Liška v kurníku: Když krade ten, kdo má chránit

Vince zaměstnancům své firmy věří. Ale ne natolik, aby si odpustil audit firemních systémů zajišťujících převody...


Vince zaměstnancům své firmy věří. Ale ne natolik, aby si odpustil audit
firemních systémů zajišťujících převody peněz. Čekala ho zajímavá zjištění.
Bezpečnost každého systému záleží, ať už si to chcete přiznat nebo nikoli, na
lidech, kteří jej používají. Jistě v ideálním případě jsou programy napsány
tak, aby byla privilegia pro práci s nimi smysluplně rozdělena mezi správce a
uživatele, takže sami uživatelé nepředstavují žádnou bezpečnostní hrozbu ale
pochybuji, že to tak někde skutečně funguje v praxi.
Věřím, že jsou naši zaměstnanci čestní, ale nejsem si zcela jist, zda by byli
zcela neteční k případným finančním stimulům, které by je vedly k narušení
bezpečnosti naší firmy. Abychom zjistili rozsah potenciálních problémů, které
by lidské selhání mohlo způsobit, provedli jsme nedávno interní audit našich 30
systémů podílejících se na přenosech finančních prostředků.
Řada z těchto systémů má nastavena omezení, pokud jde o maximální velikost
převáděné částky, nebo jsou nastaveny tak, že by případná snaha o zpronevěru
vyžadovala množství tajných dohod s dalšími společnostmi.
Obecným závěrem mé kontroly je konstatování, že jsou naše bezpečnostní opatření
adekvátní. Protože vycházíme z myšlenky rozdělení práv, vyžadují systémy
zajišťující finanční operace alespoň dva zaměstnance, kteří musejí společně
schválit převod peněz. I přesto jsem ale objevil několik negativních
skutečností.

Drobné problémy
Naše společnost se neustále snaží snižovat své náklady a redukovat množství
svých zaměstnanců. Tento postup v minulosti vedl ke koncentraci pravomocí:
Několik jedinců, z nichž někteří by se mohli ocitnout v situaci, kdy pocítí
ohrožení své pozice ve firmě, nyní obsluhují veškeré přesuny peněz.
Vzhledem ke snižování počtu zaměstnanců se také zhoršila situace v našich
kontrolních odděleních a v oddělení auditu, jehož současní zaměstnanci mají jen
malé zkušenosti se zpronevěrami. Čím déle budou tyto trendy pokračovat, tím
více bude růst nebezpečí, že se nějaký rozladěný zaměstnanec pokusí utéci i s
větším či menším obnosem našich peněz.
Objevil jsem ale také větší problémy. Našel jsem například hesla potřebná pro
realizaci převodů peněz napsaná na papírcích přilepených na monitoru. Doufám,
že prostřednictvím školení zaměstnanců pro příště vzniku takových prohřešků
zamezíme.
Kromě toho, že jsem osobně zkontroloval každý ze systémů, nechal jsem každou
jednotku a jí odpovídající IT tým vyplnit detailní dotazník týkající se právě
potenciálních možností zpronevěry. Poté jsme se pustili do "hraní". Simulovali
jsme situace, které vznikaly rozvinutím naznačených scénářů.
Již jsem na těchto stránkách zmiňoval, že naše firma je rozsáhlá, a proto se
její zaměstnanci navzájem většinou neznají. Přesto se pouze jedna osoba ze
všech 30 skupin obtěžovala otázkou, co jsem vlastně zač a proč chci vědět, jak
defraudovat peníze z naší společnosti. Budu muset naše zaměstnance upozornit,
že by měli být v budoucnu méně důvěřiví.

