В этот момент Джордж позвал меня на помощь. Так как Джордж и Натан были моими старыми друзьями, то я согласилась проверить их системы в обмен на приятную беседу и пару банок холодного пива.
Так как эти парни знали очень много о системах, то я полагала, что мне предстоит устранить проблему относительно быстро. В конце концов, у них обоих за плечами был большой опыт в управлении и поддержке систем, и они обслуживали реальную провайдерскую сеть. Я знала, что опытность не всегда является показателем осведомленности в вопросах безопасности, но хотела убедиться в осознанности их действий. Так как именно провайдер отвечает за информацию своих клиентов, то мне хотелось знать, предприняли ли они необходимые меры предосторожности.
Оглядываясь назад, я убеждаюсь, что, возможно, фантазировала насчет практических способностей этих парней в области безопасности. Раз так, то я обещаю больше не фантазировать.
Я надеялась на быстрое решение проблемы и сказала Натану, что загляну к ним по дороге на свою работу. Натан сообщил мне, что последний взлом был в его домашней сети, и я решила начать отсюда. Сначала я спросила Натана, почему его домашняя сеть подключена к TransWorld. Натан объяснил, что он хранит разрабатываемые программы на этой системе и ему нужен легкий доступ к ним при работе в главном офисе.
Из ответа я поняла, что решение проблемы не будет быстрым. Часто «легкий доступ» означает «риск». При работе с электронной информацией вам всегда придется взвешивать риск и нужды бизнеса. Если меры безопасности слишком строги, то это может препятствовать возможности клиентов вести свои дела. Очевидно, никому этого не хочется. В любом бизнесе необходима некоторая гибкость. Тем не менее некоторые компании не подсчитывают, как такая гибкость влияет на величину риска. Вместо этого они устанавливают облегченный доступ, надеясь, что их информация достаточно защищена. По дороге к дому Натана я не могла понять, почему Натан так ценит свой легкий доступ.
Утром в 6.30 я подъехала к дому Натана. Натан предложил мне чашку кофе. Но я уже и так была взвинчена — адреналин уже начал выделяться. «Нет, спасибо, — сказала я. — Где система?» Он подвел меня к клавиатуре.
В течение пяти минут после входа в систему я обнаружила, в чем заключается проблема безопасности. Безопасности не было вообще! Системы были установлены «как есть», стандартным способом, и подключены к Интернету.
Один из самых больших рисков при стандартных установках состоит в том, что вставки, повышающие безопасность (security patches), в стандартную поставку не входят. Все операционные системы имеют уязвимые места с точки зрения безопасности. К ним необходимо добавлять вставки безопасности для решения подобных проблем, иначе системы могут остаться широко открытыми (в зависимости от уязвимости).
