Rozpočet si vybírá svou daň v oblasti zabezpečení, ale neúspěch může být šancí k zavedení velmi potřebných opatření.
Když hospodářský pokles donutil naši společnost snížit náklady, bylo jedním z rozhodnutí uzavřít významnou budovu s cca 1 200 zaměstnanci. Smlouva o pronájmu ale zapříčinila, že přesun těchto zaměstnanců do hlavní budovy firmy nemohl začít dříve než minulý týden (tedy rok po rozhodnutí managementu), kdy se přestěhovalo posledních 200 osob.
Když stěhovací nákladní vůz dorazil, ponechala stěhovací služba jedny ze vstupních dveří zajištěné v otevřené poloze. To ovšem byla chyba a ještě horší byla skutečnost, že rozpočet pro ostrahu hlavní budovy byl minulý rok také zredukován. K hlídání auta i dveří nebyl nikdo ze strážců k dispozici a pracovníci stěhovací služby byli samozřejmě příliš zaneprázdněni stěhováním, než aby se zabývali zabezpečením.
Tak velký nákladní vůz venku před kancelářskou budovou musel asi vypadat jako prvotřídní pozvánka, protože někdo této situace využil a přes zmíněný vchod vklouzl do našich kanceláří. Tato osoba začala poté krást nezabezpečené notebooky z otevřených kanceláří a dalších prostor. Posbíral jich dvacet pět a evidentně k tomu potřeboval několikrát projít přes neuzavřené dveře. Mohl jich ukrást ještě více, ale při jedné z jeho cest z budovy, kdy právě nesl pět notebooků, ho jeden z našich zaměstnanců oslovil. Zloděj poté utekl do svého auta a ujel. Další pracovník zloděje honil, ale podařilo se mu získat jen část registrační značky vozidla.
Znali jsme tedy značku auta a bezpečnostní kamery také něco zachytily, takže jsme doufali, že dokážeme náš majetek získat zpět. Mezi tím však došlo k ohrožení dat a duševního vlastnictví.
Jak jsem již zmínil, nešťastné události mohou někdy být potřebným podnětem k provedení změn. Podle mých zkušeností obvykle vzniká při nepříjemné události časové okno jednoho nebo dvou týdnů, kdy je větší příležitost ke změnám. Rozhodl jsem se tedy tuto situaci využít.
Chopit se příležitosti
První na řadě je šifrování celého disku. Pokusili jsme se ho nasadit před dvěma roky pomocí produktu od firmy PointSec (nedávno ji koupila společnost Check Point Software). Globálnímu nasazení však bránily jednoduché problémy. Mnoho našich zaměstnanců například používá notebooky zasunuté v dokovacích stanicích a před přihlášením není možné použít USB myši a klávesnice. Byly také potíže s hibernací, ale v novějších verzích produktu už byly odstraněny.
Nejsou to problémy, které by ospravedlnily nezavedení šifrování. Po uvedené příhodě s krádeží je mým novým cílem získat podporu našeho právníka k zavedení povinného použití zásad pro některé zaměstnance, tj. pro právní oddělení, personalistiku, účetnictví a vedení firmy.
Také mám v úmyslu prosadit skupinovou zásadu vyžadující zadání hesla po určitém čase nečinnosti. Mnoho ukradených notebooků bylo přihlášeno, a zloděj tak měl neomezený přístup k jejich datům. Cena notebooků je v tomto případě zcela zanedbatelná ve srovnání s potenciálními ztrátami pro naši společnost a jednotlivce, jejichž identita by mohla byt ukradena pomocí osobních informací uložených v těchto počítačích.
Uvedené zásady jsme zatím nepoužili, protože by to ovlivnilo některé naše inženýrské nástroje. Myslím si však, že krádež notebooků dostatečně ukazuje, že riziko kvůli nezamykajícím se počítačům je větší než přínos pro inženýry, vyplývající z toho, že se tak nečiní. Podniknu ale kroky ke zvýšení povědomí o osobním zabezpečení, zamykání notebooků a potřebě ostražitosti vůči okolí. Raději bych byl, kdyby nebylo nutné být kvůli prosazení změn na pokraji katastrofy. Už k tomu však došlo a já jen mohu doufat, že příští týden bude náš dodavatel schopen připojit svůj notebook do jednoho z našich sdílených kancelářských prostředí a budeme konečně moci zahájit projekt řízení přístupu k síti (NAC).
PŘEDPLATNÉ
ČLÁNKY DO MAILU