны, которые давно уже могут иметь в своём составе фотоаппарат.

Решение. Опять же, регулярно проводить обучение новым технологиям обработки, хранения и передачи данных.

Пример пятый, охрана государственного учреждения

Это один из последних эпизодов, который меня окончательно подвигнул на написание этой статьи. Случилось это уже после очередной серии терактов, произошедших в России осенью 2004 года, когда было объявлено «об усилении мер безопасности». Мне было необходимо встретиться с одним из своих бывших одногруппников (по университету), который работал в одном из крупнейших государственных учреждений города Владимира. В этот же день я собирался вечером пойти в спортзал, поэтому со мной была довольно крупная спортивная сумка. Когда же я пришёл к этому самому госучреждению, и меня встретил в вестибюле мой товарищ, всё общение с охраной свелось к диалогу между ним и, видимо, знакомым охранником: «Пропустишь, это со мной», – и кивок головы в ответ. Что было у меня в сумке, никого не интересовало.

Решение. А вот здесь, по-моему, налицо явная некомпетентность работника службы безопасности. И не имеет значения то, насколько важен сам объект охраны (почему госучреждения должны охраняться лучше школы?!) – ошибка была допущена принципиальная. Гнать в шею, вместе с руководством службы безопасности.

Пример шестой, положительный, охрана другого госучреждения

Ну, не всё же так плохо, подумал я и решил добавить положительный пример. Речь об охране другого государственного учреждения, Управление министерства юстиции по Владимирской области, которое мне довелось нескоолько раз посетить в процессе легализации моего диплома. Так вот, все разы, когда я оказывался на проходной, будь то с сумкой-дипломатом, либо всё с той же спортивной сумкой, меня подвергали досмотру (даже книгу просили пролистать). И это правильно. В последний раз, правда, охранник даже начал как бы оправдываться: «Ну, понимаете, у нас тут инструкция…» – но я понимал и даже подбодрил его: «Ничего страшного, зато у вас всё правильно». Он уточнил: «Не как в других судах?» (просто в этом же здании находится и областной суд) – «Нет, разгильдяйство пробралось выше», – ответил я, намекнув на госучреждение из предыдущего примера…

Не пример, но предупреждение о безопасности в Интернете

Если вы думаете, что безопасность вашей работы в Интернете, в частности, возможность заражения компьютерными вирусами, упирается только в человеческий фактор, то есть в вашу осторожность, то вы ошибаетесь. Последние обнаруживаемые «дыры» в системе безопасности практически всех Интернет-обозревателей и прочих сетевых приложений являются настолько серьёзными, что вашего участия в заражении компьютера может уже и не потребоваться. Но это отнюдь не означает, но нужно опускать руки и терять бдительность. Наоборот, нужно быть ещё более осторожными, в частности, если дело касается сохранности личной информации в Сети и тем более онлайновых платежей.

Подробнее читайте соответствующую новостную статью на сайте CNews.ru.

Пример седьмой, положительный, охрана школы

В иркутской гимназии № 3 занимается почти полторы тысячи детей. Расположена она на окраине города, поэтому вопросам безопасности здесь уделяют особое внимание. В гимназии установлены современные охранная и пожарная сигнализации, система оповещения. Уже через минуту после срабатывания этой системы из классов начинают выводить детей, причём без лишней суеты. Пройти в школу ученики могут только по именным ярлыкам. Для дополнительных занятий и посещения спортивных секций выписываются отдельные пропуска. Также только по специальным пропускам за подписью директора в здание могут попасть родители. Охрана в гимназии круглосуточная, не меньше трёх человек. По периметру и в основных помещениях установлены видеокамеры.

Подробнее читайте соответствующую новостную статью на сайте Sec.ru.

Пример восьмой, снова отрицательный… и смешной

В нашем офисном здании находится режимное ФГУП «Крона», на этаж к которому можно попасть только через дверь с кодовым замком. Впрочем, иметь для этого ключ совсем не обязательно – достаточно протянуть руку через решётку и нажать открывающую кнопку с обратной стороны двери! :-D

Суперсекретный и надёжный замок ФГУП «Крона» (г. Владимир)

Фотографии этого «суперсекретного» и «надёжного» замка в виде этой своего рода «инструкции по взлому» были даже добавлены в мою коллекцию курьёзных картинок.


Наверное, продолжение в виде негативных примеров ещё последует. Хотя не хотелось бы. Но помните: предупреждён – значит, вооружён.

Добавьте свой комментарий или войдите, чтобы подписаться/отписаться.
Имя: OpenId
Результат операции:
Предпросмотр Улыбка Подмигивание Дразнит Оскал Смех Огорчение Сильное огорчение Шок Сумасшествие Равнодушие Молчание Крутизна Злость Бешенство Смущение Сожаление Влюблённость Ангел Вопрос Восклицание Жирный Курсив Подчёркивание Зачёркивание Размер шрифта Гиперссылка Цитата
Загрузка…