Если это был хакер, то, возможно, в системе остался «черный ход». В деловом мире неделя может показаться не таким большим сроком. Но при расследовании места компьютерного преступления (а взлом систем является преступлением!) — это вечность. Когда так много времени проходит между взломом и расследованием, ценная информация изменяется, теряется и иногда невозможно найти какие-либо следы.
Мной был сделан вывод о том, что вторжение стало возможным из-за недостаточной защиты доверяемого программного сервера и что эта уязвимость должна быть устранена. Более того, не представлялось возможности узнать, каким образом хакер проник в сервер, из-за того, что имелось несколько уязвимых сторон, которые он мог использовать для получения привилегированного доступа. Не были стерты старые учетные записи с паролями, разрешения на доступ к файлам были слишком широкими, исправления программ (патчи), повышающие безопасность, не были установлены и т. д. У хакера был широкий выбор подходов.
Я сообщила руководителю аудита обо всех этих фактах, которые очевидны любому. Один незащищенный сервер открывает доступ ко всей сети. Так как система может быть взломана реальным хакером, то Дэйву нужно переустановить сервер, добавить соответствующие средства защиты сервера и подумать о других технических решениях по обновлению программного обеспечения своей корпоративной сети.
Я также обсудила с руководителем отдела аудита важный вопрос подбора в группу обеспечения сотрудников, которым можно было бы доверять, подчеркнув необходимость тщательной проверки персонала обеспечения безопасности перед их приемом на работу. Я объяснила, что необходимо наличие правильных инструкций для группы обеспечения безопасности. То, что они являются самыми квалифицированными специалистами, вовсе не означает, что им позволено «бродить» по любой из систем без должного уведомления. Так как в нашем случае подозревается их сотрудник, то было бы полезным выработать процедуру передачи расследований в отношении группы безопасности вышестоящему руководству. Такую непредвиденную ситуацию нужно отразить в разделе конфликтов интересов инструкции по реагированию на инцидент.
Эти два вторжения заставили нескольких сотрудников банка потратить много рабочего времени на расследование проблемы хакера, вместо того чтобы заниматься своей работой. Дэйв взял решение проблемы на себя и принял ряд решений, которые поставили под угрозу сеть с ее системами и информацией. Он также решил, что имеет дело с Майком из группы безопасности, не имея для такого обвинения должных оснований.
