«Хмммм… я никогда не видела, чтобы кто-то подключал сервер базы данных к Интернету, не защитив его брандмауэром». Дэйв ответил: «Наш эксперт по брандмауэрам Фред настроил Drug10 после установки мной системы на выполнение им функции брандмауэра».
После этого мне все равно было трудно поверить в то, что эти два человека подсоединили их систему напрямую к Интернету. Вот и говори про риск! Так как я уже собрала достаточно информации, чтобы начать тестирование, то решила поговорить с администратором брандмауэров Фредом после проведения тестов безопасности системы. Мне хотелось поговорить с ним, имея все факты. Меня уже звал к себе Drug10. Я должна была идти.
Было уже почти 5 часов дня, и я была вынуждена перенести тестирование систем на завтра. Дэйву надо было забирать ребенка, и ему не хотелось слоняться по компьютерному залу, пока я буду проводить аудит систем. Однако он согласился завтра первым делом создать мне учетную запись на сервере Drug10, чтобы я смогла сразу же, как только приеду, приступить к работе. Договорившись, мы ушли в одно и то же время.
В отличие от Дэйва, с радостью ушедшего с работы, я не была счастлива от ожидания. Мне надо было освободить свою голову от мыслей, иначе до утра я могла бы сойти с ума. Этому могла помочь хорошая пробежка. Я пришла в себя, когда уже зашнуровывала кроссовки. Я распахнула дверь дома и выбрала маршрут потяжелее — по холмам. После пяти миль бега по холмам Портола Вэли мне плохо не стало. Пробежка была напряженной и здоровой. И это сработало! Следующее утро наступило быстро.
Аудит, день 2-й: Ничем не подкрепленные политики
Дэйв встретил меня в холле JFC. Мне хотелось поскорее добраться до клавиатуры Drug10, но сначала я должна была получить политики безопасности. Мы задержались из-за них в офисе Дэйва. Политики, распечатанные им, были немногочисленными и короткими — они умещались на нескольких дюймах бумаги. Дэйв занялся чтением электронной почты. Он тихонько ругнулся и начал выстукивать на клавиатуре ответ. Должно быть, он имел дело с трудным клиентом.
Пока он этим занимался, у меня была возможность взглянуть на политики. Это были политики очень высокого уровня — в них с высоты 30 000 футов[19] руководство рисовало на песке линии. Хотя они удовлетворяли директора по информационным технологиям, но были не достаточны для непосредственного обслуживания или защиты систем компании. То, что я увидела, не содержало политики по защите брандмауэрами — это была, скорее, политика подключения. В ней предусматривалась защита брандмауэром лишь одного подключения интранет компании к Интернету. Без каких-либо оговорок. Что тут соблюдать?
