info@dcs.pl

+48 22 548 60 00
  1. dcs.pl
  2. Blog
  3. Self-Service i bezpieczeństwo firmy
01-03-2016 Marcin Zawadzki

Self-Service i bezpieczeństwo firmy

Jeden z najsłynniejszych hakerów – Kevin Mitnick w swojej książce „Sztuka Podstępu” opisuje jak z pomocą kilku telefonów podczas posiłku z ojcem zdobył numer jego karty kredytowej. Z kolei Paula Januszkiewicz opisuje jak wykonując audyt bezpieczeństwa skompromitowała system zabezpieczeń prosząc o wydrukowanie biletu lotniczego ze specjalnie spreparowanego pendrivie.

Oba te przykłady pokazują, że to człowiek wykonując pozornie dobrze swoją pracę może spowodować zagrożenie bezpieczeństwa w firmie i często człowiek, a nie system komputerowy stanowi najsłabsze ogniwo. Oczywiście w przypadku obsługi klientów przez instytucje finansowe sytuacja uległa zmianie o tyle w przypadku wewnątrz firmowych działów IT sytuacja dalej pozostawia dużo do życzenia.

Wyobraźmy sobie, że aby zrobić przelew musimy mailem przesłać login, hasło i kolejny numer z karty kodów na adres przelewy@nazwabanku.pl. Albo że dzwonimy na infolinię i pracownik banku bez pytania się o dodatkowe dane wykonuje na naszą prośbę przelew. Nikt z nas nie powierzyłby pieniędzy takiemu bankowi.

Jak bezpieczeństwo wygląda w praktyce?

Dlaczego więc akceptujemy takie sposoby załatwiania wewnętrznych spraw w ramach firmy? W ilu przypadkach aby uzyskać dostęp udziału sieciowego z danymi klientów wystarczy, że manager prześle maila z prośbą o nadanie dostępu do działu IT? A przecież odpowiednie oprogramowanie do zarządzania folderami sieciowymi pozwolił by nie tylko na szybszą realizację zadania, przy użyciu bezpieczniejszego sposobu komunikacji niż dziurawy protokół SMTP[1] oraz pozwalało by na zapewnienie rozliczalności działań, co jest wymagane w przypadku, gdy dane te zawierają np. dane osobowe.

Skoro nie akceptujemy sytuacji, w których pracownik banku zna nasze dane i może się pod nas bezkarnie podszyć, to dlaczego akceptujemy sytuację w której pracownicy IT mogą wygenerować ręcznie hasła użytkownikom, tylko na podstawie telefonu typu „tu Bartek z księgowości, zapomniałem hasła do systemu zlecającego przelewy”? Czy nie lepiej było by aby tajemniczy Bartek z księgowości mógł sam zresetować hasło z wykorzystaniem telefonu komórkowego i numeru pracownika.

[1] O czym wie każdy, kto próbował wykonać polecenie telnet serwerpocztowy 25

Grafika pochodzi z serwisu https://pixabay.com/en/security-protection-anti-virus-265130/

Powiązane

Zarządzanie uprawnieniami (nie dla) każdego
Self-Service w IT - zysk dla pracownika, administratora i właściciela firmy
Czy serwery plików mogą być zagrożeniem dla bezpieczeństwa zasobów informacyjnych firmy?

0 komentarze

Kategorie

Tagi

administracja bezpieczeństwo it case study django CMS dla firm hosting intranet kampanie sms kampanie SMS konferencja masowe wysyłki sms migracje monitorowanie aplikacji narzędzia .NET o nas portale firmowe programowanie python SQL system ubezpieczeniowy systemy intranetowe system zarządzania treścią testy produktów ubezpieczenia uprawnienia wdrożenia zasoby sieciowe