Как я подставил Диму
Я занимаюсь консультированием по вопросам информационной безопасности, сейчас появилось немного свободного времени, решил рассказать о нескольких интересных случаях. Постараюсь обойтись без лишних технических деталей, чтобы всем желающим было все понятно.
Очередной заказ мне сначала не понравился: инициатором аудита выступал не технический специалист, а директор. Обычно такой заказчик не знает точно, что он хочет, а это может привести к некоторым проблемам.
Директор оказался довольно адекватным, рассказал, что где-то прочитал о том, что у большинства компаний есть критические проблемы с безопасностью. Решил выделить средства на внешний аудит, хотя есть свой сотрудник, который отвечает за безопасность.
Фирма занимается торговлей, есть несколько офисов, отдельное розничное направление. Свой IT-отдел, состоящий из нескольких человек. Начальник спросил, зачем я тут нужен, когда у них есть свой безопасник Дима. А вот Димы в этот момент на работе не было. Ответил, что это не моё решение, получил информацию об инфраструктуре, учетные записи для доступа к внутренним и внешним сервисам, ушёл работать.
Проблем оказалось очень много. Очень много старых версий систем, которые содержат уязвимости, довольно дырявые сервисы, сделанные IT-отделом самостоятельно, много что доступно из интернета, хотя не должно.
Принёс отчёт директору, он сильно удивился, позвал Диму. Наконец-то я его увидел. Вполне обычный парень после института, ничего странного.
Директор: Почему столько проблем, ты же должен все проверять?
Дима: Я поставил сканер уязвимостей, запускаю его каждый день, все, что нашёл, сообщаю разработчикам.
Я: И это все?
Дима: Ну да, а разве вы как-то по-другому это делаете?
Я сижу в шоке, директор просто удивлён. Объясняю, что использование автоматических сканеров - это только небольшая часть работы, многое надо делать руками. Плюс сканер надо правильно настроить, тогда он может найти больше проблем.
Обсудил с директором, когда он отправит деньги, узнал, сколько платят горе-безопаснику, попрощался. На выходе начальник IT-отдела спросил, "Зачем я подставил Диму?" Ведь парень нормально работал, проблем не было. А то, что фирма платит ему довольно много за ежедневный клик мышкой и копирование результатов работы программы, никого не волнует.
Замечание: имя изменено, разрешение на публикацию без личных данных и названий есть.