Natchniony zajęciami na uczelni postanowiłem popełnić kolejny wpis o bezpieczeństwie danych. W zeszłym roku pisałem już o poziomie zabezpieczeń. Czy to coś dało to nie mnie oceniać. Myślę że im więcej osób będzie o tym mówił pisało informowało, to poziom zabezpieczeń będzie się podnosił. A mówię to nie bez przyczyny…
Dzisiaj przeczytałem, że Polska jest na 7 pozycji w rankingu infekcji komputerowych. Jak można do czegoś dopuścić to ja nie wiem?! Rozumiem doskonale że ludzie nie znają się na komputerach. Że Pani Krysia z sekretariatu wcale nie musi być alfą i omegą w dziedzinie zabezpieczeń. Ale są przecież „administratorzy” lub jak kto woli „panowie od komputerów”! Wiecie – tacy ludzie co cały dzień siedzą przed kompem, piszą na IRC-u, programują kuchenki mikrofalowe, przerabiają PC’ty na Bóg wie jaki dziwne rzeczy itp. A w sumie ich zadanie w firmie jest dość proste. ZABEZPIECZYĆ wszystko co sie tylko da, by pani Krysia nie zainfekowała komputerów w sieci firmowe. Na 100% nie zrobiła by tego celowo, ale wchodząc na np nk, kliknie w reklamę, ona przeniesie ją gdzieś indziej, tam znów coś kliknie i już „flash player” który w rzeczywistości jest trojanem mamy na komputerze. Powtarzam. Nie zrobiła tego celowo no ale jednak się stało. I tutaj wkracza administrator. Pół biedy jak na komputerze był antywirus, a przynajmniej firewall. Dobry antywirus nie pozwoli zapisać tego świństwa na dysku, ale jak już się udało, to firewall nie wypuści bydlaka z naszymi danymi w świat. Co lepszy firewall poinformuje nas nawet o podejrzanej aktywności w folderach systemowych lub w rejestrze (mowa o np. Comodo). Ale postawienie 2 firewalli naraz (co imo jest głupotą ale się da) 2 firewalli (jeden lokalnie 2-gi na routerze) nie zastąpi uświadamiania. Trzeba tłuc i tłuc do łbów, że nie ściąga się z neta nic co jest exe-kiem (bo po co Pani Krysi jakiś nowy program) Trzeba coś zaktualizować, to woła się Pana Zbysia – tego od komputerów. On to zrobi szybki i zwykle bezboleśnie.
Kolejna metoda to obcięcie uprawnień. Po co w sekretariacie, na lini produkcyjnej uprawnienia administracyjne? Konto z tymi uprawnieniami jest tylko dla Administratora – koniec! Co więcej, użytkownicy powinni mieć nie tylko uprawnienia normalnego „użytkownika”, ale wg mnie nawet uprawnienia „użytkownika z ograniczeniami”. Kolejne zabezpieczenie. Coś się wbije do systemu, to zepsuje konto, i wtedy wiadomo czyja wina – administratora bo źle zabezpieczył :). Procedura wtedy jest prosta i skuteczna: usuwamy konto, odzyskujemy potrzebne pliki tworzymy nowe konto i tłuczemy do łba!
Sprawa czystego pulpitu to kolejny etap bezpieczeństwa. Pani Zosia (koleżanka Krysi) idzie zrobić herbatę. Co robi? Wstaje i idzie – no niby proste. A co w przypadku jak pani Zosia pracuje w księgowości i akurat jest jakaś kontrola – Herbata dla audytora, ciasteczka byle kontrola wypadła bez zastrzeżeń. Wychodzi i… zostawia włączony monitor z otwartymi danymi nt płac pracowników. Wychodząc nawet na minute wyłączajmy monitory! To naciśniecie 1 guziczka, a chroni w mniejszy/ większy sposób dane.
Dostęp do bazy danych jest chyba największym problemem. Kto korzysta z bazy danych w firmie? Ano wszyscy no może z wyjątkiem sprzątaczek/konserwatorów, ale o tym niżej. Tylko tutaj znów pojawia się problem. Kto ma jakie uprawnienia. Pytanie niby retoryczne… Księgowa pełne prawa. Dyrekcja/zarząd pełne prawa, administrator pełne prawa. To po cholerę wymyślili te uprawnienia skoro wszyscy mogą wszystko? Powinno być raczej tak: księgowa 80-90% uprawnień (bez robienia kopie zapasowych i ich przywracania, bez nadawania uprawnień, tworzenia kont etc od tego jest admin) Koleżanka z innego działu 50-60 %. Ona nie pracuje tu gdzie Zosia i Krysia więc nie musi mieć tego samego. Ona ma swoje i tym się ma zajmować. Zarząd 40-50% Oni przecież z tym nic nie robią. Podpisują świstki które daje im księgowość ufając że są dobrze wypełnione. Dostęp do sprawozdań, bez opcji poprawek – tym się zajmuje księgowość – najlepiej po konsultacji z zarządem. Admini 20-30 % nadawanie uprawnień/ kopie zapasowe etc. Wiem że w prawie każdej firmie adminie mają grubo ponad 100% uprawnień. Mogą prawie tyle co sam bóg. A do czego to prowadzi? Przychodzi taki jeden do szefa i mówi że chce podwyżkę. Na pytanie dlaczego odpowiada „bo mój kolega ma więce”j, albo ze „firma ma bardzo duży zapas środków”. A skąd on to wie? Bo ma prawa! A to błąd.
I na koniec zostawiłem sobie jak na deser panie sprzątaczki. Przychodzi pani Elwirka na 15:00 do pracy posprzątać. Ma siedzieć do 20 i wyczyścić cały budynek/lokal. Po 45 min robota jest skończona więc co robi? Robi sobie herbatkę, siada do komputera i zaczyna przeglądać naszą klasę. Jakim cudem sprzątaczka ma dostęp do komputera w firmie? Tam są przecież dane nastu/setek/tysięcy pracowników, ich wypłaty, dane zdrowotne etc. Hasło pokroju „firma123”, albo co lepsze BRAK hasła na komputerach znacząco jej to ułatwia. Pani Elwirka staje się tym samym „hakerem” bez wykształcenia informatycznego :) I znów wracamy do sprawy ściągnięcia plików z sieci. O ile w ciągu dnia jest administrator, o tyle po południu już raczej go nie ma. Wirusy, trojany, spyware i pani Elwirka buszują i bawią się w najlepsze z naszymi danymi. A co jak sprzątaczka ma wnusia? No nie zostawi go w domu, weźmie go do pracy ze sobą. Sadza na najwygodniejszym fotelu (zwykle prezesa) a wnusio już wie jak uruchomić laptopa prezesa wartego kilka tyś zł. Wie jak ściągnąć z neta nową grę korzystając z łącza firmowego i odpalić ją na tymże laptopie. A gry to cracki… a cracki to przynajmniej w części trojany. Wnusio gra, i trojany grają – z zabezpieczeniami.
Sorry za długość wpisu, ale myślę że chociaż troszkę nakreśliłem ten temat. Niedługo będzie kontynuacja. I pamiętajcie! Bezpieczeństwo Waszych danych to podstawa. A bezpieczeństwo danych waszych klientów to podstawa podstawy.
Dodaj komentarz