Компьютерный мастер. Часть 226. Уголок параноика - почему IT безопасность это всегда дорого и плохо
Расскажу о том как я однажды посотрудничал с компанией ЛАНИТ, далеко не последней компанией в России в сфере IT-безопасности:
Как я уже писал среди моих клиентов есть несколько из Останкино, конечно не топовые телеканалы, но всё же... у них достаточно специфичные задачи ибо многие из них не только транслируют контент, но и его создают работают с графикой, звуком и адаптацией западных проектов...
И вот пару лет назад, когда случилась утечка у компании SONY и вся телеиндустрия стояла на ушах... Компания DISNEY выкатила своим партнерам требования к IT безопасности... Этакий список из 100 пунктов, которые необходимо выполнить, чтобы продолжить сотрудничать с DISNEY:
Там были как и банальные вещи, вроде установки камер видеонаблюдения на производственных местах и в серверной, СКУДОВ с обязательным логированием кто и куда входил и выходил, так и весьма жестких требований требований к IT безопасности:
1) Изолированные производственные VLAN без доступа в интернет
2) Выделение в DMZ всего сетевого оборудования к которому подключаются из вне.
3) Обмен паролями и ключами доступа исключительно через защищенные ресурсы вроде MICROSOFT AZURE
4)Запрет DHCP во всей сети, только статик ip с привязкой по Mac
5)Размер масок подсетей должен быть равен количеству сетевых устройств
6)Аппаратный или программный firewall с подпиской на антивирус, обновлением не реже чем раз в сутки обязательно с системой предотвращения и обнаружения IPS\IDS атак и вторжений
7) Аппаратный\программный запрет на подключение внешних носителей информации к производственным станциям и станциям загрузки\выгрузки контента и.т.д.
8)SSID Wi-FI не должен ассоциироваться с названием компании
9)Дикие стандарты по затиранию данных после использования
и ещё несколько десятков подобных пунктов...
Естественно - этим было предложено заняться мне, на что я честно сказал, камеры повешу, скуд поставлю, но касаемо требований к IT, чтобы это сделать мне надо на месяц бросить всех клиентов и заниматься только тобой, кроме того я и близко не понимаю сколько может такое стоить и пройдёт ли аудит DISNEY выстроенная мной IT система...
А надо сказать, у нас всё было выстроено простенько и со вкусом, сердце сети микрот на 48 гигабитных портов, две файлопомойки synology и HP примерно на сотню террабайт, два провайдера давали по 200мбит, хорошая медь и больше ничего и получилась шикарная гигабитная сеть, где даже передачи в FULL HD\4К качестве и извращенных форматах заливались почти мгновенно.
И спустя время я понял как же хорошо, что я за это не взялся, ругали новую построенную систему все... исполнители привыкшие доделывать работу дома, режиссеры, монтажеры, дизайнеры - лишившиеся доступа в интернет, наша чудная гигабитная сеть которую я столько времени выстраивал, стала резко проседать по скорости... и у меня было только одно оправдание, парни это не я так сделал, во всем виноваты они)))
Когда я отказался заниматься перестройкой системы, стали искать подрядчика, разослали письма всем крупным интеграторам и единственным от кого получили вменяемый ответ был ЛАНИТ
На переговоры приехали трое молодых IT-шников, посмотрели на нашу инфраструктуру покачали головой, обосрали наш свежеустановленный микрот, сказали что в плане безопасности в Европе\США к нему уважения нет... И пообещали выставит расчет и коммерческое предложение, в итоге насчитали переделок сети на 1 200 000руб, на что естественно были посланы нах, я клятвенно пообещал клиенту что если уж ни кого не найдем, я всё брошу и за половину этой суммы буду заниматься только им сколько потребуется)))
Спустя неделю, те-же ребята приехали на второй раунд переговоров и озираясь по сторонам, сказали, что могут всё сделать сами за месяц по ночам мимо кассы, за скромные 300т.р. но наличкой... На чем было ударено по рукам, я передал все пароли и доступы и отправился в отпуск...
К моменту моего возвращения выяснилось, что ребята реально торчали практически каждую ночь там и я прекрасно понимал почему, ибо трудно собрать воедино оборудование разных вендоров Mac и PC между производством которых прошло десятелетие, а ещё операционки обновлять нельзя, а то какая нить жутко необходимая для трансляции железка откинется навсегда, но ребята справились аудит DISNEY клиент прошел, правда сумма возросла с 300тр до 500тр, в подарок мне оставили кучу документации по структуре сети, реальную толстенную папку с файлами на полсотни листов, которая мне неоднократно пригождалась, когда приходилось вносить изменения в сеть...
И что по итогам:
СЕТЬ СТАЛА БЕЗОПАСНЕЕ??? ДА, НО НА ЭТОМ ВСЁ
ИБО ВО ВСЕМ ОСТАЛЬНЕМ ЭТО П..Ц, ТЕПЕРЬ ДЛЯ БАНАЛЬНОГО ПОДКЛЮЧЕНИЯ НОВОГО ПРИНТЕРА ИЛИ РАБОЧЕГО МЕСТА МНЕ НАДО ЛИЧНО ИДТИ В СЕРВЕРНУЮ ИБО ИНАЧЕ К ШАЙТАН КОРОБКЕ(АППАРАТНОМУ ФАЙРВОЛУ) ПОДКЛЮЧИТЬСЯ НЕЛЬЗЯ, НИКАКОГО УДАЛЕННОГО ДОСТУПА, ВТЫКАТЬСЯ НАДО В СТРОГО ОПРЕДЕЛЕННЫЙ ПОРТ, ПРЕДВАРИТЕЛЬНО ПРОПИСАВ У СЕБЯ В НОУТЕ СПЕЦИАЛЬНЫЙ MAC АДРЕСС И IP... УДАЛЕННОГО ДОСТУПА НЕТ НИ К ФАЙЛО-ХРАНИЛИЩУ НИ К МИКРОТУ, ПРОИЗВОДИТЕЛЬНОСТЬ СЕТИ УПАЛА, НЕ ДО 100МБИТ КОНЕЧНО, НО ДО 300 ТОЧНО... ДЛЯ ЛЮБОЙ ОПЕРАЦИИ, НУЖЕН МОЙ ЛИЧНЫЙ ВИЗИТ С НОУТОМ К КЛИЕНТУ...
А НЕДАВНО БЫЛО ДВОЙНОЕ БИНГО ПОИЗВОДИТЕЛЬ БЕЛОЙ ШАЙТАН КОРОБКИ УШЁЛ ИЗ РОСИИ(как и DISNEY ради которого её и ставили), ПОДПИСКИ НА АНТИВИРУС И IPS ЗАЩИТУ НЕ ПРОДЛИТЬ, ФИЛЬТР БЕЗОПАСНЫХ САЙТОВ ЛЁГ И ПО КАКОЙ-ТО НЕВИДАННОЙ ПРИЧИНЕ ПОСЛЕ ТОГО КАК ПОДПИСКИ ЗАКОНЧИЛИСЬ УПАЛА СКОРОСТЬ СЕТИ, Т.Е. ФАЙЛЫ СТАЛИ КАЧАТСЯ СО СКОРОСТЬЮ 20МБИТ... ПОМОГЛО ТОЛЬКО ОТКЛЮЧЕНИЕ ВСТРОЕННОГО АНТИВИРУСА
короче ГОСПОДА, it БЕЗОПАСНОСТЬ это ДОРОГО и ВСЕГДА УХУДШАЕТ ПРОИЗВОДИТЕЛЬНОСТЬ СЕТИ..
Ну и как обычно подписывайтесь, будет интересно, но это не точно)))