ИБ, та, которая прикладная, с тестами на проникновение, должна учитывать еще и утечку. Пожалуй, подкину на вентилятор для размышления.
Порция первая. ПБ и ОТ
Информационная безопасность — всегда конфликт интересов СБ, ИТ и, как бы это ни звучало странным, ПБ и ОТ.
Какая промышленная безопасность? Какая охрана труда? Да мы о чем вообще?
Не, я понимаю СБ — служба безопасности, у них в крови обеспечивать безопасность, жестить по максимуму, чтобы всех контролировать, чтобы шагу без их ведома сделать было нельзя. Не ну а «чо»…
Я понимаю — ИТ — информационные технологии, у них в крови сделать максимально просто и доступно, использовать одну админскую учётку на всех серверах. чтобы не возиться с настройкой прав в различных системах, чтобы не возиться с настройкой кросс-доменных, кросс-системных, кросс-сервисных прав. Яя…
Вот у СБ и ИТ всегда конфликт интересов — это всем очевидно. Грамотный ИТ всегда немного СБ, а грамотный СБ всегда немного ИТ. Но при чем тут ПБ и ОТ? Инженер по охране труда практически всегда не ИТ и не СБ, и ему на них пофик.
Пока придется поверить в то, что тут вдруг третий участник затесался, ну или можно немного подумать… пока читаете далее.
Порция вторая. СКУД, АПС, СОУЭ, СМИС и СМИК
СКУД — тут можно не сомневаться, если есть СБ, то СКУД — прерогатива СБ, и СБ приложит все усилия, чтобы забрать эту систему у ИТ, ибо нефик.
АПС (я не про пистолет, а про пожарную сигнализацию) — если СБ не лень, то это будет на контроле у СБ, но скорее у ПБ и ОТ, а ИТ и вовсе вряд ли будут отвечать за эту систему.
СОУЭ — как правило там же, где и АПС, да и нет смысла разделять и отделять их друг от друга.
СМИС и СМИК — обычно эта инженерка в диспетчеризации и у соответствующих инженерных служб, но бывают ситуации, когда СМИС и СМИК интегрированы с СОУЭ, и достаточно часто.
О чем это я? Ах, да, СОУЭ — эта система сломает вашу ИБ («вашу» с маленькой буквы, потому что про вашу компанию, а не про неуважительное отношение к Вам). Еще не догадались? Смотрите, у вас есть регламенты от СБ, у вас есть требования к ИТ в части ИБ, вы со всех сторон прикрыли пути проникновения злоумышленников, вы вроде контролируете их активности во всех возможных ИТ системах, вроде вы полностью контролируете периметр на вход и выход, а еще вы ознакомили всех сотрудников с вашей ИБ под роспись, и даже DLP внедрена.
Но тут пришел инженер по охране труда и повесил на стену план эвакуации при пожаре.
Да о чем это я?
Предлагаю снова думать дальше.
Порция третья. Проникновение
У вас все круто с СБ, все круто с ИТ, но тем не менее, ваша компания умудрилась «пропустить шпиёна» внутрь здания, возможно даже с экскурсией в вашу святая-святых — серверную, или ЦОД, а может просто по вашему Open Space, где круто сидят все вместе — простые клерки и ген.директор вместе с другими ТОПами.
А может быть это не уличный «шпиён», а просто сотрудник, который уже у вас работает, ну и ему подкинули деньжат за вынос десятка 2,5" дисков SAS из вашей дисковой полки, ну или ноута фин.директора вместе с переносным зашифрованным битлокером диском, который фин.дир. сдает в сейф в конце рабочего дня, ну или с клиент-банком и флешкой с сертификатами, а заодно с хардварным RSA на той же связке ключей.
Не, конечно же у вас есть СКУД, и даже рамка металлодетектора, которая, конечно же, не позволит вынести этому «шпиёну» все вышеперечисленное. Ну и наверное вы этому шпиёну карточку гостевую сделали, он, чисто теоретически, если никто не накосячил, никуда попасть-то и не может, ну максимум в сопровождении если куда пройдет, да посмотрит на Open Space.
Уже интереснее.
В любом случае, мы рассматриваем данный факт, как свершившийся — чел внутри. А может быть так, что этого уже достаточно?
Порция четвертая. И все-таки, при чем тут ПБ и ОТ?
