Тед сообщил мне общие сведения о компании и произошедших взломах. Время моей командировки шло, и я начала писать отчет по аудиту. Обычно я пишу отчет в последнюю очередь, но у меня уже было достаточно информации о взломах для того, чтобы начать писать черновой вариант отчета. Тед проводил меня в офис для посетителей, я достала свой ноутбук и приступила к работе. Я закончила черновой вариант, чтобы внести в него детали после проведения аудита. (В настоящее время, я могу только строить догадки, а за них мне не платят. Эти парни хотели фактов, и у меня их скоро будет достаточно.) Для первого дня было уже хорошо.

День 2-й: Администратор брандмауэра

Тед встретил меня в холле и выписал пропуск. Он проводил меня до офиса Джозефа. При первой встрече Джозеф немного нервничал. Конечно, многие люди волнуются при приходе аудитора, поэтому я попыталась разрядить обстановку (с помощью хорошей шутки). Но Джозеф не оценил мой юмор и определенно не был склонен к приятной беседе. Отбросив мягкие манеры, я попросила у него документацию, которую заказывала. Он смог дать мне только сетевую схему. Когда я его спросила об остальной документации, то он сообщил: «У меня нет политик и процедур брандмауэра; это не моя работа - их писать. Я знаю, как настроен брандмауэр и что делать, если происходит взлом».

Вот это парень. Я ошиблась, посчитав, что он волнуется. Он был самонадеян! Он полагал, что раз знает, как поддерживать брандмауэр, то этого достаточно. Легко было видеть, что он не понимает ценность политик и процедур и видит во мне только аудитора (переводя это слово как «зануда»).

Временная безопасность

Кроме плохого ко мне отношения у Джозефа были необычные представления о методах технической поддержки. В общем, брандмауэр не улучшался несколько лет. Это было похоже на то, как если бы на двери, ведущие к разработкам новых чипов компании, к ее финансам, людским ресурсам и маркетинговой информации, был навешен старый ржавый замок. Легко было представить себе, как хакер стукнет в эту дверь и замок отвалится. Каждый раз, когда хакер взламывал брандмауэр, Джозеф ставил «заплатки» в систему или добавлял средство для обхода проблемы. При таком подходе, заключающемся в установке временных подпорок, брандмауэр скоро кишел заткнутыми дырами и стал трудно управляемым и тяжело обслуживаемым. Хотя Джозеф мог это называть рабочим состоянием безопасности, я назову это плохим состоянием безопасности.

Я еще поговорила с Джозефом и узнала, что в Global Chips имеется отдельное подразделение обеспечения безопасности для аудита компьютерной среды, для написания некоторых (но не всех) политик безопасности и для действий на случай вторжения. Джозеф отвечал за брандмауэр. Когда происходил взлом, то он посылал сообщение по пейджеру для вызова сотрудников группы обеспечения безопасности. Джозеф настойчиво подчеркивал: «За безопасность отвечают сотрудники группы обеспечения безопасности, а не я. Это их работа — обеспечивать выполнение политик безопасности компании». Было ясно, что я должна была выслушать другую сторону и побеседовать с кем-нибудь из группы обеспечения безопасности.

Джозеф, определенно, относился к категории людей, которую я обозначала большим «Н», то есть к неудачникам. С ним не только было трудно разговаривать, но он также был самонадеянным и скрывал информацию. Люди, скрывающие информацию и не делящиеся ей с другими, очень опасны. Они думают, что чем больше они информации утаивают для себя, тем большую ценность собой представляют. Я не хотела тратить на него время. Поэтому после такого милого разговора с Джозефом я попросила Теда запланировать мне беседу с экспертом компании по вопросам безопасности. Я двигалась дальше.

Руководители и безопасность

Следующим моим шагом была беседа с Карлом Санчесом, начальником Джозефа. Карл был одет довольно небрежно — в рубашку для гольфа и джинсы. Однако он был одним из тех людей, которые всегда ухитряются выглядеть хорошо одетыми независимо от того, что на них надето. У него была прекрасная улыбка, и, казалось, он не возражал против моего вторжения в его мир. На этот раз шутка для разрядки обстановки прозвучала с его стороны. Отбросив шутки, я спросила: «Давайте взглянем на серьезные взломы, произошедшие в вашей сети. Карл, по вашему мнению, что происходит?»

К моему удивлению, Карлу не казалось, что взломы были серьезными. Он будто бы жил в призрачном мире. Он полагал, что у него работает один из самых лучших в мире администраторов брандмауэра. В конце концов, Джозеф отлично работает, поддерживая брандмауэр, и точно знает, что делать, когда что-то идет не так.

Я сказала: «Послушайте, Карл, ведь если кто-то знает, как заткнуть дыру, то это не значит, что он знает, как построить плотину». Карл ничего не ответил. Возможно, он не понял моей точки зрения.