Blog (1)
Komentarze (0)
Recenzje (0)
@SuperMisioBezpieczeństwo informacji w firmach cz. I

Bezpieczeństwo informacji w firmach cz. I

12.10.2009 11:23

Jak większość ludzi na portalu DP jestem ściśle powiązany z informatyką. W swoim życiu zawodowym miałem przyjemność pracować w różnych firmach, każda z tych firm była inna (branża, struktura sieciowa, kadra IT, oprogramowanie). Choć firmy się różnią to często mają wspólne elementy. Jednym z tych elementów jest bezpieczeństwo informacji. Od razu zaznaczę, że nie jestem ABI, raczej osobą która trochę zna się na informatyce.

Tematyka bezpieczeństwa informacji jest bardzo rozległa i dotyczy wielu elementów o których pisać tu nie zamierzam. Postaram się skupić na elementach dość istotnych z mojego punktu widzenia.

Archiwizacja danych

Mój kolega administruje firmą w skład której wchodzą 22 komputery stacjonarne, 14 laptopów oraz dwa serwery (Windows SBS 2k3 i jakiś serwer linuksowy), obecnie jest jedyną osobą z działu IT i zajmuje się wszystkim od prezentacji poprzez sieć aż do administracji serwerami. Przy którejś rozmowie przy piwku zaczęliśmy rozmawiać o informatyce, zadałem w tedy serie pytań:

1. Czym różni się archiwizacja danych od kopii zapasowych? Odp.: Niczym. 2. Jak często i jakiego rodzaju robisz kopie zapasowe? Odp.: Raz w tygodniu kopia zapasowa serwerów. Zgrywam na płytkę i wkładam do pudełka w serwerowni. 3. Jak często sprawdzasz poprawność wykonanych kopii? Odp.: A po co? 4. Jakich narzędzi używasz do tworzenia kopii zapasowych? Odp. Linux (kopia całego dysku), SBS (narzędzie kopia zapasowa). 5. Jak często wykonujesz kopie zapasowe stacji roboczych? Odp. Nie wykonuje.

Oczywiście rozmowa była o wiele dłuższa i dość zażarta. Nie jest to przypadek odosobniony lecz raczej reguła jeśli chodzi o informatyków. Sam temat archiwizacji jest bardzo obszerny i jak wiemy jest dość pracochłonny.

Nie będę omawiał tutaj jak powinno się podejść do tematu ponieważ, nie jedna osoba o tym książkę napisała a każda firma jest dość indywidualna. Są jednak pewne elementy, które rzucają się w oczy:

• Dane nie są sprawdzane pod względem poprawności wykonania • Nie są wykonywane kopie zapasowe stacji roboczych • Nie jest prowadzona dokumentacji dotycząca nośników • Dane nie są wynoszone w bezpieczne miejsce po za firmę • Itd.

Podejście do tematu jak widać nie jest zbyt profesjonalne.

Dostęp do danych

Tu opowiem historię dwóch innych firm (nie będę jechał tylko po jednej). Jedna z bardzo dużych firm w Polsce, która oferuje jedno z najnowocześniejszych rozwiązań ERP posiadała (nie wiem jak sytuacja wygląda na dzień dzisiejszy) programistów. Jako, że pisali oni moduły pod istniejącego już oprogramowanie radzili sobie jak tylko mogli:

1. Hasła były zapisywane w pliku tekstowym na dysku użytkownika 2. Tematy SQL Injection , XSS, CSRF itp. były im obce (tworzyli również rozwiązania B2B)

Choć to pewnie tylko szczyt góry lodowej a tylko tyle zdążyłem się dowiedzieć podczas kilku rozmów to informacje te były dla mnie dość szokujące.

Teraz może z trochę innej beczki. Firma dość spora bo posiadająca ponad 75 pracowników wprowadzała setki zabezpieczeń (zaawansowane firewall-e, polityka domenowa, ochrona antywirusowa, monitoring czasu pracy itd.), podczas wdrażania nowego oprogramowania w tej firmie usłyszałem dość ciekawą rozmowę prowadzoną przez telefon. Dyrektor ds. Sprzedaży był na urlopie a jeden z klientów, chciał ofertę. Niestety klient ten należał pod jurysdykcję tego dyrektora. Jeden z pracowników zadzwonił więc do dyrektora, żeby wysłał klientowi ofertę na co dyrektor mu odpowiedział: Oferta jest na pulpicie, wszystkie hasła do komputera są przyklejone pod podkładką pod myszkę.

Zabezpieczenia i hasła

Jedna z największych firm w Polsce sprzedająca oprogramowanie dla małych i średnich firm (inna niż opisywane wcześniej ale nazwy też nie podam bo i tak nic to nie zmieni) wdrażała oprogramowanie u mojego klienta. Miał wtedy przyjemność rozmawiać z wdrożeniowcem, który skończył studia powiązane z bezpieczeństwem informacji a dodatkowo porobił kilka certyfikatów. Po skonfigurowaniu aplikacji przekazał mi dane do kont administratora typu (AAdmin, Admin2009) co mnie trochę z szokowało ponieważ dostęp do administratora np. w programie kadrowym każdemu by się przydał ;‑). O ile ja pozwoliłem sobie zmienić hasła dla mojego konta o tyle oni swoich haseł do kont serwisowych nie chcieli zmienić (co wymusiłem używając większych argumentów – Prezes firmy).

Sam fakt nieużywania bezpiecznych haseł przez osoby, które powinny je w pierwszej kolejności stosować jest dość niesmaczny. Dodatkowo martwi, że ta osoba miała o wiele większą wiedzę w tym zakresie niż ja, a jedyna odpowiedź jaką uzyskałem od niego czemu używa takich haseł: bo po co sobie komplikować życie.

Oczywiście konfiguracja routerów w firmach z hasłami 123456, aq12wsx też nie jest wyjątkiem. Jedna z firm informatycznych była na tyle cwana, że dla wszystkich swoich klientów na konta administratora ustawiali to samo hasło. Czy przechowywanie haseł oraz ich generowanie jest na tyle skomplikowane, że nie może sobie z tym poradzić średniej klasy informatyk?

Zakończenie

Czy ktoś może mi powiedzieć co jest przyczyną takiej sytuacji? Lenistwo, brak wiedzy, nieświadomość? Czy wy również spotykacie podobne sytuacje?

Wybrane dla Ciebie
Komentarze (8)