PL EN
  1. dcs.pl
  2. Blog
01-03-2016 Marcin Zawadzki

Self-Service i bezpieczeństwo firmy

Jeden z najsłynniejszych hakerów – Kevin Mitnick w swojej książce „Sztuka Podstępu” opisuje jak z pomocą kilku telefonów podczas posiłku z ojcem zdobył numer jego karty kredytowej. Z kolei Paula Januszkiewicz opisuje jak wykonując audyt bezpieczeństwa skompromitowała system zabezpieczeń prosząc o wydrukowanie biletu lotniczego ze specjalnie spreparowanego pendrivie.

Oba te przykłady pokazują, że to człowiek wykonując pozornie dobrze swoją pracę może spowodować zagrożenie bezpieczeństwa w firmie i często człowiek, a nie system komputerowy stanowi najsłabsze ogniwo. Oczywiście w przypadku obsługi klientów przez instytucje finansowe sytuacja uległa zmianie o tyle w przypadku wewnątrz firmowych działów IT sytuacja dalej pozostawia dużo do życzenia.

Wyobraźmy sobie, że aby zrobić przelew musimy mailem przesłać login, hasło i kolejny numer z karty kodów na adres przelewy@nazwabanku.pl. Albo że dzwonimy na infolinię i pracownik banku bez pytania się o dodatkowe dane wykonuje na naszą prośbę przelew. Nikt z nas nie powierzyłby pieniędzy takiemu bankowi.

Jak bezpieczeństwo wygląda w praktyce?

Dlaczego więc akceptujemy takie sposoby załatwiania wewnętrznych spraw w ramach firmy? W ilu przypadkach aby uzyskać dostęp udziału sieciowego z danymi klientów wystarczy, że manager prześle maila z prośbą o nadanie dostępu do działu IT? A przecież odpowiednie oprogramowanie do zarządzania folderami sieciowymi pozwolił by nie tylko na szybszą realizację zadania, przy użyciu bezpieczniejszego sposobu komunikacji niż dziurawy protokół SMTP[1] oraz pozwalało by na zapewnienie rozliczalności działań, co jest wymagane w przypadku, gdy dane te zawierają np. dane osobowe.

Skoro nie akceptujemy sytuacji, w których pracownik banku zna nasze dane i może się pod nas bezkarnie podszyć, to dlaczego akceptujemy sytuację w której pracownicy IT mogą wygenerować ręcznie hasła użytkownikom, tylko na podstawie telefonu typu „tu Bartek z księgowości, zapomniałem hasła do systemu zlecającego przelewy”? Czy nie lepiej było by aby tajemniczy Bartek z księgowości mógł sam zresetować hasło z wykorzystaniem telefonu komórkowego i numeru pracownika.

[1] O czym wie każdy, kto próbował wykonać polecenie telnet serwerpocztowy 25

Grafika pochodzi z serwisu https://pixabay.com/en/security-protection-anti-virus-265130/

Powiązane

0 komentarze

Kategorie

Tagi

administracja administration bezpieczeństwo it case study django CMS dla firm featured głosowanie sms hostedsms hosting intranet kampanie sms kampanie SMS konferencja masowe wysyłki sms migracje monitorowanie aplikacji narzędzia .NET network resources o nas permissions portale firmowe prawybory programowanie proxmox python SQL system ubezpieczeniowy systemy intranetowe system zarządzania treścią testy produktów tools ubezpieczenia uprawnienia wdrożenia wybory prezydenckie

Copyright ©dcs.pl 1995-2025 Sp. z o.o. All rights reserved.