Аудит корпоративной безопасности – или как открыть замок без ключа?
Существует множество баек или историй, которые постоянно демонстрируют, что любая, самая надежная структура или схема имеет до гениальности простой путь обхода. Причем некоторые фирмы готовы найти «отмычки» в любой организации.
Действительно, в наш век информационных технологий особую ценность приобретают именно сведения. Не деньги или станки, а чертежи и технологии, которые в общей своей массе хранятся в памяти компьютеров или бережно закрываются в сверхнадежных сейфах. Причем доступ к подобным разработкам четко отслеживается, и сотрудники отделов безопасности регулярно проверяют всех специалистов на предмет наличия связей с конкурентами или потенциально опасными лицами.
Но, даже самое надежное банковское оборудование, открыть которое можно лишь при помощи специальных ключей, имеющих сложные системы защиты, - полностью бесполезно перед человеческими слабостями.
Примеров множество, осталось лишь привести наиболее яркие.
К примеру, работники компании, занимающиеся поиском «дыр» в системах безопасности, получают задание проверить на прочность одну из структур крупного банковского холдинга.
Причем системные администраторы и профессионалы департамента охраны полностью уверены в том, что взлом кодов будет обязательно отслежен и замечен. Однако через некоторое время инспектирующая организация предоставляет распечатки документов, которые даже внутри фирмы обязательно пропускают после прочтения через уничтожители бумаг.
Решение оказалось максимально изящным.
Дело в том, что за сутки до этого вокруг головного офиса были разбросаны несколько флэш-накопителей, с встроенным троянским вирусным кодом. Любопытные сотрудники естественно пожелали проверить неожиданные подарки, что и привело к появлению несанкционированных «калиток».
Проведя беседы и, наказав особо интересующихся «бесплатным сыром», начальство санкционировало повторный эксперимент. Который закончился еще более плачевно. Под видом проверяющего инспектора по труду, в компании появился «законспирированный» агент, который провел анонимный опрос.
После чего все анкеты были опущены в режущие плоттеры и, соответственно, - уничтожены.
Однако, уже через несколько часов, обнаружился несанкционированный доступ к целой серии документов, имеющих гриф «строго секретно». Что же произошло? Дело в том, что на вполне невинный опрос анкетирования – насколько сложный у вас пароль, большинство отвечавших просто записало кодовое слово в специально отведенную строку.
Так что прежде чем устанавливать дорогостоящие приборы, нужно проверить – вполне возможно конфиденциальная информация доступна через более слабые звенья копании?
