Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczeństwo informacji w firmach cz. I

Jak większość ludzi na portalu DP jestem ściśle powiązany z informatyką. W swoim życiu zawodowym miałem przyjemność pracować w różnych firmach, każda z tych firm była inna (branża, struktura sieciowa, kadra IT, oprogramowanie). Choć firmy się różnią to często mają wspólne elementy. Jednym z tych elementów jest bezpieczeństwo informacji. Od razu zaznaczę, że nie jestem ABI, raczej osobą która trochę zna się na informatyce.

Tematyka bezpieczeństwa informacji jest bardzo rozległa i dotyczy wielu elementów o których pisać tu nie zamierzam. Postaram się skupić na elementach dość istotnych z mojego punktu widzenia.

Archiwizacja danych

Mój kolega administruje firmą w skład której wchodzą 22 komputery stacjonarne, 14 laptopów oraz dwa serwery (Windows SBS 2k3 i jakiś serwer linuksowy), obecnie jest jedyną osobą z działu IT i zajmuje się wszystkim od prezentacji poprzez sieć aż do administracji serwerami. Przy którejś rozmowie przy piwku zaczęliśmy rozmawiać o informatyce, zadałem w tedy serie pytań:

1. Czym różni się archiwizacja danych od kopii zapasowych?
Odp.: Niczym.
2. Jak często i jakiego rodzaju robisz kopie zapasowe?
Odp.: Raz w tygodniu kopia zapasowa serwerów. Zgrywam na płytkę i wkładam do pudełka w serwerowni.
3. Jak często sprawdzasz poprawność wykonanych kopii?
Odp.: A po co?
4. Jakich narzędzi używasz do tworzenia kopii zapasowych?
Odp. Linux (kopia całego dysku), SBS (narzędzie kopia zapasowa).
5. Jak często wykonujesz kopie zapasowe stacji roboczych?
Odp. Nie wykonuje.

Oczywiście rozmowa była o wiele dłuższa i dość zażarta. Nie jest to przypadek odosobniony lecz raczej reguła jeśli chodzi o informatyków. Sam temat archiwizacji jest bardzo obszerny i jak wiemy jest dość pracochłonny.

Nie będę omawiał tutaj jak powinno się podejść do tematu ponieważ, nie jedna osoba o tym książkę napisała a każda firma jest dość indywidualna. Są jednak pewne elementy, które rzucają się w oczy:

• Dane nie są sprawdzane pod względem poprawności wykonania
• Nie są wykonywane kopie zapasowe stacji roboczych
• Nie jest prowadzona dokumentacji dotycząca nośników
• Dane nie są wynoszone w bezpieczne miejsce po za firmę
• Itd.

Podejście do tematu jak widać nie jest zbyt profesjonalne.

Dostęp do danych

Tu opowiem historię dwóch innych firm (nie będę jechał tylko po jednej). Jedna z bardzo dużych firm w Polsce, która oferuje jedno z najnowocześniejszych rozwiązań ERP posiadała (nie wiem jak sytuacja wygląda na dzień dzisiejszy) programistów. Jako, że pisali oni moduły pod istniejącego już oprogramowanie radzili sobie jak tylko mogli:

1. Hasła były zapisywane w pliku tekstowym na dysku użytkownika
2. Tematy SQL Injection , XSS, CSRF itp. były im obce (tworzyli również rozwiązania B2B)

Choć to pewnie tylko szczyt góry lodowej a tylko tyle zdążyłem się dowiedzieć podczas kilku rozmów to informacje te były dla mnie dość szokujące.

Teraz może z trochę innej beczki. Firma dość spora bo posiadająca ponad 75 pracowników wprowadzała setki zabezpieczeń (zaawansowane firewall-e, polityka domenowa, ochrona antywirusowa, monitoring czasu pracy itd.), podczas wdrażania nowego oprogramowania w tej firmie usłyszałem dość ciekawą rozmowę prowadzoną przez telefon. Dyrektor ds. Sprzedaży był na urlopie a jeden z klientów, chciał ofertę. Niestety klient ten należał pod jurysdykcję tego dyrektora. Jeden z pracowników zadzwonił więc do dyrektora, żeby wysłał klientowi ofertę na co dyrektor mu odpowiedział: Oferta jest na pulpicie, wszystkie hasła do komputera są przyklejone pod podkładką pod myszkę.

