Как молодой Эраст после Нового года безопасником стал?

Новый годЭта история произошла с молодым Эрастом, учеником 10А класса средней школы №6 города М.

На празднование Нового года в гости к семье Эраста пришел его дядя с портфелем, как потом выяснится, полным документов российской нормативки по информационной безопасности. Бурная ночь с 31-го на 1-е прошла, дядя уехал, но портфель остался (забыл его дядя). Выходных было целых 8 дней, за это время молодой Эраст «потребил» всю информацию из портфеля дяди.

И вот настает первое утро нового года, когда нужно идти в школу…

Эраст проснулся с явным раздражением на будильник в телефоне. «Надо вынуть из него микросхему, отвечающую за звук, — подумал Эраст, — хотя нет, даже если объект сохранит работоспособность, появится новая уязвимость, т.к. в инструкции, производитель не разрешает вскрывать корпус и уж тем более что-то там выпаивать…»

Эраст встал, поправил пижаму и направился в ванную. «А почему не осуществляется контроль доступа в помещение? Здесь, между прочим, есть важные объекты автоматизации – стиральная машина, фен, папина электронная бритва… хотя нет, бритва – это личная вещь папы пусть он сам контролирует к ней доступ. А где, кстати, перечень критичных объектов инфраструктуры? Как мы без стиралки сохраним бесперебойность процесса стирки? Мама! Да, именно она ответственная за актив и обязана была определить его ценность. Где перечень? Где документ, разграничивающий права доступа к стиралке? А вдруг кто-нибудь нехороший решит ей воспользоваться и сломает. Ох уж эти женщины, в облаках летают. Вот сейчас зайду на кухню, а там полный бардак…»

Эраст почистил зубы и вышел в коридор.

«Пылесос… Елки-моталки чего он тут стоит? Он должен быть под замком в шкафу. Замок! Точно. Нужно будет купить замок сегодня. Хотя нет, у меня нет денег. Нужно внести покупку в план мероприятий и назначить ответственно за покупку и установку – папу. А потом нужно написать процедуру, строго запрещающую оставлять актив вне контролируемой зоны. Да, и еще нужно не забыть сделать журнал регистрации. Вот интересно, а в электронном виде сделать журнал можно? Было бы круто, чтобы мама со своего iPhone могла сделать пометку в журнале, хотя нет… а как быть с защитой облачного сервиса?..»

«Ты есть будешь?» – спросила мама. К этому моменту Эраст уже около минуты сидел за столом и смотрел на свой чай.

«Нее, не хочу», — ответил Эраст, сделал 2 глотка чая и вышел из-за стола.

Зайдя в комнату, чтобы одеться, Эраст обнаружил, что его планшет и телефон лежат на столе. «А вот это моя оплошность, — подумал Эраст. — Не убрал, забыл. Хотя куда его уберешь? Папа ходит, как у себя дома, по каждой комнате, свой телефон ищет. Не находит, и моим пользуется. Бардак. Надо закрывать от него дверь. А дверь, дверь! Где, чертов, контроль доступа?!»

Собрав свои вещи и одевшись, Эраст вышел из дома.

«Мороз жуткий, в новостях говорили очередной микрорайон без света остался. А если у нас свет отключат? А если канал связи упадет? Альтернативного поставщика услуг Интернета нет. Это ж мы без света и связи останемся. А если завтра кибервойна? Нужно срочно разрабатывать DRP…»

Подойдя к школе, Эраст увидел в окне первого этажа бухгалтеров, которые сидели за своими компьютерами и что-то печатали.

«Вот те раз! А где шторки на окнах? А вон та тётка вообще документы на подоконнике оставила. Читай — не хочу! Надо на имя директора докладную записку написать. Как же мы с таким безобразием аттестацию пройдем?»

На входе в здание школы сидит охранник с классическим видом отвращения на лице, свойственным людям, пережившим бурные выходные. Эраст подходит и спрашивает:

— А вы уважаемый куда смотрите?
— Чё!
— Ни чё! Кто эти люди, которые сюда заходят? Вы их документы проверяете?
— Пацан, ты чё!
— Вас зачем здесь посадили? Чтобы порядок был. А вы ерундой занимаетесь! Кто заходит/выходит не знаете. Где ваш руководитель?
— Ээээ…
— Ладно, я и без вас разберусь, и пожалуюсь, куда следует.

