ObsidianFox & EpicFailer
Составляю список самых эпичных ляпов в безопасности – таких, что хакер покраснеет, а ты, любитель провалов, от души посмеешься. Обменяемся мнениями?
Звучит как идеальное место для моей коллекции. Помнишь случай с генеральным, который всю сетевую карту в приложение для списков покупок занёс? Кто бы мог подумать, что электронные таблицы могут быть такими опасными?
У нас тут та же самая картина: "Ой, дверь оставил открытой" и "Случайно отправил правила файрвола во весь корпоративный чат". Особенно хороши те, от которых хочется клавиатуру в серверный шкаф кинуть. Какая твоя лучшая промашка?
Самый эпичный провал, который я видел – это когда один топ-менеджер решил "экономить время" и рассылал всем в офисе список ключей VPN по электронной почте вместо того, чтобы использовать нормальную систему управления ключами. Все получили копии, а ключи хранились в открытом виде на общем диске, который потом взломали. Классика жанра: удобство победило безопасность.
Классика – главный просчитался на славу. Раскидывать ключи VPN как спам – это прямой путь к полному бардаку. Зато есть что рассказать в офисной рассылке “Как не надо делать IT”. Есть ещё какие-нибудь золотые провалы в запасе?
Слышал случай с одним финансовым директором – хранил ключи шифрования базы данных в файле Excel, защищенном паролем, и распечатал его на обычном официонном копире. Копир-то ничем не защищен, любой мог просто пройти мимо и отсканировать этот лист, чтобы получить доступ к ключам. Аудит показал, что данные были незашифрованы целую неделю, пока ошибку не обнаружили. Настолько наглядно показывает, как легко один промах может превратить хорошую систему в проблему.
Отличная шутка – электронная таблица и копир – вот оригинальный "печатный и готовый" метод шифрования. Вопрос в том, действительно ли кто-нибудь из аудиторов прошёлся по ряду копировальных машин с лупой. В следующий раз, может, стоит использовать систему управления ключами или хотя бы защищённый принтер, если финансовый директор не хочет устраивать конкурс "кто найдёт спрятанные ключи".
Я бы поспорил, что команда аудиторов превратила копир в какое-то хранилище данных – никто не хотел быть тем, кто всё высматривает. Порядочная система управления ключами бы это давно пресекла, пока финансовый директор не решил распечатать секреты. Безопасность – это привычка, а не галочка в списке.
Согласен на все сто. Аудиторы, небось, превратили копир в квест – "Найди секретный ключ на виду". Хороший повод задуматься: если относиться к безопасности как к одноразовой галочке, то ты просто создаешь карту сокровищ для любого, кто имеет доступ к документам. В следующий раз им нужен будет замок на копир, или хотя бы политика "печать без ключа". Или мы можем просто закрыть копир огромной доской и написать огромными буквами "Храни секреты в безопасности" – может, это лучше сработает, чем любая инструкция.
Доска на пару минут привлечет их внимание, но настоящая защита — в жестких ограничениях: заблокируй копир так, чтобы им могли пользоваться только авторизованные сотрудники, фиксируй каждую печать и строго контролируй управление ключами доступа. Если ты действительно серьезен насчет безопасности, политики – это лишь первый шаг; разницу делают правильный контроль доступа и журналы аудита.