Zabezpieczenia i hasła

Jedna z największych firm w Polsce sprzedająca oprogramowanie dla małych i średnich firm (inna niż opisywane wcześniej ale nazwy też nie podam bo i tak nic to nie zmieni) wdrażała oprogramowanie u mojego klienta. Miał wtedy przyjemność rozmawiać z wdrożeniowcem, który skończył studia powiązane z bezpieczeństwem informacji a dodatkowo porobił kilka certyfikatów. Po skonfigurowaniu aplikacji przekazał mi dane do kont administratora typu (AAdmin, Admin2009) co mnie trochę z szokowało ponieważ dostęp do administratora np. w programie kadrowym każdemu by się przydał ;-). O ile ja pozwoliłem sobie zmienić hasła dla mojego konta o tyle oni swoich haseł do kont serwisowych nie chcieli zmienić (co wymusiłem używając większych argumentów – Prezes firmy).

Sam fakt nieużywania bezpiecznych haseł przez osoby, które powinny je w pierwszej kolejności stosować jest dość niesmaczny. Dodatkowo martwi, że ta osoba miała o wiele większą wiedzę w tym zakresie niż ja, a jedyna odpowiedź jaką uzyskałem od niego czemu używa takich haseł: bo po co sobie komplikować życie.

Oczywiście konfiguracja routerów w firmach z hasłami 123456, aq12wsx też nie jest wyjątkiem. Jedna z firm informatycznych była na tyle cwana, że dla wszystkich swoich klientów na konta administratora ustawiali to samo hasło. Czy przechowywanie haseł oraz ich generowanie jest na tyle skomplikowane, że nie może sobie z tym poradzić średniej klasy informatyk?

Zakończenie

Czy ktoś może mi powiedzieć co jest przyczyną takiej sytuacji? Lenistwo, brak wiedzy, nieświadomość? Czy wy również spotykacie podobne sytuacje?
 

Komentarze

0 nowych
MaRa   7 #1 12.10.2009 11:52

Hasła są po to, by komplikować życie. Jeśli trzeba tworzyć tzw. "bezpieczne hasła" (minimum 8 znaków, małe i duże litery, cyfry, znaki specjalne), a co gorsza systematycznie je zmieniać i zapamiętywać, to w końcu każdy przestanie stosować się do tych zaleceń. Wcześniej czy później zapomni się własnego hasła i będzie problem.
Sam mam 3 hasła standardowe, które używam, najprostsze do zastosowań nie wymagających bezpieczeństwa (jak logowanie się na DP:), spełniające normy bezpieczeństwa do systemów, które tego wymagają, ale w razie jego złamania właściwie nic strasznego się nie stanie - np. do konta bankowego (każda operacja i tak wymaga podania kodu jednorazowego), oraz najbezpieczniejsze, posiadające kilkadziesiąt znaków, stosowane tam, gdzie niedopuszczalne jest jego złamanie (np. Allegro).
I 1 numer PIN.

MaRa   7 #2 12.10.2009 11:53

W tym banku internetowym nie trzymam jakiś wielkich pieniędzy. Uprzedzam.

