Ludzie listy piszą czyli rzecz o (nie)bezpieczeństwie w instytuacjach rządowych
#1
Jakoś tak się złożyło, że na Niebezpieczniku zbiegły się ze sobą w czasie dwa artykuły traktujące o bezpieczeństwie danych w infrastrukturach rządowych...obydwa powstały na podstawie zgłoszeń od osób, które tam pracują. Co ciekawsze fragmenty w cytatach poniżej...pierwszy o naszej armii

Cytat:Zachęcony bardzo leciwym listem od administratora w urzędzie postanowiłem podzielić się z wami wiedzą co do zabezpieczeń w naszej pięknej armii. Na podstawie obserwacji przez kilkanaście lat służby doszedłem do ciekawych wniosków. Ale powolutku…

Jak zapewne wiecie, w armii działają dwie sieci bez MILWAN i MILWAN. Pierwsza to zwykły Internet – druga to odseparowana fizycznie sieć resortowa (swoją drogą porządnie zabezpieczona). W każdym WŁ (Węźle Łączności – których w kraju trochę jest i wszystkie mają dostęp do obu sieci) pracuje kilku techników. Ciekawostki dotyczą ich kwalifikacji/sposobów pracy.
(...)
Wymyśliłem więc sobie na kolanie taką małą historię.
Pan Janusz Cebulak pracuje sobie w WŁ w Suwałkach. Jest bezdzietnym kawalerem po 40-stce który codziennie przyjeżdża do pracy swoim starym Tico i musi słuchać wrzasków szefa (w stopniu sierżanta), że znowu nie zrobił przecinka i cały 5 stronnicowy dokument jest do poprawy i wydrukowania od nowa (szef ma w zwyczaju ręczne zaznaczanie poprawek na wydrukowanym już tekście – niedawno skończył studia – musi pokazać kto jest tu panem).
Janusz nie może tego znieść – gdy on był w wojsku nigdy nikogo nie gnębił, a poza tym skończył je na stopniu kaprala. Niestety, nie dostanie pracy nigdzie indziej, więc zaciska zęby i znowu drukuje 5 stron A4 jednostronnie. Pewnego dnia do drzwi Janusza pukają panowie. Oferują mu wyjazd na Białoruś i spokojne życie bez zmartwień za drobną przysługę. Pokazują mu dokładnie co i jak, przekazując na zachętę 1000 dolarów. Następnego dnia Janusz ściąga potrzebne informacje z sieci MILWAN – przenosi je certyfikowanym nośnikiem na komputer bez MILWAN skąd kopiuje dane przez BT na telefon który dostał od nowych znajomych, po czym uruchamia aplikację ściągniętą z telefonu.
Następnego dnia Janusz dzwoni, że źle się czuje i prosi o urlop na żądanie po czym składa wypowiedzenie z pracy w trybie natychmiastowym z powodu konieczności leczenia. Po kilku tygodniach Janusz siedzi sobie na leżaku pod Mińskiem wraz z młodziutką sąsiadką pijąc wódkę i zagryzając ja ogórkami a Pani Zosia w jego dawnej pracy z paniką odkrywa po uruchomieniu komputera ekran z NotPetya. Badum. Tss. Kurtyna.
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]


Nie wszystko mogłoby pójść tak źle, co Niebezpiecznik weryfikował...ale problem jest i chyba póki co nie będzie rozwiązany. To nie tylko kwestia finansów, ale raczej...a może przede wszystkim...mentalności kadr, które w wojsku służą. Regulaminy i instrukcje nie pozostawiają raczej żadnego pola manewru na własną inwencję, co wcale złe nie musi być...ale przesada i nadgorliwość, a tej w wojsku wciąż pełno, sprowadzają wszystko do bzdetów urastających do rangi boskich objawień mogących konkurować co najmniej z 10 przykazaniami.

