А н т о н Х а л и к о в , с о б с т в е н н и к к о м п а н и и N e t A n g e l s
Бизнесменам, чьи новорожденные дочки учатся управлять iPad3 раньше, чем держать ложку, и героям, чей ПК безнадежно закрыт пылепоглощающей салфеткой, редакция шлет спецколонку про технологии будущего, к которым стоит готовиться в настоящем.
Смотри, какой сайт с котиками Я чуть ли не каждый день слышу, что в какой-то компании сотрудники украли базу данных и открыли конкурирующую фирму, увели поставщиков и покупателей. У меня есть множество знакомых, к которым я обращаюсь по разным делам, и рано или поздно кто-то из их бывших подчиненных обращается ко мне с предложением покупать у него, а не у них: тут, за углом, все то же самое, но дешевле. И хоть многие руководители после такого слива начинают усиленно думать, где они просчитались в безопасности и почему не сумели защитить свои базы контактов и прочих данных, мне кажется, что к этой проблеме компьютерная безопасность не имеет никакого отношения и все дело в жадности собственников. Есть как минимум две должности, на которых экономить нельзя, – бухгалтер и системный администратор: что один, что другой могут навредить больше, чем все сотрудники, вместе взятые. Я очень смутно себе представляю, что директор компании ходит и настраивает всем межсетевые экраны, устанавливает антивирусы и так далее, поэтому грамотный сисадмин – это, конечно, основа корпоративной защиты. Но хотя руководителю и необязательно знать, как устроены различные протоколы, чем один файрвол отличается с т р .
98
от другого и что такое SQL-инъекции, все же лучше понимать, что можно делать, а чего нельзя. К примеру, публичные «облака» не очень удачное решение в плане корпоративной безопасности, потому что вы не владеете данными, которые туда загрузили, но, с другой стороны, существуют частные «облака», с помощью которых безопасность можно и повысить. В банках операционисты никогда не работают в программах, установленных на их компьютере, – у них всегда открыто терминальное окошко, и они выполняют действия в программе, запущенной на сервере, который, может, стоит даже не в Екатеринбурге. Получается, что даже если этот компьютер выкрасть, то самое ценное, что там будет, это пасьянс, больше ничего там нет. В этом случае облачные решения позволяют отделить базы данных от людей, которые с ними работают: у сотрудника есть прямой доступ только к терминалу. Для небольших и средних фирм это один из наиболее простых способов сохранения информации, ведь понятно, что чем ближе человек к данным, тем больше у него возможностей эти данные упереть. Таким образом можно, допустим, настроить работу с самой популярной в России программой для бизнеса – 1С.
мелких фирм никто этим не заморачивается. То же самое касается вайфая. Если взять обычный Wi-Fi-роутер и просто установить на нем пароль, то любой, кто его знает, сможет войти в эту сеть. Тогда, если объединить локальную сеть компании и сеть Wi-Fi, получится, что любой более-менее грамотный злоумышленник на расстоянии может получить доступ во внутреннюю сеть без особых проблем.
Не все антивирусы одинаково полезны, но на компьютерах с Windows хоть какойлибо из них обязателен, потому что завести пользователя на какой-нибудь фейковый сайт и заразить его «Трояном» никакой трудности не составляет. К примеру, получила девочка-секретарь сообщение в «Одноклассниках»: «Смотри, какой сайт с котиками», обрадовалась, тыкнула на ссылку, вирус попал в ее компьютер, на котором стоит XP, который не обновлялся с 2001 года. А дальше уже дело техники. Обычно вирусы пишутся с целью либо получить удаленный доступ к компьютеру, либо собрать из зараженных машин сеть ботов – и то и другое крайне нежелательно.
Тут можно провести аналогию: во многих крупных компаниях введен чип-ключ и для каждого сотрудника прописан перечень помещений, куда он имеет доступ, – в остальные вход заказан. Гостям же прописывают доступ только в ту комнату, куда они пришли. С сетью надо поступать так же: не должно быть общей свалки, общежития или коммунальной квартиры, где висят все компьютеры, серверы и так далее. У каждого компьютера доступ к соседям должен быть максимально ограничен. Это сложно и требует знаний и настроек, но окупится, когда в вашу сеть попытается ктонибудь залезть. Чем меньше сегменты, на которые побита сеть, тем меньше шансов у злоумышленников.
Ваша корпоративная сеть и вайфай должны быть разведены. В правильно организованной локальной сети предприятия на всех коммутаторах должна быть включена защита, которая ограничивает количество устройств на каждом порту каждого отдельно взятого коммутатора. Смысл в том, что, куда бы злоумышленник ни влез, к каким бы проводам ни попытался подцепиться, коммутатор, к которому эти провода идут, его тут же засечет. В целом такой подход работает, но не «из коробки», а после настройки админом. Но в 99,99 процентах
Корпоративную сеть имеет смысл разделять на сегменты, например по отделам. Чтобы, скажем, у кладовщика не было доступа к компьютерам продажников, даже если бы он этот доступ захотел получить. Когда-то давно я зашел в гости к другу-сисадмину, и он с гордостью показал мне, что у него с любого ПК можно зайти в «Сетевое окружение», где в одной сети светятся все компьютеры головного офиса и двух филиалов. «Виртуальная частная сеть» звучало очень гордо, но фактически это означало, что можно было приехать в удаленный филиал, воткнуть свой ноутбук в коммутатор, который лежит на подоконнике, и через пять минут рыться в файлах, сохраненных на компьютере гендиректора или главного бухгалтера.
Наконец, просто гигиеническое правило: никаких чужих флешек. Оно действует и в нашей компании, и во многих других. Кто бы к нам ни пришел со своим носителем, мы же не знаем, что там: может быть, ничего, а может, вирус или специальная программа взлома. Поэтому у нас есть целый ящик с новыми флешками, которые мы по мере надобности берем, записываем, что нужно, и отдаем с легким сердцем. Цена вопроса 200 рублей, а цена безопасности в сотни раз выше.