Firma, ve které by si útočníci opravdu užili

Během posledních měsíců se stále častěji objevují nejrůznější varování před možnými teroristickými útoky. ...


Během posledních měsíců se stále častěji objevují nejrůznější varování před
možnými teroristickými útoky. Důsledkem toho je výrazný nárůst priority, kterou
náš management přikládá problematice bezpečnosti. Můj tým sice přímo nepokrývá
oblast fyzické bezpečnosti firmy, ale protože je náš záběr i tak značně široký
a naše práce nesouvisí pouze s bezpečností PC nebo sítě, rostoucí požadavky se
týkají i nás.
Naší zodpovědností je zajištění veškeré "informační bezpečnosti" tedy nikoli
pouze bezpečnosti softwaru, komunikační sítě a hardwaru PC. Jsme zodpovědní
nejen za ochranu údajů v našich systémech, ale také za ty, které jsou vytištěny
nebo přenášeny.
Zajištění informační bezpečnosti v tomto širším pojetí by mohlo vést k překryvu
naší činnosti a činností týmu zajišťujícího fyzickou bezpečnost naší firmy,
případně by mohly vzniknout nebezpečné nevykryté mezery. Proto oba naše týmy
úzce spolupracují, čímž se snaží těmto problémům předcházet.
Ve zkratce lze říci, že tým pro fyzickou bezpečnost se zaměřuje na hlídání
lidí, staveb a hmotného majetku. Jeho lidé jsou zvyklí běžně jednat s naším
právním oddělením a se státními úřady, které jsou zodpovědné za vynucování
práva. My prohřešky zpravidla řešíme přes naše personální oddělení.
Tým fyzické bezpečnosti zajišťuje čas od času i takové činnosti, jako je
detekce odposlouchávacích zařízení v konferenčních místnostech a má pověření
pro přístup k tajným materiálům. Zatímco oni zastavují útočníky využívající
sociálního inženýrství k tomu, aby se dostali do našich objektů osobně, my
pokrýváme útočníky využívající sociálního inženýrství k útokům prostřednictvím
telefonu nebo e-mailu (a samozřejmě dalších elektronických cest).

Úklid v budově
Vzhledem ke zvýšenému strachu o fyzickou bezpečnost jsem se rozhodl, že se svým
týmem provedeme pochůzku po našich budovách a zkontrolujeme, co by zde případný
nevítaný host mohl způsobit z hlediska narušení bezpečnosti našich dat. Chtěl
jsem určit především možnosti přístupu k našim IT systémům, jež by se staly
dostupnými útočníkům, kteří by se odhodlali naši firmu nejdříve fyzicky
navštívit, a ověřit, zda by mohli získat nějaké utajované informace včetně
intelektuálního vlastnictví firmy.
Výsledky našeho průzkumu měly být anonymní, aby se zabránilo vytváření obětních
beránků. Naším cílem bylo informovat management o aktuální úrovni potenciálního
nebezpečí a současně zajistit, abychom nebyli opomenuti při plánování budoucích
aktivit vyplývajících ze strachu o bezpečnost firmy.

Pravidla hry
Nejprve jsme se museli shodnout na takových procedurách prohlídky, které by
uživatele nevystavily nebezpečí disciplinárních řízení. Současně jsme
potřebovali najít způsob, jak ochránit svůj tým před případnými problémy. Lidé
mají většinou ke svému pracovišti velice úzký vztah: Považují vymezený prostor
za svůj a jsou ochotni ho bránit. Naše testy by mohly vést k tomu, že nás někdo
obviní z krádeží nebo z toho, že jsme poškodili jejich stroje.
A tak jsem stanovil několik jednoduchých základních pravidel. To nejdůležitější
z nich říkalo, že se ničeho nedotkneme. To znamená žádné zvedání klávesnic a
žádné otvírání šuplíků. Na druhou stranu je ale možno pořizovat fotografie,
takže nevzniknou žádné zbytečné debaty o tom, co skutečně bylo a co nebylo
objeveno. A abychom zajistili, že nebudeme kvůli svému vyšetřování napadáni,
budeme mít s sebou také představitele týmu pro fyzickou bezpečnost. Věděl jsem,
že uvedeným způsobem nenajdeme všechny zdroje potenciálního nebezpečí, ale
alespoň můžeme udělat celou akci rychle, učinit ji snadno opakovatelnou a
sledovat vývoj našich výsledků v čase za různých podmínek.
A jak celá akce dopadla? Dobrou zprávou je, že pouze 3 % pracovišť byla
postižena nějakým problémem. Špatnou zprávou pak je, že problémy, které jsme
objevili, byly skutečně velmi zlé. Na začátku jsem předpokládal, že budou
problémy koncentrovány na určitá oddělení. Ukázalo se však, že porušování
bezpečnostních pravidel je rozšířeno napříč celou společností.

