Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Зачем АНБ США столько сисадминов и за что их сокращают

Зачем АНБ США столько сисадминов и за что их сокращают

Интересная новость из США: Агентство национальной безопасности намерено сократить 90% системных администраторов, доверив их обязанности компьютерам. Т.е. из примерно 1000 сисадминов оставят только сотню. Конечно, виноват во всем этом Сноуден, который на обычной флешке утащил кучу секретных документов, и этому, в общем, никто не препятствовал. Но с другой стороны, я не знаю, что там творится в АНБ, но наверняка, как в любом государственном учреждении, в котором история информатизации насчитывает не одно десятилетие и не один десяток систем, в этой организации тоже огромное количество унаследованных систем и не очень много действительно современных решений.

Википедия говорит о том, что по неофицальным данным количество сотрудников в штаб-квартире этой организации от 20 до 38 тысяч человек. Еще около 100 тысяч сотрудников работают по всему миру. Судя по всему в новости речь действительно идет о сисадминах, а не о техподдержке. Т.е. о тех сотрудниках, которые имеют привилегированный доступ к тем или иным ИТ-системам. Кстати, сам Эдвард Сноуден, как раз и был одним из таких ИТ-специалистов, так что во многом он своих бывших коллег «подставил».

Сокращение количества сотрудников с большими полномочиями – очень правильный шаг.  Есть отличный анекдот: встречаются директоры русского и японского предприятия. Предприятия выпускают одинаковую продукцию и в одинаковом объеме. Директор русского предприятия спрашивает у японца:
- А сколько у тебя на предприятии людей работает?
- Девять, - отвечает японец
- А у тебя?
У русского на самом деле 500 человек работает, но он говорит, что 10. На следующий день японец говорит:
- Слушай я всю ночь не спал, думал, а что у тебя 10-й делает?

Вот, когда я читаю про ИТ-отделы крупных западных компаний, у меня возникает тот же вопрос, что и у этого японца. Зачем там штаты в несколько тысяч человек, особенно учитывая активный аутсорсинг техподдержки в Индию?

Чувствуется, что бардак в ИТ-системах в американских госорганах в большинстве случаев сильно превосходит, то, что происходит у нас. Сноуден – то не первая крупная утечка. В наши государственные ИТ вкладываются большие деньги, решения чаще всего создаются с нуля, унаследованных систем немного – так что, при всех возможных откатах и распилах – все, что реально у нас запускается в эксплуатацию работает очень неплохо. Документы Викиликс утекли достаточно давно, для того, чтобы реализовать проекты по увеличению ИТ-безопасности. Судя по всему Викиликс никого ничему не научил – нашли крайнего сержанта и на этом успокоились.

Некоторые комментарии в американских изданиях умиляют. Например, на полном серьезе говорится о том, что сисадмин имеет неограниченный доступ к ИТ-системам и необходимо вводить правило, по которому для выполнения любой работы требуется два человека: один работает, второй контролирует. Подобная практика работы используется на некоторых производствах. Однако в ИТ – это явно избыточно. Скажу честно, я не очень знаю, как устроена безопасность в Unix-системах, однако в Windows-решениях полномочия большей части администраторов могут быть очень сильно ограниченны.

Что еще можно посоветовать АНБ и другим организациям?

  1. Шифрование документов и управление доступом к документам. В Windows Server это IRM. С одной стороны на серверах компании не должно быть незашифрованных секретных документов с неограниченными правами доступа. С другой стороны у сисадминов доступа к секретным документам в принципе не должно быть. Для работы им они не нужны. Более того, точно также доступа к лишним документам не должно быть ни у одного сотрудника, сколь бы высокопоставленным он не был.
  2. Никаких флешек. Даже во многих коммерческих компаниях подключение внешних накопителей к компьютерам запрещено. (Естественно на уровне корпоративных политик, а не в виде правил, необязательных для выполнения). Электронная почта отлично работает, а уж ограничить пересылку файлов по почте или выкладывание файлов на внешние облачные сервисы намного проще. Тем более подозрительная активность с облачными сервисами засекается очень легко.
  3. Никаких локальных файлов на компьютерах пользователей. Все прекрасно хранится в сетевых папках, профили, рабочая среда и все необходимое ПО прекрасно подгружаются туда, где залогинился пользователь. Кстати, отсутствие постоянного рабочего места – еще один фактор увеличения безопасности ИТ-среды, т.к. в компаниях, использующих подобную практику в конце рабочего дня сотрудник оставляет чистое рабочее место – никаких тебе записанных на листочке паролей, наклеенных на монитор.
  4. Естественно, никаких сетевых папок с кучами документов, которые можно просто скачать. Каждый секретный документ должен быть защищен средствами разграничения доступа. Соответственно без доступа к серверу сертификатов ценность подобного документа сильно снижается. Расшифровать можно, но времени потребуется слишком много.
  5.  Мониторинг активностей пользователей. В том числе выявление активной работы с документами. Очень небольшое количество сотрудников действительно работает с тысячами документов. Да приставить к такому сотруднику наблюдателя – хорошая идея. Естественно любая подозрительная активность, включая попытки доступа куда не надо и изменение прав доступа должны контролироваться сотрдниками безопасности. В процессе копирования нескольких гигабайт информации безопасник должен подойти и поинтересоваться что просиходит?
  6. Порталы самообслуживания пользователей. Большая часть предоставления полномочий пользователям, установка ПО, обеспечение доступа к разного рода системам вообще не требует ни присутствия администратора, ни наличие прав у кого-либо, за исключением может быть непосредственного начальника этого сотрудника.
  7. Унаследованные системы, особенно те у которых нет шифрования данных, разграничения доступа, мониторинга активности и т.п. – заменяются на более современные.

