Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Мария появилась в 5.15. Всего я ей пока не рассказывала. Я дала ей понять, что смогла пробраться в некоторые системы и все еще собираю информацию. Бывает полезно придержать информацию о ходе аудита до его окончания. Я не люблю размениваться на мелочи, пока не соберу все факты.

Мария сообщила мне, что запланировала беседу на следующее утро. Я должна была встретиться с менеджером технической поддержки Мэттом Борландом и системным администратором Джилл Розенберг. Так как Мария была пунктуальна в составлении графика, то я решила закончить тестирование после проведения интервью сотрудников.

Сначала я встретилась с Мэттом. Он выглядел вполне порядочным человеком, но его пронизывал карьеризм. Иногда встречаются деловые люди, по которым сразу видно, что их интересует в основном продвижение по службе. Наши главные интересы с Мэтом расходились. Мой служебный интерес состоял в определении рисков и сборе информации. У Мэтта было не так уж много информации для меня. Он собирал информацию от других менеджеров, но мне не хотелось тратить время на беседу с ним. Я коротко с ним поговорила и решила перейти к беседе с Джилл, системным администратором группы технической поддержки систем.

Джилл выглядела спокойной, но все равно волновалась из-за предстоящей беседы и проверки. (Нельзя сказать, что я всю вину перекладывала на нее, но в чем-то и она была виновна!)

Я начала беседу с просьбы показать мне политики и процедуры. У нее они уже были наготове. В основном документы выглядели хорошо. Но раздел, касающийся безопасности, был очень коротким (почти незаметным). Джилл объяснила, что сейчас раздел дорабатывается.

Я была озадачена тем, как они настраивали безопасность систем во время их оптимизации, не написав прежде процедур для этого. Настройку они не проводили. Руководство знало, что защиты не было, но график был плотным, и они решили вернуться к мерам безопасности позднее. И в результате Rockland эксплуатировала новую сеть целый год без защиты.

Кроме отсутствия защиты систем, в Rockland также отсутствовала их классификация. Следующей моей задачей было допросить с пристрастием Джилл о содержимом систем. Получив от нее эти сведения, я могла бы больше времени уделить тестированию, сбору информации и написанию отчета. Мне нужно было узнать, какие из систем содержат критичную информацию, какой характер имеет эта информация и почему она считает эту информацию критичной. Это позволило бы мне при проведении аудита нацелиться на наиболее важные системы.

Джилл знала, где хранится некоторая критичная информация, но ей не приходилось обеспечивать для этих систем более высокий уровень защиты. Из сведений, полученных от Джилл, я тем не менее поняла, где находится самая аппетитная информация.

В моей деятельности я видела, как аудиторы задают вопросы техническому персоналу о том, на каких системах лучше запускать аудиторские программы. Иногда им отвечали честно. Иногда — нет. Даже не имея задних мыслей, персонал технической поддержки не всегда понимает, где в их сети находятся участки повышенного риска. Поэтому, если вам скажут, что DS19 является системой повышенного риска, эту информацию все равно надо проверить.

Джилл рассказала, что истории болезни пациентов хранятся на серверах с именами от PR1 до PR10. Ага! Теперь я знала, что буквы PR обозначали историю болезни. [39] по-английски — Patient Records. — Примеч. пер. Как я об этом не догадалась раньше? Как бы то ни было, эти системы должны считаться особо критичными и в них должны быть установлены средства защиты. Как я уже рассказывала, эти системы были взломаны мной в первую очередь.

Джилл попала прямо в яблочко. Я убедилась в этом, проверив типы операционных систем и серверов и изучив содержащуюся в системах информацию. Закончив эту проверку, я решила, что у меня достаточно информации для написания отчета. Конечно, проблем с безопасностью было много. Но главными в моем списке проблем были следующие:

• Никто и никогда не проводил оценку рисков.

• Политики и процедуры были неполными.

• Системы, содержащие жизненно важную информацию, [40] Highly sensitive information — буквально: «высокочувствительную информацию». Это конфиденциальная информация, раскрытие которой может нанести персональный вред, в данном случае — пациентам. — Примеч. пер. были установлены стандартным способом.

• Информация могла быть легко изменена, украдена или уничтожена без следа.

Очевидно, никто не уделил достаточно (или вовсе не уделил) внимания рискам изменения, уничтожения или кражи информации, когда ее переносили из отдельного компьютера в серверы сети. В результате оказались подвергнуты риску истории болезни.

Перенос систем с одной платформы на другую — задача не из легких. Перед оптимизацией вычислительной среды или переносом систем на новую платформу нужно проводить оценку риска. Кроме того, необходимо разрабатывать новые политики и процедуры применительно к новой среде.

Одновременно нужно обучить системных администраторов тому, как обеспечивать безопасность в новой системе.

Прежние игроки в данной истории разыграли свои карты по всем правилам. Получив большой кусок пирога, Джо и Марлен построили систему, сорвали аплодисменты и удалились. К сожалению, спроектированная ими новая сеть содержала несколько довольно больших проблем безопасности.

В реальной жизни карты, разыгранные Джо и Марлен, не являются чем-то необычным. При создании сетей вопросы безопасности часто тормозят ход работ и раздувают бюджет. Хуже того, эти вопросы не получают и доли того внимания, которое привлекают к себе большие проекты. И наконец, руководители просто не желают знать, что может случиться, если будет отсутствовать защита.

Генеральная перетряска большой компьютерной системы является ситуацией, полной неожиданных проблем с безопасностью. По меньшей мере, вы будете иметь дело с кривой нарастания опыта системных администраторов, стремящихся освоить систему с новой технологией.

В данном случае эта кривая медленного накопления опыта могла бы оказаться роковой для некоторых пациентов Rockland General. Но счастье оказалось на их стороне.

Не полагаясь на удачу в судьбе, в Rockland General должны были бы сделать следующее.

Перед тем как перенести информацию с одной платформы на другую, всегда проводите оценку риска. По своей природе одной информации присущ больший риск, чем другой. В нашем случае более рискованной информацией оказались истории болезни.