Problémy s hesly
Nejčastějším proviněním zaměstnanců bylo porušování bezpečnostní politiky
týkající se hesel. Jedna osoba si psala hesla na lístečky Post-it a lepila si
je vedle sebe na zeď, přičemž po expiraci hesla ho prostě vyškrtla a dopsala
heslo nové. Člověk by alespoň čekal, že až se lístek zaplní, bude stržen a
hozen do koše. Nikoli. Stěnu vedle dotyčné osoby pokrývalo 6 lístků zaplněných
hesly. Všechna se zaměřovala na oblast sportu.
Našli jsme také seznam hesel, který obsahoval položky jennifer1, jennifer2,
jennifer3 a tak dále. Možná byste si mysleli, že když si Jennifer mění v heslu
pouze poslední číslici, že by si to nemusela psát. Jak vidno, mýlili byste se.
V jiné části firmy jsme našli několik citlivých dokumentů válejících se jen tak
bez dozoru na výstupu tiskárny. Šlo o plány projektů, data dodávek a interní
poznámky. Všechny dokumenty byly jasně označeny jako "Tajné", i když musím po
pravdě říci, že nedokážu posoudit, zda šlo skutečně o bezpečnostní riziko nebo
o pouhé špatné označení dokumentů. No, možná šlo jen o vychytralou past na
zloděje. Ale tomu opravdu věřím jen málo.
Daleko nejproblematičtější bylo objevení několika přístupových tokenů, které
využíváme v rámci dvoufaktorové vzdálené identifikace. Uživatelé je prostě
nechali jen tak položené na svých stolech. Technologie tokenů je navržena tak,
aby si poradila i s touto eventualitou k autorizaci je třeba zadat nejen stále
se měnící kód generovaný tokenem, ale také další číselné heslo. Nemyslím si, že
by tato zařízení měla nějakou hodnotu vyplývající z možnosti je dále prodat,
takže by je asi nikdo nekradl. Ale na druhou stranu každé z nich přijde na
nějakých 75 dolarů, a tak by se tu nemusela jen tak válet.
To nejhorší, co jsme objevili, byl jeden přístupový token, který měl na své
přední straně zapsané čtyřmístné číslo. Mohu se pouze domnívat, že šlo o
numerické heslo uživatele s tímto tokenem. Zloděj by sice k tomu, aby mohl
provést nějakou útočnou akci, musel stále ještě znát také uživatelské jméno,
ale naše uživatelská jména se řídí standardním vzorem a každý mohl celkem
snadno zjistit, čí je stůl, na kterém se token nachází. A tedy i to, jaké má
asi přístupové jméno. A pak už by bylo snadné získat přístup k našim vysoce
zabezpečeným systémům. Když jsem vzal v úvahu potenciální riziko, rozhodl jsem
se porušit jedno z našich základních pravidel a token jsem zabavil.
A celkový závěr? Jak jsme vlastně dopadli? Hůře, než jsem očekával, ale lépe,
než jsem se obával. Nemohu si pomoci, ale moje profesionální deformace mi nedá,
abych si takových věcí nevšímal při svých návštěvách jiných společností. Vždy
jsem překvapen, kolik takových narušení bezpečnosti vidím.
Ačkoli bych si rád myslel, že bezpečnostní slabiny jsou jinde ještě častější
než u nás, byl jsem stejně šokován způsoby a rozšířením problémů v naší
společnosti. Žádná skupina se jim nevyhnula. Je zcela zřejmé, že musíme ještě
hodně zapracovat na varování uživatelů. Domnívám se, že je čas opět začít lidi
peskovat.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.