eth0   4 #3 12.10.2009 15:05

@MaRa
Ja korzystam z menedżera haseł, dla 90% kont jakie posiadam menedżer losuje mi hasło składające się z cyfr,znaków specjalnych itd... Logując się do jakiegoś serwisu (zwłaszcza banki) takowe hasło kopiuje i wklejam (keylogger wtedy tego mi nie wychwyci), dodatkowo korzystam tylko ze swojego laptopa do logowania się na jakieś ważniejsze strony, czy w ogóle gdzieś, gdzie mogę coś stracić. Być może to dla przeciętnego użytkownika nie wygodne, ale mi to gwarantuje, że mam bezpieczne hasło i nie martwię się, że go nie zapamiętam, bo nawet tego nie robie, po to mam menedżer haseł. Sam temat bezpieczeństwa jest niezwykle szerokim apsektem informatyki i na bezpieczeństwo systemu komputerowego składa się wiele elementów. Chcąc zadbać o bezpieczeństwo musimy wziąć pod uwagę jak najwięcej czynników, nawet podział partycji na serwerze ma znaczenie.Osobiście robiąc naprawy zdalne korzystam z takiej metody:
-u klienta konfiguruje vpn
-klient za pomocą vpn łączy się z moją siecią
-vnc jest ustawione tak, że umożliwia połączenie tylko z sieci lokalnej
-klient ma dostęp tylko do tego co jest mu na prawdę potrzebne (w zasadzie łącząc się z moją siecią ma narzucone takie restrykcje, że za wiele nie może)
-dzięki vpn mam cały ruch szyfrowany, a certyfikaty są wystawiane zgodnie z rodzajem abonamentu (chodzi tu o czas ważności), no i mogę dany certyfikat natychmiast unieważnić)
-dzięki takiej konfiguracji nikt z zewnątrz sieci nie jest w stanie się(może i jest sposób, ale go nie znam) połączyć z klientem po vnc
-klient podczas naprawy jest chroniony przez mój firewall, no i dodatkowo sam tunel
-dodatkowo stosuje szereg innych technik zabezpieczania sieci i swojego serwerka (tripwire,apparmor,monitoring usług itd...)Serwer odpowiedzialny za inne rzeczy są dostępne tylko z sieci lokalnej, bo od podstaw miałem takie założenie, zaś sami klienci w zależności co potrzebuję im zrobić, mają dostęp tylko do tego co konieczne i niezbędne do przeprowadzenia prac na ich komputerach. Nieocenioną pomocą okazało się zwirtualizowanie kilku serwerów na jednej maszynie, to sprawia, że nie muszę stawiać kilku maszyn fizycznych, tylko mogę dowolnie izolować jedne od drugich dzięki wirtualizacji(ftp,backup,baza danych). Co mi jeszcze zapewnia takie podejście do tematu? Pracownik może się łączyć z moją siecią z dowolnego miejsca na świecie i ma dostęp do wszystkiego co mu jest niezbędne do prowadzenia prac (po to jest vpn, żeby był tak jakby fizycznie w sieci lokalnej, zaś zza sieci lokalnej nie ma być nic widoczne), a ja mam wszystko scentralizowane i mogę nad wszystkim zapanować. Tak na marginesie dodam, jeśli ktoś tuneluje sobie pulpit zdalny w oparciu o vnc (chodzi o wykorzystanie serwera ssh pośredniczącego w połączeniu między hostami) i chcemy pokonać podwójny NAT to właśnie zaznaczenie opcji w vnc zezwalającej na połączenia tylko z sieci lokalnej niweluje kilka irytujących problemów (u mnie bez zaznaczenia tej opcji połaczenie się zawieszało)

Ryan   15 #4 12.10.2009 17:24

Jak to dlaczego? Bo mądry Polak po szkodzie. :) Brak myślenia perspektywicznego jest w nas tak głęboko zakorzeniony, że stał się naszą chlubą. ;]

Zulowski   8 #5 14.10.2009 17:51

Pozostaje kwestia, co się robi na tych stacjach roboczych, bo jak po dniu pracy wszystko idzie na serwer, to po jakiego grzyba robić na nich backup

.slaw   4 #6 15.10.2009 13:23

Wydaje mi się, że w firmach tych nie mieli jeszcze styczności z włamaniem, wyciekiem informacji itp.. Każdy po takiej akcji robi się bardziej ostrożny.
Co do kopii zapasowych sprawdza się też tu teoria, że informatycy dzielą się na tych co robią i na tych co zaczną robić backup.

pow3r_shell   7 #7 17.10.2009 08:57

polecam fajny artykuł http://www.w-files.pl/coztymit/security-issue/
Zabezpieczenia nie są problemem bo ludzie sami wynoszą dane na płytach , pendrivach etc.

etam   9 #8 22.10.2009 21:50

Też ciekawie jest gdy hasła są generowane przez adminów dla użytkowników i zmieniane np. co miesiąc. Wtedy wszystkie hasła wiszą na monitorach na żółtych karteczkach.
Dasz pięć dych sprzątaczce i cała firma twoja.