Немного об информационной безопасности, или как я работал с банком

Этот пост был опубликован мной более года назад. Информация, описанная ниже, уже могла потерять актуальность, но всё ещё может быть полезна.

Привет. Хочу рассказать о небольшом наблюдении.
Работал я некоторое время назад на техподдержке банка. Сразу расскажу как это происходило, чтоб ты верно меня понял.
Банк имеет множество филиалов по стране, это понятно. Самому банку наверняка накладно иметь дополнительный штат техподдержки на каждый регион (если не город). Поэтому он заключил договор с подрядной организацией (генподрядчик, ГенП), кстати, имеющей большой опыт в этих делах и не только хорошие логистические связи, но и собственную программную платформу для учёта всего, всех ивсех везде. Но и она работает лишь в Москве, как и «голова» банка, поэтому данный ГенП набрал себе субподрядчиков (СубП). Они уже работают непосредственно по точкам банка на своих территориях. ГенП получает задания от IT-отдела банка и спускает нужным ребятам. Собственно, работа этих ребят из субподряда — выполнять эти задания. Ими могут быть и работа с техникой (выдача, замена, установка, изъятие…), и открытие/перемещение/закрытие стойки или точки продаж (СП или ТП) или клиентского центра (КЦ), + соответствующие документальные и технические работы, консультирование работников в случае чего, а то и обучение некоторым азам. Все работы отчитывались ГенП-ку, а тот — банку. Всё просто. Вот это и есть техподдержка.
Это было со мной уже достаточно давно, однако только недавно я понял одну очень плохую вещь в организации всего этого.

ГенП имеет в своём распоряжении технику банка. Для ТП и СП это ноутбуки двух моделей (не считая одинакового набора периферии, речь не о ней) и часто такие же ноуты стояли в КЦ. Там уже учётки для работников были доменными и контроллировались ГенП. На СП и ТП ноуты были укомплектованы локальной учёткой для сотрудника и отдельной учёткой для саппорта с админскими правами. Такая же была и в домене для работы в КЦ.
Это достигалось одинаковыми образами заранее подготовленной системы. Для каждой модели ноута — своя. И для точек (КЦ или СП+ТП) тоже своя. Т.е. как минимум 4: на один ноут готовые образы, и на другой. Т.о. можно менять их местоположение без особого парева с переконфигурированием: СубП при необходимости бэкапит данные, перезаливает образ и если надо — возвращает данные (но это уже врядли).
А вот самое интересное. Nota bene, так сказать.
Пароли стоят на всех учётках, касперском (тоже центрально управляемом), на скрытом доменном вайфае в КЦ и чёрт знает где ещё.
Саппорт (СубП) знает все пароли в черте своей технической необходимости: от касперыча, той же вафли, своей учётки (у локальной и доменной одинаков), от учётки сотрудника (если не в КЦ, т.е. не доменная) и многое другое. И здесь уже обращаем внимание на мой случай. Так получилось, что пришёл в местную фирму я по (не)случайному знакомству. Т.е. работал неофициально, «на словах», доверии и договорённостях. Разошлись мы так мирно и спокойно (по причине моей тогда ещё заканчивающейся и очень усердной учёбы). Ушёл и всё, никто ничего особо не потерял. Но будь на моём месте кто другой?
Человек, пришедший в СубП организацию, не подписывал бумаги о неразглашении конфиденциальной информации: данные с компов банка, личные данные сотрудников, какая-то служебная банковская инфа, и главное — эти самые пароли от всего и вся. Работает как и я тогда, на честном слове за небольшие деньги. При этом имеет доступ *почти* ко всей банковской инфраструктуре и владеет даже такой информацией, которую не положено знать ни банковским сотрудникам на местах, ни даже региональной администрации (она есть в любом регионе, но ей СубП не подчиняются и вообще работают лишний раз не пересекаясь, ведь не банк возглавляет работу СубП, а ГенП).
Представим ситуацию, что начальник и такой работник не поладили и тот ушёл. Ушёл, а обиду затаил. И под видом всё той же техподдержки придёт завтра в КЦ, сломает всё к чертям и уйдёт. И в тот же день полетит голова именно с плеч босса того серого работника. ГенП пофигу, в принципе, их личные неприязни.
Однако именно с ГенП начинается цепочка, прямо намекающей на неверно организованную информационную безопасность всего банка. Образы готовятся уже с учётками. Доступ к ним получит даже если представитель СубП одного города/региона приедет в другой.
Дальше — СубП как юридическое лицо. Он в ответе за те риски и те беды, которые могут возникнуть для банка вследствие плохой внутренней политики фирмы-СубП. Т.е. именно они на своих местах работают в непосредственной близости от банковских данных, данных клиентов, операций, денег…. Это ладно в других регионах, может где-то всё более или менее официально и серьёзно. Но в моём случае, кроме меня в фирме работал… только её гендиректор. И то, я, как уже сказал, лишь на честном слове получил доступ к банковским секретикам разного срока лишения свободы.
Далее — СубП как физическая субстанция. Все мы люди, в конце концов. Что-то кого-то может не устроить. Понятное дело, какие-то личностные переживания у субподрядчиков совсем пофигу тем, кто спускает задания сверху. Но поверьте, те тоже лишь выполняют свою работу и наверняка тихонько друг друга ненавидят, и своих проблем им хватает больше, чем ваших. Но стоит лишь проколоться в какой-то мелочи субподрядчику и чёрт знает чем всё это может кончиться. И тут даже не в бумагах дело-то… ты человеку доверяешь управление какой-никакой, а банковской техникой. Ты как работодатель не знаешь что возникнет у него на уме, когда узнает пароль от ноутбука на стойке в магазине напротив его дома. И бумажками твоими он подотрётся под той же стойкой (хотя опустим твою возможность ими всё же воспользоваться в суде по назначению).
Я считаю, в такой работе не должно быть слабых мест. Ни у одного работника не должно возникнуть оргазма от ощущения того, что он контроллирует едва ли не все компы банка в своём радиусе. Мало того, что люди, по-моему, обязаны подписывать обязательстива о неразглашении и невозможности утечки никакой попадающей к ним в руки/на флешки информации, так ещё и людей этих обязательно надо садить на испытательный срок месяца в два. В качестве помогайки по небольшим поручениям новобранца можно легко поднатаскать к предстоящей работе, убедиться/огорчиться в его способностях, а он и сам (не)поймёт с чем собирается иметь дело. Всё это приведёт лишь и к более ответственному подбору персонала, хорошему отсеву плохишей и к наименьшими рискам утечки важной информации.
Да, никто ни от чего плохого не застрахован, какие бы меры не предпринимались. Но ведь значительно снизить риски вднх в ваших интересах.
*****
Я до сих пор помню большинство тех паролей. Хотя они и были у меня отдельно сохранены в базе Keepass, однако я их сразу удалил когда в них отпала служебная необходимость. И теоретически, я могу приехать на стойку, сказать «Я из техподдержки, нужно провести плановую замену ПО» и я тот же час получу доступ ко многому.
Подумайте над этим. Может быть, это окажется ваш банк?