Эраст развернулся и пошел в сторону учительской смотреть расписание занятий, оставив охранника с недоумением на «помятом» лице.

Через минуту Эраст обнаружил уязвимость в расписании, которое висело возле учительской. Расписание по старинке писали карандашом от руки на большом куске ватмана и вывешивали в коридоре.

Эраст буквально ворвался в учительскую и с взъерошенным видом кричал на шокированных учителей:

— Вы совсем с ума посходили! А если злоумышленник или целая группа нарушат целостность расписания. Ластик есть у каждого ученика и учителя тоже. Да, чего тут говорить, охранник на входе ни бе ни ме. Любой может войти в школу и изменить расписание. А это, между прочим, парализует весь учебный процесс. Вы знаете, что учебный процесс — основной в нашей организации? Где модель нарушителя? Где модель угроз? Почему директор бездействует? Где он, кстати?

У одного из преподавателей из руки выпала чашка с чаем. В кабинете воцарилась гробовая тишина. Эраст чертыхнулся и вышел из кабинета.

Первым уроком в расписании был урок информатики. Эраст направился в свой класс. Уже прозвенел звонок на урок. Молодая учительница информатики была аспирантом в местном политехническом институте и подрабатывала в школе. Милая девушка в очках, поначалу не поняла, что делает Эраст. Он нервно ходил по кабинету заглядывал в шкафчики и под столы.

— Где фаервол? – наконец спросил Эраст.
— Какой фаервол? – ответила учительница.
— Который нас от хакеров защищает.
— У нас нет фаервола.
— Великолепно! А как рабочие станции защищаются?
— У нас есть антивирус.
— Это конечно здОрово, а как же подсистема межсетевого экранирования? Она обязательная, между прочим! Да, и про антивирус у меня есть вопросы, где сертификат?
— Какой сертификат?
— Сертификат ФСТЭК. Где он?
— Эээ…
— И вообще, уважаемая, вы на каком основании здесь находитесь?
— Эраст, что ты себе позволяешь?
— Я не видел вашего имени в списке сотрудников. На каком основании вы получили доступ к нашей ИТ-инфраструктуре?

За все 22 года своей жизни молодая учительница ни разу не находилась в состоянии большего шока, чем сейчас. Ее глаза выражали полное недоумение.

— Понятно, вы проникли сюда с нарушением регламентов. Разберемся. У меня уже целая пачка нарушений на сотрудников этой школы набралась. Когда последний раз в этом кабинете проводилась проверка на ПЭМИН? Дайте мне журнал.
— Эраст, может ты себя нехорошо чувствуешь?
— Это вы себя будете нехорошо чувствовать, когда директор узнает обо всех ваших нарушениях. Где он кстати?
— Может мне его позвать и медсестру заодно?
— Зовите, пусть полюбуется на бардак, который вы здесь развели.

Учительница отправила отличницу Веру за медсестрой и директором.

Уже через 2 часа Эраст находился в Поликлинике №2. Ему вкололи успокоительного, и он заснул. Родители еще долго будут водить Эраста по разным врачам, пока не пойму, что причиной его поведения стала литература, оставленная дядей у них дома во время празднования Нового года. Еще через месяц родители будут требовать от российских регуляторов отметки 18+ на каждом экземпляре выпускаемых ими методических документов.

Берегите своих детей! и не позволяйте всяким «дядям» оставлять у вас дома портфели с вредной для детей литературой!
С наступающим Новым 2013 годом!

Мошенничество в ДБО видоизменяется. Вторая статья на CNews

Вышла вторая статья из серии статей по мошенничеству в дистанционном банковском обслуживании: Часть 2. Мошенничество в ДБО видоизменяется.

Часть 1. Мошенничество в ДБО. Эволюция глазами экспертов.

Часть 3. Мошенники проникают на компьютеры клиентов