Kot se vsi boleče zavedamo, je informacijska varnost v številnih oblikah, od tehničnih podrobnosti do fizičnih ovir. Toda nasvet: še enkrat preverite vse svoje nove varnostne ukrepe. Nato stopite nazaj in razmislite o vsem, kar bi lahko bilo povezano s spremembami, ki ste jih uvedli. Na koncu preverite, ali so tudi ti ustrezno zavarovani.
Pred nekaj leti sem delal v enem podjetju, kjer sem dobil pisarno v bližini strežniške sobe. Nedolgo pred tem so izvršitelji IT zaprosili za ukrepe za boljšo zaščito strežnikov.
Zaskrbljenost je nastala, ker je ta strežnik hranil podatke za milijardo dolarjev vrednih operacij, ki so vsebovale občutljive podatke, ki smo jih morali hraniti. Želeli so natančno nadzorovati dostop do sobe.
Najprej varnost
IT izvršitelji so izpolnili zahtevo za obrazec s storitvami obratov za odstranitev ključavnice in namestitev kombinacije številk. Le nekaj izbranih uslužbencev IT bi poznalo kombinacijo odpiranja vrat.
Služba za obratovanje tovarn je storila natanko po navodilih: izvlekli so ključavnico in namestili novo številčno ključavnico s tipkovnico. Ko pa smo kmalu ugotovili, nihče ni natančno pogledal končanega dela.
Približno šest mesecev po namestitvi nove ključavnice klimatska naprava v strežniški sobi ni uspela. Ker je bila moja pisarna blizu, sem zaslišal alarm in poklical šefa, naj poroča, kaj se dogaja. Kmalu zatem se je pojavilo servisno osebje, ki je poskušalo vstopiti v sobo, vendar niso prejeli kode ali kakršnega koli drugega načina za odpiranje vrat. Tudi jaz nisem.
Poklicali smo šefa in druge zaposlene, za katere smo vedeli, da imajo kodo, vendar se nihče od njih ni oglasil na službenih telefonih (to je bilo v dneh, preden so bili mobilni telefoni pogosti). Alarmi so nenehno zveneli in čas je tekel, in nekaj smo morali storiti.
Napake postanejo priložnosti
Od blizu sem pogledal vrata in nekaj detajlov se je pojavilo. Dvignili so rdeče zastave o splošni varnosti sobe, vendar so mi dali ideje, kako poskrbeti za takojšnjo težavo.
Najprej so bili izpostavljeni tečaji. Ena izmed naših možnosti je bila, da zatiče zapeljemo gor in ven ter odstranimo vrata.
Drugič in hitreje in lažje za naše namene so tehniki, ki so namestili ključavnico, storili natanko tako, kot je bilo zahtevano in očitno niso dobro premislili situacije. Odstranili so cilinder ključavnice in namestili tipkovnico, niso pa zamenjali zapaha - tipkovnica je bila pritrjena na majhno ročico ročice, ki se je spustila, da je povlekla prvotni zapah. Prav tako se niso potrudili, da bi primerno zakrpali ali pokrili izpostavljeno območje, ki je ostalo za seboj: ključavnico ključavnice lahko še vedno povlečete tako, da vtaknete žico obešalnika v mesto, kjer je bil nekdaj cilinder ključavnice.
Klimatska naprava je bila popravljena in nadrejene sem opozoril na to, kar smo odkrili. Ni treba posebej poudarjati, da ni treba dolgo, da so izvršitelji IT izvedli nadaljnje spremembe na vratih strežniške sobe - pod njihovim osebnim nadzorom.
