Состояние ИТ-инфраструктуры предприятий в Казахстане

На написание этого поста меня подвигла статья "Казахстанские хакеры ограбили полтора десятка компаний на 320 млн тенге".

Денис Сухачев подозревает сговор, на том основании, что современные системы интернет-банкинга имеют несколько линий защиты. Сертификат, сеансовый аппаратный ключ, пароль.

Но я сомневаюсь в сговоре. Такие многоуровневые технологии защиты используют не все банки, и это веяния последних лет. Речь идет о 2010-м годе. Многие программы интернет-банкинга и тогда и сейчас используют для защиты только сертификат и пароль. Есть еще аппаратные ключи, но их тоже, бухгалтеры зачастую оставляют постоянно подключенными к компьютеру, а не используют только на время работы с банком.

При заражении компьютера трояном можно перехватывать все нажатия клавиш, и таким образом узнать пароль. Сертификаты же зачастую лежат на этом же компьютере в папке которая зачастую так и называется - "ключи банка". И такое я не раз такое встречал. Сертификаты именно от банк-клиента. Ну или просто вытащить его из системы. Это тоже возможно.

Не обязательно быть высококвалифицированным программистом, чтобы научиться использовать эти хакерские инструменты. Вопреки расхожему мнению, много ума для этого не нужно. Но что однозначно для этого нужно - это безответственное отношение пользователя к вопросам компьютерной безопасности. Основные правила безопасной работы за компьютером давно известны:

1. Использовать антивирусное программное обеспечение, желательно с функцией защиты от интернет-угроз.
2. Не работать в системе с правами администратора.
3. Использовать лицензионное программное обеспечение.

Обычному пользователю эти правила мало о чем говорят. Что еще за права администратора такие. Но обычные пользователи редко подготавливают компьютер к работе. Обычно этим занимаются системные администраторы, на которых и лежит ответственность за настройку компьютера таким образом, чтобы минимально обеспечить необходимую безопасность пользователя и его данных, и обучить пользователя правилам безопасной работы за компьютером.

Квалифицированных специалистов мало в Казахстане. В основном это молодые ребята, которые называют себя "программистами" при том что ни одного алгоритма в своей жизни не закодировали, и максимум что умеют - это установить ОС Windows.

Но не об этом я хотел сказать. А о том, как вообще такое стало возможно, что в крупных компаниях, где на счетах аккумулируются по несколько миллионов, а то и миллиардов тенге, на компьютер бухгалтера можно установить троян, и совершить такое преступление.

К сожалению, должен сказать, что грамотно построенная ИТ инфраструктура с учетом соблюдения рекомендаций по компьютерной безопасности в казахстанском бизнесе и госструктурах - это скорее исключение, нежели правило.

И ответственность за это в первую очередь несут первые руководители этих организаций, которые далеки от компьютерных технологий, и уделяют мало внимания и ресурсов этим вопросам. Именно благодаря их безответственному отношению к развитию безопасной ИТ инфраструктуры, такие преступления становятся возможными.

В качестве примера, я расскажу о своем опыте. Меня год назад пригласили в одну крупную компанию. На счетах которой тоже аккумулируются миллиарды. Позвали как системного аналитика и программиста.

Когда я пришел туда, я просто ахнул. За ИТ отвечал один "специалист", уровень знаний которого можно назвать как "опытный пользователь"  но не более.  Он выполнял роль специалиста технической поддержки, другими словами - мальчика на побегушках. В организации около 100 компьютеров, распределенная сеть филиалов. Была одноранговая сеть, где каждый IP адрес компьютера был прописан вручную. Сеть была завирусована, лишь на 30% компьютеров был установлен антивирус. Причем на самых критически важных компьютерах с точки зрения бизнес-процессов антивируса как-раз-то не было. Компания имеет выделенный IP адрес, но этот IP адрес обслуживал сервер, на котором стояло устаревшее программное обеспечение, которое не обновлялось, устаревший интернет-шлюз, и почтовый сервер. И этот же сервер служил хранилищем документом и другой важной бизнес-информации (в том числе на нем хранились и сертификаты). Одним словом, уровень зрелости ИТ-инфраструктуры был на самом базовом уровне - хаотичном.

