こんにちは、Habr。
私は「自動化されたシステムの情報セキュリティ」というプロファイルの学生であり、情報セキュリティが気になるのは偶然です。 この分野では、GOST、あらゆる種類の文書、技術知識、英語、自信などを知ることに加えて、経験も必要であることをよく理解しています。 成人期の初めから、この経験のためにすべての可能な選択肢が求められていました。 また、自分の会社で安全を確保する人はいないことも知られており、コンサルティングには1日中少なくとも専門家が必要であり、通常の研修生として会社で働くことにしました。 そして、それはすでに開発中で、連絡先、つながり、興味深い人々などを探しています。 最終的に、経験がめったに不要になることはありません。
一般に、私の練習は会社のあるアカウントで終了します。 すべての企業はロシア人でした。 おそらくこれは重要な説明です。 各企業は、何らかのセキュリティソフトウェアを開発していました。 各企業で働いた後、企業のセキュリティの状態を見たときに現れた胸の火を鎮めることができません。 読んだ後、あなたがそれがただ若々しい最大主義であり、私が理想を達成したいと言うならば、あなたは正しいでしょう。 すべての企業において、さまざまな製品のテストが私の責任であるとすぐに言わなければなりません。 インタビューでは、初心者にはインターンシップのみが必要であると規定されていました。
お互いを知ったので、始めましょう。
以下は、私には思えるが、企業のセキュリティ基準に対する重大な違反のリストです。 おそらく、この分野での経験の不足のために、私の意見は間違っているでしょう。 これについてのコメントや批判に非常に注意します。
1)仕事の各場所で、すべてのリソースに無料またはほぼ無料のインターネットアクセスがありました。 また、ソフトウェアをダウンロードしてインストールする機能。 従業員管理システムはインストールされていません。
2)各職場で、パスワードの保存および作成方法に関する明確な指示がありませんでした。 そのような場合まで:
コンピューターマネージャーにあるドキュメントが必要でした。 その時点で、マネージャーは休暇中だったので、パスワードを見つけるために単純に彼に電話することを勧めました(誰もがn.surname loginタイプを持っています)。 私のことを長い間覚えていましたが、彼はまだパスワードを教えてくれました。 その後、副マネージャーを含む従業員の誰も、私がコンピューターで何をしているかを見ていませんでした。 金曜日でした。 月曜日、マネージャーは仕事に出かけ、侵害されたパスワードを変更しませんでした。 興味深いことに、このパスワードはメール(2要素認証はありませんでした)および内部キャンパスアカウントに適していました。
3)仕事の各場所で、あらゆる記録装置を使用できます。 メールで送信するのと同じように、ファイルをコピーします。 ブロックされる可能性のある本当に重要なファイルとドキュメントは、単に見つかりませんでした。 しかし、それらの要件、バグの説明、機能に関係するものはすべて静かにメールで送信されました。
4)一部の作業場所では、ディスク、ルートケン、リムーバブルドライブ、モニター、ルーター、および使用のために使用されるその他の鉄の会計が適切に保持されませんでした。 より正確には、そのような瞬間を記録することになっている人がいるにもかかわらず、彼は単にクローゼットを提供し、手紙を書くように頼みました。 さらに、何かを使用した後、従業員はアイテムをクローゼットに返しました。 したがって、必要なことは、返却時にドライブ/フラッシュドライブをキャビネットに入れるだけで、「製品番号nアセンブリ番号m」のように署名するだけです。 ちなみに、アンチウイルスもどこにも見つかりませんでした。
5)CCTVシステムおよびアクセスシステム。 ある場所では、彼らはカメラについて聞いていない、彼らは誰もが誰もを信頼していると言う。 入り口に1台のカメラがありました。 別の場所では、カメラは非常に好きで、あらゆる場所に押し込まれましたが、これをすべて見ている人が会社とは無関係で、誰が何をしているかを追跡できるとはまったく考えていませんでした。 モニターには保護フィルムや挿入物はありませんでした。 アクセスシステムに関しては、すでに人的要因があります。 多くの場合、100人以上のスタッフを抱える企業で働き始めたばかりの彼らは、キーカードで開くドアを私に抱きしめました。 これらすべての人が私を知っているとは思いません。
6)サーバー。 職場の1つで、署名用にキーが発行されました。 はい、普通のキー。 絵画のためだけに。 はい、私もインターンです。 じゃあ、キャストのようにね。 ところで、そのサーバーにはカメラがありませんでした。 別のオフィスのサーバールームは、全員のために丸一日オープンしました。 いいえ、廊下にもサーバールーム自体にもカメラはありませんでした。
7)内部システムフォルダーのパスワード、開発されたソフトウェアの「ゴッドモード」などが1つでした。
8)交渉は開かれており、インタビューの前にいかなる方法でもチェックされなかった(そしてインタビューはほとんどどこでも頻繁に行われた)ため、明らかに遮音はなかった。
9)また、会社の1つで、訴訟に関する情報が偶然に発見されました。
10)財務報告書がすべての従業員に郵送されたときに事件があった
11)引っ越しの際、企業の1社がユニバーサル個人IDの入った箱を紛失しました。これにより、当時開発されたハードウェアにアクセスできる可能性がありました。
もちろん、100メートルの壁と有刺鉄線で従業員の誕生日に関する情報を保護する必要はないというIbの原則があります。 そして、すべての方法とソリューションは経済的に実現可能でなければなりません。 しかし、再び、すべての企業がこれと同じセキュリティを提供するソフトウェアの開発に従事していました。
各インターンシップの終わりに、私はこの会社で情報セキュリティに携わっている人と話す方法を探していました。 どんな場合でも、間違っていることを示すために、話をして質問するだけです。 ほとんどの場合、幹部は脇に押し出して、とにかく会社のデータは必要ないと言った。 数年後の監査は怠becomeになりました。 そして彼らがここでやっているのは...誰もこの質問に正確な答えを与えなかった。 おそらく、彼らは警備員であり、そのような秘密を守ります。 おそらく、ロシア企業は単に情報を盗む必要があるだけです。 そして、燃え尽きて初めて家に保険をかけるのは私たちの考え方です。
いずれにせよ、データの安全性を重視するロシア企業が存在することを願っています。
ご清聴ありがとうございました。 あなたの考えを読むことは非常に興味深いでしょう。
研修生-スパイの発見
All Articles