@SuperMisio
Blog (1)
Komentarze (0)
Recenzje (0)

Bezpieczeństwo informacji w firmach cz. I

@SuperMisioBezpieczeństwo informacji w firmach cz. I12.10.2009 11:23

Jak większość ludzi na portalu DP jestem ściśle powiązany z informatyką. W swoim życiu zawodowym miałem przyjemność pracować w różnych firmach, każda z tych firm była inna (branża, struktura sieciowa, kadra IT, oprogramowanie). Choć firmy się różnią to często mają wspólne elementy. Jednym z tych elementów jest bezpieczeństwo informacji. Od razu zaznaczę, że nie jestem ABI, raczej osobą która trochę zna się na informatyce.

Tematyka bezpieczeństwa informacji jest bardzo rozległa i dotyczy wielu elementów o których pisać tu nie zamierzam. Postaram się skupić na elementach dość istotnych z mojego punktu widzenia.

Archiwizacja danych

Mój kolega administruje firmą w skład której wchodzą 22 komputery stacjonarne, 14 laptopów oraz dwa serwery (Windows SBS 2k3 i jakiś serwer linuksowy), obecnie jest jedyną osobą z działu IT i zajmuje się wszystkim od prezentacji poprzez sieć aż do administracji serwerami. Przy którejś rozmowie przy piwku zaczęliśmy rozmawiać o informatyce, zadałem w tedy serie pytań:

1. Czym różni się archiwizacja danych od kopii zapasowych? Odp.: Niczym. 2. Jak często i jakiego rodzaju robisz kopie zapasowe? Odp.: Raz w tygodniu kopia zapasowa serwerów. Zgrywam na płytkę i wkładam do pudełka w serwerowni. 3. Jak często sprawdzasz poprawność wykonanych kopii? Odp.: A po co? 4. Jakich narzędzi używasz do tworzenia kopii zapasowych? Odp. Linux (kopia całego dysku), SBS (narzędzie kopia zapasowa). 5. Jak często wykonujesz kopie zapasowe stacji roboczych? Odp. Nie wykonuje.

Oczywiście rozmowa była o wiele dłuższa i dość zażarta. Nie jest to przypadek odosobniony lecz raczej reguła jeśli chodzi o informatyków. Sam temat archiwizacji jest bardzo obszerny i jak wiemy jest dość pracochłonny.

Nie będę omawiał tutaj jak powinno się podejść do tematu ponieważ, nie jedna osoba o tym książkę napisała a każda firma jest dość indywidualna. Są jednak pewne elementy, które rzucają się w oczy:

• Dane nie są sprawdzane pod względem poprawności wykonania • Nie są wykonywane kopie zapasowe stacji roboczych • Nie jest prowadzona dokumentacji dotycząca nośników • Dane nie są wynoszone w bezpieczne miejsce po za firmę • Itd.

Podejście do tematu jak widać nie jest zbyt profesjonalne.

Dostęp do danych

Tu opowiem historię dwóch innych firm (nie będę jechał tylko po jednej). Jedna z bardzo dużych firm w Polsce, która oferuje jedno z najnowocześniejszych rozwiązań ERP posiadała (nie wiem jak sytuacja wygląda na dzień dzisiejszy) programistów. Jako, że pisali oni moduły pod istniejącego już oprogramowanie radzili sobie jak tylko mogli:

1. Hasła były zapisywane w pliku tekstowym na dysku użytkownika 2. Tematy SQL Injection , XSS, CSRF itp. były im obce (tworzyli również rozwiązania B2B)

Choć to pewnie tylko szczyt góry lodowej a tylko tyle zdążyłem się dowiedzieć podczas kilku rozmów to informacje te były dla mnie dość szokujące.

Teraz może z trochę innej beczki. Firma dość spora bo posiadająca ponad 75 pracowników wprowadzała setki zabezpieczeń (zaawansowane firewall-e, polityka domenowa, ochrona antywirusowa, monitoring czasu pracy itd.), podczas wdrażania nowego oprogramowania w tej firmie usłyszałem dość ciekawą rozmowę prowadzoną przez telefon. Dyrektor ds. Sprzedaży był na urlopie a jeden z klientów, chciał ofertę. Niestety klient ten należał pod jurysdykcję tego dyrektora. Jeden z pracowników zadzwonił więc do dyrektora, żeby wysłał klientowi ofertę na co dyrektor mu odpowiedział: Oferta jest na pulpicie, wszystkie hasła do komputera są przyklejone pod podkładką pod myszkę.

Zabezpieczenia i hasła

Jedna z największych firm w Polsce sprzedająca oprogramowanie dla małych i średnich firm (inna niż opisywane wcześniej ale nazwy też nie podam bo i tak nic to nie zmieni) wdrażała oprogramowanie u mojego klienta. Miał wtedy przyjemność rozmawiać z wdrożeniowcem, który skończył studia powiązane z bezpieczeństwem informacji a dodatkowo porobił kilka certyfikatów. Po skonfigurowaniu aplikacji przekazał mi dane do kont administratora typu (AAdmin, Admin2009) co mnie trochę z szokowało ponieważ dostęp do administratora np. w programie kadrowym każdemu by się przydał ;-). O ile ja pozwoliłem sobie zmienić hasła dla mojego konta o tyle oni swoich haseł do kont serwisowych nie chcieli zmienić (co wymusiłem używając większych argumentów – Prezes firmy).

Sam fakt nieużywania bezpiecznych haseł przez osoby, które powinny je w pierwszej kolejności stosować jest dość niesmaczny. Dodatkowo martwi, że ta osoba miała o wiele większą wiedzę w tym zakresie niż ja, a jedyna odpowiedź jaką uzyskałem od niego czemu używa takich haseł: bo po co sobie komplikować życie.

Oczywiście konfiguracja routerów w firmach z hasłami 123456, aq12wsx też nie jest wyjątkiem. Jedna z firm informatycznych była na tyle cwana, że dla wszystkich swoich klientów na konta administratora ustawiali to samo hasło. Czy przechowywanie haseł oraz ich generowanie jest na tyle skomplikowane, że nie może sobie z tym poradzić średniej klasy informatyk?

Zakończenie

Czy ktoś może mi powiedzieć co jest przyczyną takiej sytuacji? Lenistwo, brak wiedzy, nieświadomość? Czy wy również spotykacie podobne sytuacje?

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.