Наверное все уже догадались, что влияние ПБ и ОТ на ИБ прямое, непосредственное. Как, например, согласуется с ИБ тот самый план эвакуации при пожаре? Скорее всего никак, более того в 99,99% компаний он никак не согласуется с ИБ, потому что это промышленная безопасность и охрана труда. Обеспечение безопасности жизни сотрудников превыше всего — собственно я с этим и не спорю. Именно по этой причине, в случае срабатывания пожарной сигнализации, весь персонал незамедлительно покинет опасную зону — они ведь тренировались регулярно, спасибо инженеру по охране труда. Покинут они скорее всего здание, пройдя совершенно спокойно без досмотра и без остановок всю вашу систему контроля доступа насквозь, тупо проигнорировав все регламенты СБ. Вах…
Но как? Так очень просто — ПБ и ОТжешь…
Детали? Их есть у меня.
Вы много денег выделяли на СКУД, АПС, СОУЭ, СМИС и СМИК, крутой системный интегратор предложил вам афигительное решение на базе одного вендора, все системы интегрированы друг с другом, и во главе угла СОУЭ. Все двери у вас противопожарные с антипаникой, в них конечно же есть модули СКУД, и в обычной ситуации их без ключа или отпечатка паьлца не открыть, но СОУЭ сводит на нет весь СКУД при определенных условиях — при сработке АПС. Хе-хе. А еще, если у вас сейсмоактивная зона, то СМИС и СМИК тоже влияют на СКУД. Правда, если с АПС все просто — достаточно что-то запалить, то со СМИС и СМИК немного сложнее, воздействовать на них не так просто напрямую, вывод в аварийные ситуации сложен, но никто не отменял диверсий на линии передачи данных, да и на сами датчики — сигналов для сработки СОУЭ может быть предостаточно.
А может вы выделяли не сильно много денег, системы все разные, дешевый Болид — наше все, но и в этом случае при сработке АПС включается СОУЭ и открывает все двери наружу, или напрямую АПС выдает сигнал в сторону СКУД. Потому что так положено — выходи мил шпиён.
Остается ознакомиться с планами эвакуации при пожаре, увидеть точку сбора при эвакуации за территорией предприятия, за воротами, приглядеть цель, найти датчик, закурить.
Порция пятая. Не, у нас же есть CCTV, мы найдем потом же
Скорее всего да, найдете, на видео записях. Но ведь мы же взрослые люди, мы должны понимать, что человек, который идет на подобные действия — «самоубийца», он не планирует вернуться к вам на работу завтра, он не планирует поехать домой и начать бухать на «заработанные» на сделке, скорее всего он планирует свалить, как можно дальше и как можно быстрее. А значит искать его будет практически бесполезно. Да и зачем его искать. если то, что нужно, уже сперли.
Да и как быстро вы обнаружите, что у вас что-то сперли? Час, два? Тинькофф банк достаточно шустро исполняет.
Заключение
А при чем тут пентестер, да еще и прикладной?
Мы всегда рассматриваем проникновение и диверсии, но мы редко когда задумываемся о том, как будут выносить информацию/ценности (что тождественно) в случае успешного проникновения, и пентестер показывает нам возможности для проникновения и диверсий, а пентестер прикладной показывает нам возможности для утечки, для выноса.
Когда Вы начнете писать регламент ИБ, когда будете согласовывать его с СБ, не забывайте про ПБ и ОТ — у них всегда иной взгляд на безопасность. На их стороне закон, который необходимо соблюдать. На их стороне те же пожарники, которым фиолетово на ваши регламенты по ИБ и на вашу СБ, а посему Вам придется искать варианты вместе с ПБ и ОТ, при которых и овцы целы, и волки сыты — и эвакуация проведена, и никто без досмотра не вышел. И хуже всего, что ПБ и ОТ не заставить исполнять что-то, что противоречит закону — это Вам на пару с СБ придется приводить свои регламенты в соответствие с планами ПБ и ОТ.
Сложно, но не невозможно, да и сюрпризом уже не будет.
И да, в этом небольшом опусе я рассматриваю варианты с АПС и СОУЭ как один из векторов атаки, но сквозь рамки без досмотра еще выходят представители скорой помощи и сильно больные на носилках — так для размышлений…