При таком печальном положении, своровать деньги с банковского счета не составляет особого труда. И супер хакером для этого не надо быть. И воровство это, не так легко заметить. Если особенно этих счетов несколько. И по ним интенсивно идут транзакции. Можно выявить только в результате аудита, на который требуются силы, средства и время. Автоматических  извещающих триггеров не предусмотрено, в случае расхождения суммы на счету и в бухгалтерской базе. Это надо делать только вручную.

Прежде чем писать программу, необходимо сначала обеспечить соответствующую инфраструктуру на базе которой эта программа будет работать. Нельзя запустить паровоз, предварительно не построив рельсы и железнодорожные станции.  Я начал строить ИТ-инфраструктуру с учетом необходимых рекомендаций по безопасности. И здесь я столкнулся с большим сопротивлением. Как пользователей, так и самого руководства.

Самым безответственным оказалось руководство, которое отказалось выполнять базовые требования компьютерной безопасности. Такие как пароль на вход в систему и в персональный профиль. Руководители сказали - зачем мне этот геморрой, я хочу, как раньше чтобы входило автоматически. И разумные доводы были тут бесполезны.

Сопротивление оказали и пользователи, причем разумные аргументы о необходимости таких мер никто слушать особо не желал, часто жаловались "вот мол раньше так хорошо было, никаких паролей, все удобно". Для многих оказалось непосильной задачей придумать себе пароль, отвечающий минимальных требованиям сложности. Безопасность и удобство использования лежат на противоположных полюсах. И зачастую пользователи пренебрегают безопасностью, в пользу удобства. Каждый шаг в пользу защиты от ИТ угроз приводил к ущемлению прав и удобства пользователей, и вызывал их жалобу и откровенное недовольство.  Но это скажем так мелочи.

Когда я начал касаться вопросов защиты бухгалтерской информации, таких  как например раздельный доступ к информации, чтобы к примеру кассир не мог видеть, какую зарплату получает директор - это вызвало особо яростное сопротивление. Хоть руководство и признало необходимость внедрения таких механизмов, но в реальности спустило эти предложения на тормозах. Так как главный бухгалтер посчитал это вмешательством в свою   "делянку"

Эти случаи я привел для примера. На самом деле проблем возникло очень много, основные корни этих проблем - некомпетентность пользователей, и безответственность руководства. Ну если еще с некомпетентностью пользователей путем уговоров и  многочисленных разъяснительных бесед еще можно как-то совладать. То вот с безответственностью руководства - тут я по большей части оказался бессилен. Наверное, только такие случаи с кражей денег или данных, как говориться, пока петух в одно место не клюнет, возможно возымеют свой эффект.

Я удивляюсь, как при таком низком развитии ИТ инфраструктуры предприятий в Казахстане, у нас там мало совершается компьютерных преступлений.

Ну и должен заметить, что некоторая доля ответственности лежит и на банках.  К примеру, чтобы установить и работать с системой интернет-банкинга от Сбербанка, пользователю необходимы права администратора.  А это явное нарушение базовых принципов компьютерной безопасности, и открывает возможность для вирусов и троянских программ проникнуть в систему. Такая же программа используется, если я не ошибаюсь и в Народном банке. Один разработчик. Разговаривал с сотрудником Сбербанка, он сказал, что  банк собирается отказаться от использования этого программного обеспечения в 2015 году.

В заключение, могу сказать, чтобы исключить такие случаи с кражей денег посредством ИТ инструментов, и уменьшить количество компьютерных преступлений, необходимо совершенствовать ИТ инфраструктуру предприятий, и повышать уровень ее зрелости.  Эта стратегическая задача, и поэтому ответственность за этот процесс я возлагаю на топ-менеджмент предприятий. Малому бизнесу рекомендуются отдать эти вопросы на аутсорсинг профессиональным компаниям, а не "знакомому" итшнику, который "берет недорого". Возьмет то он недорого, но вот не обеспечит должного качества. С результатами такой некомпетентной работы я сталкиваюсь повсеместно.