Nešťastní partneři
Když pominu hesla vystavená na monitorech, musím říci, že se domnívám, že je
náš systém vybudován dobře. Chtěl bych mít možnost říci, že mám stejnou důvěru
i v systémy našich obchodních partnerů. Většina z nich ale bohužel nedisponuje
specializovanými bezpečnostními týmy a odpovědnost za bezpečnost IT je tu tak
sdílena napříč oddělením IT.
Vždycky jsem měl trochu strach z firem, které k otázce bezpečnosti přistupují
tímto způsobem. Může to znamenat, že je bezpečnost skutečně integrována do
obchodních procesů a nepotřebuje své vlastní obránce. Ale ve skutečnosti to
většinou znamená něco jiného totiž to, že bezpečnost je v té firmě až na druhém
místě, za snadností použití.
Mnozí IT vývojáři i někteří správci mají jen slabé znalosti pokud jde o oblast
bezpečnosti IT a málo se touto problematikou zabývají. S problémy, které z toho
vznikají, se setkávám poměrně často.
Naposledy jsem strnul úžasem tehdy, když jsem hovořil se šéfem jedné menší
firmy, který mi vysvětloval interní "chytré" řešení problematiky bezpečnosti.
Konkrétně šlo o bezpečnost přenosu finančních informací mezi jeho firmou a
externími společnostmi.
Mnohé společnosti posílají šifrovaná finanční data přes internet
prostřednictvím protokolu FTP, který disponuje jen omezeným integrovaným
mechanismem zabezpečení. Protokol FTP používá pro autentizaci nešifrované
uživatelské jméno a heslo, takže lze tyto údaje detekovat prostřednictvím
nejrůznějších síťových čmuchalů (nástrojů pro tzv. packet-sniffing). Heslo bývá
také často pevně zapsáno do kódu aplikace, která zajišťuje finanční přenosy,
takže je obtížné ho změnit.
Původně jsem byl příjemně překvapen, když mi onen výše zmíněný člověk sdělil,
že vymyslel a realizoval v praxi řešení, v jehož rámci může využít protokol
FTP, aniž by potenciální hackeři mohli získat heslo. A nejen to. Uvedl, že si
je naprosto jist, že si jeho zaměstnanci nebudou nikam zapisovat hesla. A při
realizaci celého postupu ani nemusely být upgradovány automatické skripty. Jak
to popisoval, zkoušel jsem si představit, jakým způsobem mohla jeho společnost
dosáhnout tak skvělých výsledků. Používá nějaká zařízení pro generování hesel,
např. SecureID? Nebo nějakou formu biometrie, jejímž prostřednictvím je
testován zaměstnanec, který iniciuje spojení?
Ne, ne. Je to daleko jednodušší. Prostě nechali heslo prázdné. Z hlediska
provozu firmy vedl tento postup jistě k usnadnění práce a ke snížení režie, ale
co bezpečnost? Bezpečnost je asi tak vysoká, jak dlouhá je délka použitého
hesla. Tedy nulová. A nic na tom nemění případné další kontrolní procedury,
které snad měly v rámci firmy zajistit, že přenášená data nezneužije někdo
zvenčí.
Snažili jsme se šéfa této firmy přesvědčit, že náš pohled na celou věc je přece
jen rozumnější, ale nechtěl to chápat. "Ale proč bych měl chtít okrást svou
společnost, jsem přece loajální zaměstnanec," tvrdil.
Snažil jsem se v něm vyvolat myšlenku, že ostatní zaměstnanci možná až tak
loajální nejsou, ale odpověděl: "Znám svůj tým, jsou to dobří hoši. Proč by
přemýšleli o něčem takovém?"
Je zřejmé, že se mi nepodaří ho přesvědčit do chvíle, než si naše společnosti
začnou vzájemně vyměňovat citlivá data. Jakmile by k tomu mělo dojít, ošetříme
smluvně jeho zodpovědnost za jakékoli bezpečnostní problémy a ztráty jimi
způsobené. Uvidíme, jak na to bude reagovat.

Liška v kurníku
Dostat se do ohrožení kvůli tomu, že díky svému rozhodnutí odstraním veškerá
rizika takříkajíc "administrativně", je jedna věc, ale slyšel jsem i o jednom
horším problému. Nedávno jsem zaslechl příběh o člověku, který se tak snažil
zamezit zpronevěře ve své firmě, že ji umožnil.
Aby zajistil, že žádný z jeho vývojářů nebude moci firmu okrást, nechal každý z
nových systémů prověřit drahou externí konzultační společností. V rámci tohoto
procesu byl pečlivě kontrolován zdrojový kód všech vytvořených aplikací.
Konzultační firma ho poté informovala o jakýchkoli problémech, a tak mohl
odstranit bezpečnostní díry v provozních systémech.
A fungovalo to? Samozřejmě, že nikoli. Nakonec jeden auditor objevil náhodně
krádež realizovanou prostřednictvím systému pro převody peněz. A bezpečnostní
díra, která to umožňovala, byla obsažena v jednom z dřívějších reportů
auditorů, který byl firmě předán.
Jak se to mohlo stát? Zpráva byla zaslána pouze analytikovi, který měl na
starosti vývoj systému a současně pachateli krádeže. Ten zprávu auditorů
změnil, takže už chybu neobsahovala, ostatní chyby opravil a pustil se vesele
do okrádání společnosti.
Něco takového by se samozřejmě nemohlo v naší firmě stát. Ale když o tom tak
přemýšlím možná, že všechny ty mé otázky z dotazníku napověděly někomu z našeho
vývojářského týmu. Takže mě teď prosím omluvte, jdu zkontrolovat nějaké logy...
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.