עכשיו זה זמן טוב, כאשר אני לא עובד באף חברה, לשחרר את הסיפור הזה, בלי שהוא ישויך למקום עבודה ספציפי (ולא, אין טעם לנחש, אני לא אאשר ולא אכחיש שום ניחוש). מקרה שקרה באמת, כולל עדים אנושיים וממוחשבים, ומעניין אותי לשמוע מה אתם (אצבע מורה כלפיכם, פאוזה ארוכה) הייתם עושים ומה אתם (אצבע מורה כלפיכם, פאוזה ארוכה), הייתם מרגישים.
נוהל הטיפול בחברה באירועי אבטחת מידע של עובדים, כגון קוד זדוני, שימוש בהרשאות של אחרים, התקנה/שימוש בתוכנות אסורות וכדומה היה מוסדר למדי וכלל רישום בקובץ אקסל מסודר בכדי שתהיה היסטוריה לכל עובד סורר וגם משלוח מייל מפורט לעובד ולמנהל הישיר שלו, כולל אסקלציות למתמידים.
יום אחד פנה אלי, חיוור למדי, קולגה צעיר, שבזמן המדובר היה חדש בעבודה והוא היה עובד במיקור חוץ, וביקש שאני, בתור זה שהוא כן עובד חברה, ובתור הוותיק וזה שאין לו אלוהים, אטפל במקרה הזה, כי הוא היה אובד עצות וקצת פחד לגעת במקרה הזה.
מה היה העניין?- מערכת ה-IPS ברמת הקליינט (או HIPS, Host based IPS) מצאה וחסמה פעילות תקשורתית של התקנת eMule. יפה, לא משהו נורא ולא משהו נדיר, אבל בהחלט משהו שדורש התייחסות, בייחוד כאשר לרוב העובדים אין הרשאות ניהול במחשב שלהם, אלא רק למי שצריכים זאת לתפקידם.
ומי היה הזוכה המאושר?
לא פחות מאשר מנהל מחלקת אבטחת המידע. Our fearless leader כמו שאומרים.
היה לו מחשב נייד שמזמן לא הופיע במערכות הניהול של הארגון, כי כנראה הוא לקח אותו לביתו והפך אותו למחשב ביתי נוסף, ומסיבה כלשהי היה לו צורך להתחבר לארגון ב-SSL VPN והוא רק שכח שנפתחה תקשורת עבור קליינט ה-HIPS לדווח מבחוץ למערכת הניהול… אופס.
כן, לא היתה לי ברירה והתקשרתי אליו. הוא אישר מייד את הממצאים בקול בוטח ואמר שהוא ידאג לפרמט את המחשב ושאפשר בהתאמה למחוק את רישום המחשב הזה ממערכת ניהול ה-HIPS כי ממילא הוא ידאג שהמחשב הזה יפורמט (מה גם שמחיקת האובייקט ממערכת הניהול תמחק גם את היסטורית הרישום של פעילות ה-eMule…)
כן, אני משער שלאחר השיחה שלי איתו הוא הבין למה ה-eMule לא עבד לו. והמצחיק הוא שיש לו הרשאות לנטרול ה-HIPS במחשב שלו, רק שהוא לא קלט מה "הבעיה" ולכן בהתאמה לא ניטרל את ה-HIPS.
מצד אחד, למען הסדר הטוב ולמניעת אפליה – רשמתי את האירוע בקובץ האירועים. בכל אופן, הוא עובד חברה.
מצד שני, לא עשיתי כלפיו את מה שעשיתי מול עובדים אחרים, לא שלחתי לו ולמנהל הישיר שלו (מנהל אגף תשתיות, שבעצמו לא שם את אבטחת מידע בראש דאגותיו, מאוד בלשון המעטה) את מייל הנזיפה הסטנדרטי. בהתאמה גם לא דיווחתי על כך למנהל שלו בערוצים אחרים – לא טלפונית וגם לא בע"פ. זה נראה לי חסר טעם. לדווח למנהל האגף שמנהל אבטחת המידע התקין eMule? אותו eMule שבגללו אנו פועלים נגד עובדים מן המניין?
מה גם שהם חברים נורא, אבל נורא, טובים.
כלום לא היה יוצא מזה, כמו הרבה דברים שלא יצא מהם שם דבר, מעבר לידי חובה, להראות שעבודה כלשהי מבוצעת.
ביום ההוא נשבר סופית האמון שלי באדם הזה.
כמובן שהמקרה הזה היה הפתעה, כי לא ציפיתי לרמה כזו, אבל זו לא היתה הפתעה גמורה כי הכרתי את האיש עוד מקודם כמי שיודע לדבר את הדיבור המקצועי, האבטחתי, ה"נכון", אבל בפועל הוא יודע להשתמש בתפקיד באופן פוליטי ולשחרר את החבל למי שהוא חפץ ביקרו (או לחילופין חושש מכוחו), וגם דאג למנות תחתיו מנהלים חלשים ואומרי הן שלא יאיימו על מעמדו.
אבל כמובן שהמשכתי לעבוד מולו כרגיל, כאילו דבר לא קרה, עוד יותר משנה. אדם שמפרנס משפחה צריך לבלוע הרבה צפרדעים ולשתוק בכדי לשמור על מקום עבודתו, גם אם הוא מת מבפנים מחדש בכל יום עבודה.
זה קשה לעבוד במקצוע הזה בלי איזו שרשרת אמון. זה לא מקצוע רגיל. יש בו, לדעתי בכל אופן, משהו קצת שונה, משהו שאמור להיות יותר ערכי לעומת מקצועות IT אחרים (בלי להפחית מחשיבותם של מקצועות ה-IT האחרים).
