Стажер — находка для шпиона

Статью с таким названием на Хабархабр опубликовал стажер @Caterin. Ситуация типична, отвечаю, так как вот уже несколько лет на кафедре занимаюсь вопросами практики и подобные мысли слышу каждый год при приёме отчета от студентов. Вот только совесть не позволяет организовать бизнес на инсайдерской информации, которую очень легко получить от студентов-практикантов. Так, что ещё раз, в концентрированном виде, хочу привести список типичных грубых нарушений норм корпоративной безопасности. Цитирую из статьи:

1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.

2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:

Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.

3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.

4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.

5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.

6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.

7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.

8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.

9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.

10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам

11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.

CC BY-NC 4.0 Стажер — находка для шпиона, опубликовано waksoft, лицензия — Creative Commons Attribution-NonCommercial 4.0 International.


Респект и уважуха

Добавить комментарий