?

Log in

Previous Entry | Next Entry

patchplugs_microchips_cables15

На сегодняшний день, очень многие крупные компании и государственные организации прибегают к возложению ряда работ по внедрению и поддержке IT решений, в том числе и по внедрению решений в области информационной безопасности на интеграторов и подрядчиков.

Как правило компании прибегают к аутсорсу и работам аутсайдеров в связи с выгодой, так как у заказчика есть определенный срок, внедрить какое-то решение своими силами и в данные временные рамки не представляется возможным. Так же не представляется возможным внедрение своими силами в связи с нехваткой специалистов, не достаточной квалификации и не выгодностью найма новых специалистов по проекту. Время поджимает, а конкурентное преимущество на рынке нужно наращивать.
Выгодно это бывает и директорам и руководителям, так как бывает за договора с интеграторами они получают своего рода откат в кругленькую сумму денег и соответственно поддерживают бизнес отношения с другими своими коллегами из других компаний.

В компании которая хочет, что бы информация была на хорошем уровне защищенности и которая пользуется услугами интеграторов для внедрения новых ИТ решений, обязательно должна быть группа специалистов, которые достаточно компетентны в той технологии которую внедряют интеграторы. Эта группа специалистов должна пройти должное обучение по технической части и соответственно должна контролировать работу интегратора и подстраивать оборудование и программное обеспечение под себя.
Почему это жизненно важно с точки зрения информационной безопасности объясню ниже:
1. Интеграторы работают по принципу воткнул и забыл, то есть они вам ставят к примеру роутер или устанавливают сервер, но не настраивают его безопасным образом, а просто ставят конфигурацию по умолчанию, что бы все работало. Как правило это ведет к лишним не нужным сервисам, которые несут в себе угрозу несанкционированного доступа.
2. Интеграторы очень часто используют и оставляют пароли по умолчанию, к различным сервисам, и так же понятно что эти пароли нужно менять, после того как работы выполнены, так как интегратор не должен иметь доступа туда как по договору, так и на деле. Часто бывает так что пароли ставят 12345678, к информационным ресурсам хранящим, серьезную информацию. Так же на момент внедрения, данные ресурсы становятся наиболее уязвимы, в этот промежуток времени возрастает шанс взлома и установки программ типа Trojan и Backdoor, для последующего несанкционированного снятия информации.
По верхним двум пунктам, интеграторы так поступают по двум причинам — лень и не компетентность в сфере ИБ.

А теперь приведу показательный пример из собственной жизни.

Работал я некоторое время инженером в одной организации, контора не большая, но с хорошим блатным названием, скажу лишь что она звучит серьезно. Информация там не секретная, но могли проскочить данные, которые не следует знать каждому на улице. И была там точка одна, которая имела связь с головным офисом, построена была так что канал шел к провайдеру через шлюз с сетевым экраном, а потом через не мощный роутер с Wi-Fi функцией.
На тот момент должность у меня была инженер, но так как я увлекался ИБ, и много изучал в этой сфере, всегда хотел улучшить информационную безопасность в компании в которой я работаю.
Пришел я значит в эту серверную комнату, администратор мне начал показывать шлюз и как что работает, потыкавшись 10 минут, увидел, что правила на сетевом экране шлюза стоят в политике - разрешить все внутрь и изнутри. То есть по сути шлюз с сетевым экраном стоит, но ничего не контролирует и не блокирует, спросив у администратора почему так, тот мне сказал, что сам в этом не разбирается, а вот интегратор, чего-то пришел 2 месяца назад, копался там целый час, у него ничего не получалось и решил оставить так, лишь бы работало. Но это еще только цветочки.
Потом выяснилось, что между шлюзами ГО и офиса отсутствует VPN, хотя его можно было легко поднять, технология позволяла и все ПО лицензионное стояло. На роутере включен Wi-Fi доступ, который не нужен вообще, но он еще и открытый и без пароля и вещает на полную мощность. То есть можно было не только перехватывать все данные между ГО и дочерним офисом, сидя с ноутбуком около здания, но и влезть в сеть и атаковать сетевой экран на прямую, тем более что ОС шлюза не часто обновлялась. В принципе туда бы залез даже студент, не имея приватного хакерского софта.

Конечно же я все исправил и настроил VPN, и даже политику написал, но после этого случая, сделал вывод, что интеграторов и аутсорсеров, следует контролировать в любом случае.