עכשיו זה זמן טוב, כאשר אני לא עובד באף חברה, לשחרר את הסיפור הזה, בלי שהוא ישויך למקום עבודה ספציפי (ולא, אין טעם לנחש, אני לא אאשר ולא אכחיש שום ניחוש). מקרה שקרה באמת, כולל עדים אנושיים וממוחשבים, ומעניין אותי לשמוע מה אתם (אצבע מורה כלפיכם, פאוזה ארוכה) הייתם עושים ומה אתם (אצבע מורה כלפיכם, פאוזה ארוכה), הייתם מרגישים.
נוהל הטיפול בחברה באירועי אבטחת מידע של עובדים, כגון קוד זדוני, שימוש בהרשאות של אחרים, התקנה/שימוש בתוכנות אסורות וכדומה היה מוסדר למדי וכלל רישום בקובץ אקסל מסודר בכדי שתהיה היסטוריה לכל עובד סורר וגם משלוח מייל מפורט לעובד ולמנהל הישיר שלו, כולל אסקלציות למתמידים.
יום אחד פנה אלי, חיוור למדי, קולגה צעיר, שבזמן המדובר היה חדש בעבודה והוא היה עובד במיקור חוץ, וביקש שאני, בתור זה שהוא כן עובד חברה, ובתור הוותיק וזה שאין לו אלוהים, אטפל במקרה הזה, כי הוא היה אובד עצות וקצת פחד לגעת במקרה הזה.
מה היה העניין?- מערכת ה-IPS ברמת הקליינט (או HIPS, Host based IPS) מצאה וחסמה פעילות תקשורתית של התקנת eMule. יפה, לא משהו נורא ולא משהו נדיר, אבל בהחלט משהו שדורש התייחסות, בייחוד כאשר לרוב העובדים אין הרשאות ניהול במחשב שלהם, אלא רק למי שצריכים זאת לתפקידם.
ומי היה הזוכה המאושר?
לא פחות מאשר מנהל מחלקת אבטחת המידע. Our fearless leader כמו שאומרים.
היה לו מחשב נייד שמזמן לא הופיע במערכות הניהול של הארגון, כי כנראה הוא לקח אותו לביתו והפך אותו למחשב ביתי נוסף, ומסיבה כלשהי היה לו צורך להתחבר לארגון ב-SSL VPN והוא רק שכח שנפתחה תקשורת עבור קליינט ה-HIPS לדווח מבחוץ למערכת הניהול… אופס.
כן, לא היתה לי ברירה והתקשרתי אליו. הוא אישר מייד את הממצאים בקול בוטח ואמר שהוא ידאג לפרמט את המחשב ושאפשר בהתאמה למחוק את רישום המחשב הזה ממערכת ניהול ה-HIPS כי ממילא הוא ידאג שהמחשב הזה יפורמט (מה גם שמחיקת האובייקט ממערכת הניהול תמחק גם את היסטורית הרישום של פעילות ה-eMule…)
כן, אני משער שלאחר השיחה שלי איתו הוא הבין למה ה-eMule לא עבד לו. והמצחיק הוא שיש לו הרשאות לנטרול ה-HIPS במחשב שלו, רק שהוא לא קלט מה "הבעיה" ולכן בהתאמה לא ניטרל את ה-HIPS.
מצד אחד, למען הסדר הטוב ולמניעת אפליה – רשמתי את האירוע בקובץ האירועים. בכל אופן, הוא עובד חברה.
מצד שני, לא עשיתי כלפיו את מה שעשיתי מול עובדים אחרים, לא שלחתי לו ולמנהל הישיר שלו (מנהל אגף תשתיות, שבעצמו לא שם את אבטחת מידע בראש דאגותיו, מאוד בלשון המעטה) את מייל הנזיפה הסטנדרטי. בהתאמה גם לא דיווחתי על כך למנהל שלו בערוצים אחרים – לא טלפונית וגם לא בע"פ. זה נראה לי חסר טעם. לדווח למנהל האגף שמנהל אבטחת המידע התקין eMule? אותו eMule שבגללו אנו פועלים נגד עובדים מן המניין?
מה גם שהם חברים נורא, אבל נורא, טובים.
כלום לא היה יוצא מזה, כמו הרבה דברים שלא יצא מהם שם דבר, מעבר לידי חובה, להראות שעבודה כלשהי מבוצעת.
ביום ההוא נשבר סופית האמון שלי באדם הזה.
כמובן שהמקרה הזה היה הפתעה, כי לא ציפיתי לרמה כזו, אבל זו לא היתה הפתעה גמורה כי הכרתי את האיש עוד מקודם כמי שיודע לדבר את הדיבור המקצועי, האבטחתי, ה"נכון", אבל בפועל הוא יודע להשתמש בתפקיד באופן פוליטי ולשחרר את החבל למי שהוא חפץ ביקרו (או לחילופין חושש מכוחו), וגם דאג למנות תחתיו מנהלים חלשים ואומרי הן שלא יאיימו על מעמדו.
אבל כמובן שהמשכתי לעבוד מולו כרגיל, כאילו דבר לא קרה, עוד יותר משנה. אדם שמפרנס משפחה צריך לבלוע הרבה צפרדעים ולשתוק בכדי לשמור על מקום עבודתו, גם אם הוא מת מבפנים מחדש בכל יום עבודה.
זה קשה לעבוד במקצוע הזה בלי איזו שרשרת אמון. זה לא מקצוע רגיל. יש בו, לדעתי בכל אופן, משהו קצת שונה, משהו שאמור להיות יותר ערכי לעומת מקצועות IT אחרים (בלי להפחית מחשיבותם של מקצועות ה-IT האחרים).
אז אני רוצה לשאול אתכם – איך אתם הייתם מרגישים? מה הייתם עושים? נוהגים כמוני? אחרת?
ידידי הטוב
תמים אתה למדי במשבר האמון הזה כפי שאתה מתאר אבל אני מקווה כי תצליח לשמור עליה, על התמימות ולהמשיך לשים מבטחך ויהבך על אנשים בהמשך הדרך.
אתה לא דון קישוט חושבני ולמרות המחשבה כי יכול אתה לשנות את העולם אתה אינך
יכול אתה להיות אחראי על עולמך המצומצם , לשמור ולהגן עליו מכל פולש באשר הוא תוך כדי שמירה על הלחם והחמאה שלך
יש לי הרגשה עמומה שאם האירוע היה טראומתי יותר ובעייתי ממה שתואר היית נוקט אחרת ופועל ומדווח למי שצריך
טוב עשית נדמה לי , אני מקווה כי אתה חי בשלום עם מעשיך , כי באם לאו….
סיפור יפה…
אני חושב שזה מדגים מצוין את כל הבעיה היסודית של אבטחת המידע: המשתמשים 🙂
אפשר להציב אלף מנגנוני הגנה כנגד קוד זדוני, אבל בסופו של דבר זהו מאמץ
חסר תועלת בטווח הארוך: המשתמשים יעקפו את מנגנוני ההגנה בעצמם. משתמשים רוצים
מידע, והצלחת הניסיונות למנוע מהם גישה אל המידע שהם רוצים תלויה באופן ישיר
במוטיבציה שלהם להשיג את המידע הזה. במקרה הזה, הבחור רצה להוריד משהו מ-emule,
וזה היה חשוב לו יותר מכל דבר אחר…
פוסט מרתק!
רן
אני מניח שזה לא ארגון רגלוטורי – שם אבטחת מידע לא כפופה לתשתיות
בארגון היררכי – תמיד(כמעט) החזקים שורדים
איתן, מבלי להכנס לפרטי המקרה הספציפי הזה שאני לא מכיר, אני
יכול לומר שני דברים.
א. מניסיוני, אין הגבלת הרשאה שאי אפשר לעקוף, אם מישהו מאוד מאוד רוצה.
ואם יש הגבלה כזו, היא כנראה כל כך מגבילה שהיא קרוב לוודאי הופכת
את המחשב לבלתי שמיש לצרכים מעשיים.
ב. במקרה של אבטחת מחשבים, אחוזים גבוהים זה לא מספיק. די במשתמש
אחד, שיחדיר תוכנה זדונית אחת, לתוך מחשב אחד ברשת. האבטחה צריכה להיות מושלמת במאת האחוזים, כי ברגע שנעשתה החדירה- יש פוטנציאל לנזק חמור, ומכאן זה רק
עניין של מזל.