אז אני רוצה לשאול אתכם – איך אתם הייתם מרגישים? מה הייתם עושים? נוהגים כמוני? אחרת?
במקרים של בכירים שעושים שטויות מהסוג המצויין למעלה , אני נוקט לעיתים בשיטת "הניפוח המדומה".
כך אני מגייס את כל הנפשות הפועלות לפעולה ובאותה נשימה מעצים את נושא אבטחת המידע.
הטריק הוא פשוט :
יש להוריד את האשמה מהבכיר בכדי לקבל שיתוף פעולה חיובי כלומר, אני פונה אליו כאשר הבעיה שאני מציג היא ש"הותקן" אצלו כנראה דרך וירוס או גורם לא ידוע אחר ( האקר? ,עובד ממורמר?הילד שלו שעבד על הנייד?) רכיב תקשורת P2P חשוד . באותה נשימה אני מודיע לו כי העלתי מעט "כוננות" וותקשרתי את האירוע לצוותים אחרים ( אם בארזים נפלה שלהבת…) ,לבדיקה של תופעות ברשת ושאר ירקות ,מבקש ממנו שיסיר את ההתקנה בכדי שאוכל לבדוק האם קיימים רכיבים נוספים שהותקנו על המחשב שלו ועדיין מנסים "לצאת".
תתפלא כמה בכירים ישתפו איתך פעולה ויתכן כי יהיו לוביסטים שלך בעתיד לשלל ההקשחות שאת מתכננן למרות שהם יודעים בליבם כי הם הם אלו שהתקינו את ה EMULE
וגם אם לא – אני בטוח שלא יתקינו בשנית.
רעיון חביב c00p, אבל לא מתאים למנהל אבטחת המידע עצמו… הוא איש טכני והוא ידע טוב מאוד מה הוא עשה. אין טעם במשחקים עימו. אני מקווה שהוא לפחות קצת התבאס שהתקשרתי אליו בנושא ואולי קצת חשש שאעשה מזה רעש על חשבונו (מה שלא קרה).
יש לי יותר מדי מה להגיד אז אני רק אגיד…."אין לי מילים"
אלדד
שלום ידידי,
טוב עשית שלא דיווחת למנהל האגף, הרי כמו שחשבת, לא היה יוצא מזה כלום, להיפך, היו רואים בך כמי שמנסה לפגוע בחברה.
הרבה מאוד אנשים מנסים "להפיל" את אותה שרשרת ניהול מברזל אך לשווא. הם יושבים מאוד "חזק" על הכיסאות שלהם וכל מי שמנסה להרים את הראש "חוטף" מכה. במקרה הטוב יפטרו אותו ולא יסתכלו אפילו לכיוון שלו, לא משנה כמה הוא תרם וכמה הוא פעל למען החברה.
בכל אופן, כמי שמכיר אותך באופן אישי, אני יודע שאתה איש גאון באבטחת מידע ובמקום הבא אליו תגיע תנהל את העיניינים בצורה הטובה ביותר.
איתן שלום,
אני שמח שחזרת לעדכן את הבלוג, כיף לקרוא פוסטים שלך.
לגבי הסוגיה שציינת מאחר וגם אני נתקלתי באותה סיטואציה בדיוק אני מבין אותך ואת תחושתיך עד מאוד.
מעבר לכך , במקרה שלי אותו בוס היה מוריד גם קבצי Keygen לכל מיני אפליקציות.
יחסי העבודה שלי היו עימו מקצועיים מאוד כולל טיפול בתקריות אבטחת מידע (incident handling)
ואף יחסי האנוש היו מצויינים.
מעבר לשיחות איתו שלא הועילו ,מצגות שהכנתי ,כתיבת דוחות והערכת סיכונים ,לא היה ניתן לעשות יותר מידי שכן המומנה עליו היה סמנכ"ל תפעול שלא היה איכפת לו יותר מידי ,במיוחד בתאגיד עולמי של ייצור ששם איכפת המשלוחים,הכמות , הייצור ולא עוד איזה איש שמוריד CRACKS (כולנו יודעים מה המשעויות של תולעת שמתפשטת לך במערכת SCADA).
לאחר שגם איש אבטחת מידע נוסף העביר את הממצאים במייל בתפוצת נאט"ו , לא הייתה כל התייחסות מצד ההנהלה הבכירה מאחר והעריכו את אותו מנמ"ר מאוד.
בסופו של דבר לא יכולתי עוד עם גישה זו והגשתי מכתב סיום יחסי עובד מעביד.
אין מה לעשות,לפעמים הפוליטיקה הארגונית חזקה יותר מכל טכנולוגיה קיימת.
אני בטוח שאם תבצע כאן סקר ותשאל כמה פעמים בחיים שלכם נאלצתם לפתוח הרשאה כלשהי\גישה למדיה מגנטית לאדם שלא הגיש שום טופס מסודר,שהוא לא באמת צריך את זה,שזה סתם סיכון אבטחה מיותר רק בגלל שהבוס שלכם מקושר איתו ורוצה ליצור יחסי ציבור על חשבונכם?
מענין אותי מה יהיו התוצאות אני מאוד סקרן.
איתן יקירי,
כאחד שמכיר את הנפשות הפועלות,אני חייב להגיד שלא "נפלתי מהכיסא" מהמקרה.
כאדם נורמטיוי ובעל משפחה מחד וכאדם בעל עקרונות ומצפון מאידך,אני בטוח שנלחמת בעצמך איך להגיב.
לא היית מציל את העולם,ולא היית מחנך את אותו "עבריין",פעם הבאה הוא לא יחדל אלה רק יהיה יותר חכם וזהיר לא להיתפס.
אני מאחל לך הצלחה ובריאות לך ולמשפחה.
חבר.