Это все довольно простые и даже относительно дешевые меры. Значительная часть их реализуется на уровне стандартных средств, которые есть в том же Windows Server. Вот и получается, что сокращение 900 из 1000 сисадминов – очень правильный шаг.

А что вы посоветуете от утечек больших объемов секретных данных?

Дополнительные материалы

Комментарии (11)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 11 августа 2013, 13:15

    0
    Все перечисленной в п 1-7 есть даже  в ISO 2700x. Гостайна у нас требует более жестких мер. Думаю в США тоже. Дело не совсем в этом. Просто некоторое количество людей с очень высокими полномочиями должны существовать. Но. Во-первых в кадровой политике зачастую царит принцип личной преданности и продвижение "добровольных помощников". Это приводит систему к параличу. Поэтому обязательно нужен хоть один, но знающий. А у него свои принципы вполне могут быть. Он "ненормальный". Но по скорости  мышления он "обычного" сильно превосходит и мыслит необычно. Сноуден, видимо, из таких. Поэтому у него и были нужные привелегии. Как человек, работавший в   условиях запрета переносных носителей скажу - пробивается при желании.
    • Аватар

      Лебедев Антон [antaeus], 12 августа 2013, 10:13

      0
      Интересно посмотреть на примеры моделей нарушителя в подобных организациях. Часто пользователей с правами "супервизоров" рекомендуют не включать в данную модель.
  • Аватар

    Чумаевский Александр _ [inkara.ru], 11 августа 2013, 15:57

    0

    В 2013 году - скрывать информацию :) Шутники....

    Спасаться от флешек ) Еще более шутники ...

    Информацию скрывать техническими методами - утопия из утопий - голова то ее читает , и при надобности повторит и воспроизведет :)

     

    • Аватар

      Азанов Андрей [hazzan], 11 августа 2013, 17:31

      0
      В 2013 году - запирать входную дверь? :) Шутники...
      • Аватар

        Чумаевский Александр _ [inkara.ru], 11 августа 2013, 18:41

        0

        Запертую дверь сквозняком  не откроет )  Это практически единственное предназначение замка в 2013 году )

        От хомо-сапиенса у которого непременная цель зайти она все равно никак не спасет )

        Дверь любого вида вскрываеться за 40 секунд - было бы желание - а средства найдутся.

        • Аватар

          Азанов Андрей [hazzan], 11 августа 2013, 18:57

          0

          Так и я о том же - сделайте добывание ВАШЕЙ информации труднодоступной при помощи подручных средств и Вы будете защищены от "сквозняков". Понятно, что защита от "урагана" требует средств совсем другого порядка.

          Меня часто умиляют заявления, типа - "Пусть читают, мне нечего скрывать"

          • Аватар

            Чумаевский Александр _ [inkara.ru], 11 августа 2013, 19:10

            0

            А что скрывать - то :) 
            Информационный мир - вы родились - скрываться поздно :)

            Мне тут товарищ намедни развлекался прислал все данные о моей компании - включая сколько учредителей - что и кому причитаеться , включая все что и кому я платил за все годы и от кого деньги получал  ( а это весь список сотрудников и клиентов и поставщиков ), и кому чего еще должен :) И  всю остальную  инфу в этом духе. 
            Причем еще народу знакомому , он по их конторам тожеш данные прислал..

            Со словами - че скрываетесь - все про вас и так известно :)

            И доступ к такой инфе сейчас стоит копейки..  можно в контору обратиться которая легко по тебе инфу выведет )
            ВОт я и думаю какой смысл - что-то и гдето скрывать все равно ужеш где-то записано )
             

            • Аватар

              Алексеев Максим Юрьевич [Максим Алексеев], 13 августа 2013, 08:55

              0

              Это не совсем так, при целенаправленной деятельности из сети уже многое что изъяли. Гугловские спутниковые карты и те в высоте потеряли.

              Еще раз повторюсь при целенаправленной деятельности уничтожить общедоступную информацию возможно. Поэтому говорить, что информацию бессмысленно скрывать - не верно.

  • Аватар

    Лебедев Антон [antaeus], 12 августа 2013, 10:09

    1
    Американцы хотя бы хотят перевесить работы с 90% админов на "машины", а нас же эту работу перевесили на оставшиеся 10%
  • Аватар

    Занегин Дмитрий [Dimazan], 12 августа 2013, 13:21

    1

    Умиляет. Особенно вот это:
    7. Унаследованные системы, особенно те у которых нет шифрования данных, разграничения доступа, мониторинга активности и т.п. – заменяются на более современные.
    И последующий вывод:
    Это все довольно простые и даже относительно дешевые меры.
    Скажите уважаемый, а Вы реально знаете что это за системы и считали за какие деньги и в какие сроки их можно заменить? Или это так, ради красного словца?
    И еще присутствует ошибочная (на мой взгляд) причинно-следственная связь. Утверждается, что уменьшение элементов в системе на порядок увеличит ее надежность. Откуда такой вывод?