רן
עמוס, תבדיל בין תמימות לבין ערכיות. כאמור, האיש כבר היה מוכר לי עוד לפני המקרה הזה כבעייתי. בעיניי, לא ייתכן מצב שבו מנהל אבטחת מידע מבצע דברים המנוגדים ישירות לאג'נדה של תפקידו, כאשר עובדים אחרים שעשו מעשים כאלו מקבלים ריג'קטים מאוד ברורים ופומביים, בהנחייתו, בידיעתו ובגיבויו. מקרה כזה מעיד יותר מכל דבר אחר שהאיש לא באמת הפנים את מהות תפקידו ואת החובות וההגבלות האישיות המתלוות לתפקיד הזה.
אני בהחלט לא מנסה לשנות את כל העולם, אבל החברה שילמה לי בכדי לקיים ולקדם את אבטחת המידע בארגון, זו "הפינה" שאני הייתי מופקד עליה, לצערי במקרה זה ובאחרים לא היה ממש שיתוף פעולה מלמעלה, שלא לומר להיפך.
ברור שאם המקרה היה חמור יותר הייתי ממשיך במעלה ההיררכיה הארגונית.
עשיתי את מה שאיזן בין המצפון המקצועי שלי לבין ידיעתי מה יכולת ההשפעה שלי בחברה. אני שלם עם מעשיי.
רן, אני לא מסכים. שים לב, למנהל היו הרשאות ניהול במחשב שלו ולכן בכלל היה יכול להתקין את התוכנה. יש הרבה מה לעשות בכדי להגביל משתמשים והתהליך בהחלט אינו אבוד מראש, גם לטווח הארוך. נכון שאין 100% אבל האחוזים בהחלט גבוהים.
היי,
יופי של פוסט, אני בטוח שאם נעשה סקר קצרצר בין קוראי האתר אפילו ברור לי שרבים נוספים נתקלו בבעיה.
גם המנהלים הגבוהים ביותר מסתכלים על הנוחיות שלהם והרצון לעבוד כציפור חופשית למרות שהם אלו הממונים על אבטחת מידע.
אני חושב שגרוע מכך הוא לראות מחשב של מנכ"ל או אדם בכיר אחר המגיע לעשות מצגת בפני עובדים או לקוח ועל הדסקטופ שלו יש אייקון של אימייול או משהו בסגנון – בארגון שבו הוא זה שאמור לשמש דוגמא לכלל העובדים.
הכל מתחיל ונגמר במודעות ובהבנה – הטכנולוגיה תעמיד תעקף.
האם יש פה עוד מישהו שנתקל בתופעה דומה ?
חיים ציבוטרו
http://chibotero.blogspot.com –> iPhones in Israel & more
את התמימות שלך כבר הזכירו. היא יפה עד גבול מסוים. אני מסתכל על חוסר המקצועיות של האיש. היה צריך להבין למה הוא חסום או לחילוין לפעול להסרת החסימה.
כנראה שאני מפספס משהו, עמוס ואבי. בבקשה תסבירו לי את התמימות שלי. תפרטו, שאלמד משהו.
בהרבה ארגונים יש בעלי תפקיד שבטוחים שחוקי הארגון לא נוצרו עבורם. יש גם מקרים רבים מתועדיםם וכאלו שאינם מתועדים, בהם בעלי תפקיד שלטוני בטוחים שחוקי המדינה לא נועדו עבורם. גם אתה בחרת לא להגיב בצורה המקובלת אם אותו בעל תפקיד. גם המדינה בוחרת (לפעמים) להקל בעדות שקר ששל שר כזה או אחר, באותו מקום בו אתה או אני היינו חוטפים את מירב העונש.. זה העולם. אם אתה לא מכיר בזה – אתה תמים.
תודה על ההבהרה אבי. בהחלט מכיר בזה אבל מנסה, ככל שאני יכול, להילחם בזה. אני לא תמים כי אני מכיר בבעיה, אבל בהחלט מודה בתמימות בניסיון להילחם בה, ככל שאני יכול.