Drugi temat to list od administratora jednej z rządowych instytucji
Cytat:Witam
jestem adminem jednego z resortów. Nie dziwie się, że włamano się do siatki w tak łatwy sposób.
Problem leży nie w wiedzy administratorów – bo ta często jest, ale osób, które nimi kierują (naczelnicy, dyrektorzy).
(...)
Problem nr2.
Przełożony to albo naczelnik lub dyrektor i torpeduje decyzje admina. Nie rozumie systemów bezpieczeństwa, nie wie co się do niego mówi. Każda prośba np. próba wdrożenia ISO kończy się odmową bo to “dużo pracy i w ogóle“.
Problem nr3.
Zwyczaje użytkowników – to straszny problem. Zapisywanie haseł pod klawiaturami, na karteczkach przy minitorze czy w końcu ustawianie hasłem wg zasady “miesiącROK” – są nie do przeskoczenia. Dyrektor na pomysł aby zwiększyć ilość znaków haśle z 8 do 12 z uwzględnieniem znaków specjalnych tylko się wzdrygnął i powiedział “NIe”.
Każde zwiększenie poziomu bezpieczeństwa odbywa się kosztem przyzwyczajeń pracownika. Bez zgody kogoś z kierownictwa – nie ma takiej szansy. A kierownictwo to nie interesuje.
Problem nr4.
Polecenie słóżbowe – odwieczny problem, czyli polecenie wyłączenia zmiany hasła co 30 dni u kierownictwa, ustawienie hasła na stałe w VPN-ie dyrektora generalnego w urządzeniu przenośnym. Wyłączenie,a w moim przypadku – brak zgody na wdrożenie dwustopniowego uwierzytelnienia. Bo to utrudnienie, a to w konsekwencji nadwyręży idealną opinię dyrektora w oczach kierownictwa.
W większości resortów, po każdych wyborach zmieniają się wszyscy dyrektorzy, zastępcy dyrektorów i do naczelnika włącznie – dlatego dyrektor zajmuje się własnym PR, a nie bezpieczeństwem.
Problem nr5.
Niechęć do zmian. Informatyka to rozwój, a 99% ludzi w budżetówce zatrzymała się w rozwoju.

Tym razem włamania omięły mój resort, ale nie zdziwie się jeśli taki się odbędzie. I wiecie co? Jest duża szansa, że go nie wykryję, bo będę pisał przetarg na sprzęt, albo przenosił dane pomiędzy telefonami ministra, bo nikt nie wie jak to zrobić.

Wiecie… nie brak mi wiedzy, ale pod tym względem jestem na tym polu sam, tak jak w większości ministerstw. Dlatego wdrażam gotowe rozwiązania, które mnie informują o wielu anomaliach. Tylko jak to zwykle bywa, nie mam czasu ich czytać.
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Brzmi jak wesoła twórczość jakiegoś matołka. Albo przynajmniej analfabety.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#3
A czemu tak sądzisz? Uważasz, że te informacje to nieprawda? Owszem można mieć zarzuty do stylu pisania, ale to nie świadczy o nieprawdziwości danych, ale o braku umiejętności literackich Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Zawsze wierzyłem, że wyższe wykształcenie nobilituje i sprawia, że człowiek jest naprawdę wykształcony.
(07.11.2017, 13:36)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

słóżbowe
Ale tutaj tej wiary muszę się wyrzec.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#5
A może miał orzeczenie o dysortografii, a Ty go spisujesz na straty...
Grin
No fakt...wygląda, że nie sprawdził pisowni w edytorze, albo miał słaby słownik w przeglądarce. Odnośnie wykształcenia...sam mam wątpliwości, co poziomu wykształcenia albo raczej ukształtowania młodych ludzi po studiach. Dyskusja jednak o tym byłaby zbyt wielowątkowa i znacznie wykraczałaby poza ramy tematyczne wątku Wink
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
(07.11.2017, 13:40)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Brzmi jak wesoła twórczość jakiegoś matołka. Albo przynajmniej analfabety.

+1

To jak posty na fp Jerzego Zięby typu: 

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości