Как молодой Эраст после Нового года безопасником стал?

Как молодой Эраст после Нового года безопасником стал?
Эта история произошла с молодым Эрастом, учеником 10А класса средней школы №6 города М.



На празднование Нового года в гости к семье Эраста пришел его дядя с портфелем, как потом выяснится, полным документов российской нормативки по информационной безопасности. Бурная ночь с 31-го на 1-е прошла, дядя уехал, но портфель остался (забыл его дядя). Выходных было целых 8 дней, за это время молодой Эраст «потребил» всю информацию из портфеля дяди.
И вот настает первое утро нового года, когда нужно идти в школу…
Эраст проснулся с явным раздражением на будильник в телефоне. «Надо вынуть из него микросхему, отвечающую за звук, – подумал Эраст, – хотя нет, даже если объект сохранит работоспособность, появится новая уязвимость, т.к. в инструкции, производитель не разрешает вскрывать корпус и уж тем более что-то там выпаивать…»
Эраст встал, поправил пижаму и направился в ванную. «А почему не осуществляется контроль доступа в помещение? Здесь, между прочим, есть важные объекты автоматизации – стиральная машина, фен, папина электронная бритва… хотя нет, бритва – это личная вещь папы пусть он сам контролирует к ней доступ. А где, кстати, перечень критичных объектов инфраструктуры? Как мы без стиралки сохраним бесперебойность процесса стирки? Мама! Да, именно она ответственная за актив и обязана была определить его ценность. Где перечень? Где документ, разграничивающий права доступа к стиралке? А вдруг кто-нибудь нехороший решит ей воспользоваться и сломает. Ох уж эти женщины, в облаках летают. Вот сейчас зайду на кухню, а там полный бардак…»
Эраст почистил зубы и вышел в коридор.
«Пылесос… Елки-моталки чего он тут стоит? Он должен быть под замком в шкафу. Замок! Точно. Нужно будет купить замок сегодня. Хотя нет, у меня нет денег. Нужно внести покупку в план мероприятий и назначить ответственно за покупку и установку – папу. А потом нужно написать процедуру, строго запрещающую оставлять актив вне контролируемой зоны. Да, и еще нужно не забыть сделать журнал регистрации. Вот интересно, а в электронном виде сделать журнал можно? Было бы круто, чтобы мама со своего iPhone могла сделать пометку в журнале, хотя нет… а как быть с защитой облачного сервиса?..»
«Ты есть будешь?» – спросила мама. К этому моменту Эраст уже около минуты сидел за столом и смотрел на свой чай.
«Нее, не хочу», – ответил Эраст, сделал 2 глотка чая и вышел из-за стола.
Зайдя в комнату, чтобы одеться, Эраст обнаружил, что его планшет и телефон лежат на столе. «А вот это моя оплошность, – подумал Эраст. - Не убрал, забыл. Хотя куда его уберешь? Папа ходит, как у себя дома, по каждой комнате, свой телефон ищет. Не находит, и моим пользуется. Бардак. Надо закрывать от него дверь. А дверь, дверь! Где, чертов, контроль доступа?!»
Собрав свои вещи и одевшись, Эраст вышел из дома.«Мороз жуткий, в новостях говорили очередной микрорайон без света остался. А если у нас свет отключат? А если канал связи упадет? Альтернативного поставщика услуг Интернета нет. Это ж мы без света и связи останемся. А если завтра кибервойна? Нужно срочно разрабатывать DRP…»
Подойдя к школе, Эраст увидел в окне первого этажа бухгалтеров, которые сидели за своими компьютерами и что-то печатали.
«Вот те раз! А где шторки на окнах? А вон та тётка вообще документы на подоконнике оставила. Читай – не хочу! Надо на имя директора докладную записку написать. Как же мы с таким безобразием аттестацию пройдем?»
На входе в здание школы сидит охранник с классическим видом отвращения на лице, свойственным людям, пережившим бурные выходные. Эраст подходит и спрашивает:- А вы уважаемый куда смотрите?
- Чё!
- Ни чё! Кто эти люди, которые сюда заходят? Вы их документы проверяете?
- Пацан, ты чё!
- Вас зачем здесь посадили? Чтобы порядок был. А вы ерундой занимаетесь! Кто заходит/выходит не знаете. Где ваш руководитель?
- Ээээ…
- Ладно, я и без вас разберусь, и пожалуюсь, куда следует.Эраст развернулся и пошел в сторону учительской смотреть расписание занятий, оставив охранника с недоумением на «помятом» лице.Через минуту Эраст обнаружил уязвимость в расписании, которое висело возле учительской. Расписание по старинке писали карандашом от руки на большом куске ватмана и вывешивали в коридоре.Эраст буквально ворвался в учительскую и с взъерошенным видом кричал на шокированных учителей:- Вы совсем с ума посходили! А если злоумышленник или целая группа нарушат целостность расписания. Ластик есть у каждого ученика и учителя тоже. Да, чего тут говорить, охранник на входе ни бе ни ме. Любой может войти в школу и изменить расписание. А это, между прочим, парализует весь учебный процесс. Вы знаете, что учебный процесс – основной в нашей организации? Где модель нарушителя? Где модель угроз? Почему директор бездействует? Где он, кстати?У одного из преподавателей из руки выпала чашка с чаем. В кабинете воцарилась гробовая тишина. Эраст чертыхнулся и вышел из кабинета.Первым уроком в расписании был урок информатики. Эраст направился в свой класс. Уже прозвенел звонок на урок. Молодая учительница информатики была аспирантом в местном политехническом институте и подрабатывала в школе. Милая девушка в очках, поначалу не поняла, что делает Эраст. Он нервно ходил по кабинету заглядывал в шкафчики и под столы.- Где фаервол? – наконец спросил Эраст.
- Какой фаервол? – ответила учительница.
- Который нас от хакеров защищает.
- У нас нет фаервола.
- Великолепно! А как рабочие станции защищаются?
- У нас есть антивирус.
- Это конечно здОрово, а как же подсистема межсетевого экранирования? Она обязательная, между прочим! Да, и про антивирус у меня есть вопросы, где сертификат?
- Какой сертификат?
- Сертификат ФСТЭК. Где он?
- Эээ…
- И вообще, уважаемая, вы на каком основании здесь находитесь?
- Эраст, что ты себе позволяешь?
- Я не видел вашего имени в списке сотрудников. На каком основании вы получили доступ к нашей ИТ-инфраструктуре?За все 22 года своей жизни молодая учительница ни разу не находилась в состоянии большего шока, чем сейчас. Ее глаза выражали полное недоумение.- Понятно, вы проникли сюда с нарушением регламентов. Разберемся. У меня уже целая пачка нарушений на сотрудников этой школы набралась. Когда последний раз в этом кабинете проводилась проверка на ПЭМИН? Дайте мне журнал.
- Эраст, может ты себя нехорошо чувствуешь?
- Это вы себя будете нехорошо чувствовать, когда директор узнает обо всех ваших нарушениях. Где он кстати?
- Может мне его позвать и медсестру заодно?
- Зовите, пусть полюбуется на бардак, который вы здесь развели.Учительница отправила отличницу Веру за медсестрой и директором.
…Уже через 2 часа Эраст находился в Поликлинике №2. Ему вкололи успокоительного, и он заснул. Родители еще долго будут водить Эраста по разным врачам, пока не пойму, что причиной его поведения стала литература, оставленная дядей у них дома во время празднования Нового года. Еще через месяц родители будут требовать от российских регуляторов отметки 18+ на каждом экземпляре выпускаемых ими методических документов.…

Берегите своих детей! и не позволяйте всяким «дядям» оставлять у вас дома портфели с вредной для детей литературой!
С наступающим Новым 2013 годом!
Законодательство Информационная безопасность информационный актив контроль доступа непрерывность бизнеса Оффтоп ПЭМИН уязвимость
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации