Идеологически НЕверный сисадмин

АрхивReaditorial

Несмотря на всё более возрастающее понимание ценности доступа к информации, отношение к лицам, имеющим этот самый доступ, как правило остается прежним.

R: Прикинь, у нас на предприятии за досрочную сдачу проекта крупного объекта распределили офигенные премии...
L: Гратс!
R: Не с чем! Эти с*ки назначили премии всем: начальству, отделам и группам проектировщиков, даже группе выпуска документации, только админу и кодеру не перепало. Уравняли нас с уборщицами!
L: Хе, переводись в проектировщики =)
R: Ну на..., мы тут подумали и решили, что за неделю до сдачи следующего проекта на всех компах появится "страшный вирус", кот. будет побитно заменять содержание автокадовских и кореловских файлов.
R: Тут уж точно вспомнят про наше существование и премии пообещают за восстановление инфы... пару дней "тяжелой работы по изгнанию вируса" и инфа бут восстановлена... (http://bash.org.ru/quote/226348)

В свое время, Сюзен Сандер, подружка Кевина Митника решила сдать его властям, и её сочли необходимым протестировать. Её посадили за стол с компьютером и телефоном, за полчаса Сюзен заболтала оператора AT&T, получила необходимые пароли, подключилась к сети компании и получила доступ к нужной информации. После этого случая был выведен принцип действия человеческого фактора. Если поставить сейф, рядом с ним охранника, то сохранность информации уже падает на 50%. Если же поставить двух охранников, то процент сохранности будет 25% и далее - в геометрической прогрессии.

Несмотря на всё более возрастающее понимание ценности доступа к информации, отношение к лицам, имеющим к этой самой информации доступ, как правило остается прежним. Хотя и бывают прецеденты, как например на проходной Masterhost, необходимо пройти специальную камеру и вход внутрь открывает только охранник лично, или в компании Soft-line руководители отделов периодически проходят тестирование на полиграфе. Тем не менее, легенда о гуру-инсайдере живет и временами даже набирает обороты, хотя до сих пор нет известных публике случаев ловли инсайдеров, даже после истории заражения банкоматов. По вполне понятным причинам компании предпочитают не афишировать свои неудачи боясь за урон своей репутации на рынке.

Тем не менее миф об инсайдере легко развенчивается, если принять в учет несколько фактов.

1) Любой грамотный специалист в области ИТ имеет, если не сертификаты, то стаж зафиксированный в трудовой книжке.

2) В крупных корпорациях админы не дремлют и способны разобраться в возникших неполадках вызванных деятельностью инсайдера

В этих двух случаях инсайдер довольно легко вычисляется еще в самом начале своей деятельности,а вовремя проинструктированная слуба безопасности берет на заметку таких "менеджеров по работе с клиентами" в свое время работавших в области системного администрирования и программировании.

3) Гораздо проще подкупить уже работающего сотрудника.

Именно третий пункт способен раскрыть всю ситуацию по информационной безопасности не только в нашей стране, но и пожалуй на все планете, как бы залихватски это не звучало. Для примера приведу одну поучительную историю.

В кабинет генерального директора заходит его заместитель и кладет на стол приказ о повышении зарплаты уборщице. На недоумевающий взгляд директора, заместитель опускает руку в мусорную корзину директора, достает первый попавшийся комок бумаги и разворачивает на столе. Вытерев холодный пот со лба директор подписывает приказ, и немедленно отдает распоряжение о закупке шредеров.

История очень поучительная, ведь именно прямые исполнители способны попасть под вербовку. Вовремя завербованный сисадмин или начальник ИТ-отдела, имеющие основания быть недовольными своей работой, способны организовать постоянный канал утечки информации. И вот тут-то как раз ситуация видится с очень плачевной стороны. Перед каждым ИТ-специалистом, независимо от обстоятельств, встает вопрос о его идеологической верности в компании. Как правило это ситуация в которой специалист чувствует себя в явно невыгодном положении: негативные отношения с руководством, низкая зарплата, недооцененность...

И только лишь благодаря этим ситуациям становится понятно, что большинство ИТ-специалистов прекрасно понимают, не только свои возможности, но и ответственность за свои поступки, хотя эта ситуация в корне могла бы поменяться, окажись в нужный момент рядом человек даже не с чемоданом, а со стопкой денег. Первая же утечка заставит человека замолчать чуть ли не навсегда о своей теневой деятельности, потому как сотрудник с репутацией инсайдера никому не нужен.

И слава богу, что это так, в противном случае, основным критерием трудоустройства станет не знание своей специальности, а благонадежность сотрудника. Обычная уборщица с низкой зарплатой - это человек несостоявшийся в жизни, имеющая минимальные контакты с персоналом и уж наверняка готовая ради еще одной такой же зарплаты (поверьте обычно это очень маленькие деньги за актуальную информацию) способна переписывать пароли с вечно валяющихся на столе бумажек, способна продавать мусорную корзину генерального директора.

И это только уборщица, системный администратор способен вообще дело на поток поставить, обеспечить почтовую переписку, предоставить базы данных, документы с локального компьютера и просто вовремя закрыть глаза. Останавливает в таких случаях только одно, как бы это ни парадоксально звучало, но только идеологическая верность к деятельности фирмы. Хороший руководитель знает, насколько важно вовремя! поощрять таких людей. Ибо каждый сотрудник кроме зарплаты хочет и чувствовать, и видеть важность своей работы. А хороший сисадмин в свою очередь, не понаслышке знающий, ценность обиженных сотрудников, всегда старается дружить с уборщицами и конечными исполнителями.

Как только мы потеряем идеологически верных сотрудников на рынке ИТ, произойдут колоссальные изменения, потому как, работник способный легко продать информацию конкурентам никому не нужен, и повторюсь, "Благонадежность" будет ключевым словом в резюме и тестах при приеме на работу, в свою же очередь со стороны сотрудников появятся требования об улучшении условий труда и повышении заработной платы.

Вполне возможно, что нас коснется паранойя вокруг информационной безопасности происходящая на данный момент в США, где подросток, имеющий способности в области ИТ, подвергается общественному давлению, а само правительство вовсю кричит о наборе армии из штатных хакеров. Пока что, случаи о неблагодарном отношении (а по сути косвенных провокациях) руководства к сотрудникам имеющих доступ к важной информации остаются в сферах черного юмора и пьяных разговоров по душам.