Nestaňte se rukojmím systémového administrátora

Ján Chovanec | 16.05.2012 | Bezpečnost | 3 komentáře

Téma bezpečnosti a ochrany před odcizením informací nebo jiným zneužitím práv zevnitř firmy systémovým administrátorem je jednou z nejméně diskutovaných a velmi podceňovaných otázek. Příčina je víceméně jasná: administrátoři jsou považováni za to nejvyšší, co v podniku pro informační technologie existuje, a proto jsou vnímáni automaticky jako stoprocentně odpovědní zaměstnanci. V mnoha případech to tak určitě je a není důvod k obavám. Problém je však v tom, že tak jako v každé jiné profesi i zde se zapomíná na to, že velké pravomoci mohou svádět k nekalým činnostem.

Administrátor většinou nebude dělat problémy, dokud bude v dané organizaci regulérním zaměstnancem, protože všechny komplikace by byly připisovány pravděpodobně jemu a musel by je řešit, případně za ně nést i patřičnou odpovědnost. Potíže proto mohou většinou vzniknout až po jeho odchodu ze zaměstnání, ale tehdy je pro zaměstnavatele již pozdě provádět nějaká velká opatření. Proto by se mělo na spolehlivost zaměstnance a jeho profesionalitu přihlížet ještě v procesu přijímání nového člověka na jakékoli místo, o to více v případě obsazování vysoké pozice s velkými privilegii.

Výběr administrátora

První věc, kterou je třeba vyžadovat, jsou reference o tom, kde uchazeč pracoval v minulosti. Uchazeče o pozici administrátora je nezbytné informovat o tom, že si chcete ověřit spokojenost bývalých zaměstnavatelů s jeho prací. S tím by neměly být žádné komplikace. Kdyby však odmítal, může to být známka toho, že měl v předešlých zaměstnáních problémy.

Lepší cesta, jak najít spolehlivého člověka, je osobní doporučení. Uvedené opatření je však vhodné provést i přesto, že člověka doporučoval někdo, koho dobře známe a důvěřujeme mu.

Úplně nejlepší možností je přijmout na pozici administrátora člověka, kterého dobře známe a víme o něm, že je spolehlivý. Tento způsob však není častý, protože ne každý zná člověka z oboru, který by byl navíc bez práce nebo hledal nové pracovní místo, případně mu možná zaplatit více, než vydělává na aktuální pozici.

Zkušební doba

Tak jako v jiných zaměstnáních i v případě pozice systémového administrátora by měla být zkušební doba při přijímání nového zaměstnance samozřejmá. Nový administrátor by měl mít přiděleno minimální oprávnění, přičemž kontrolovat a navigovat by ho měl důvěryhodný a technicky vysoce kvalifikovaný odborník.

Ten si hned všimne jeho dovedností, případně odhalí to, zda už v prvních dnech v novém zaměstnání není jeho „pracovní náplní“ hacking firemních systémů.

Dobře postavená pracovní smlouva

Pracovní smlouva a její dodatky by měly být jakousi osnovou náplně práce a oprávnění administrátora. Je potřeba v ní definovat jak povinnosti, jakož i oprávnění. To v případných soudních sporech může být klíčovým důkazem, že administrátor nejednal tak, jak měl. Administrátor by měl přesně vědět, k jakým systémům má oprávnění přistupovat, zasahovat do jejich nastavení nebo je sledovat.

Ochrana důležitých dat

Právě data představují ve firmě tu nejcennější hodnotu, která často několikanásobně překračuje cenu hardwaru, na kterém jsou uložena. Zabránit administrátorovi v přístupu k interním datům firmy lze nejlépe prostřednictvím klasifikace dat.

Data, jako je např. pracovní pošta zaměstnanců či životopisy, pracovní smlouvy, výplatní pásky a výrobní projekty, by měla být příslušně rozdělena, klasifikována a za každý druh nebo kategorii dat by měla nést odpovědnost určitá osoba. Taková metoda klasifikace dat chrání dokumenty před zneužitím jak zevnitř, tak zvenku firmy. Bohužel, podobný přístup se v mnoha firmách často neaplikuje a administrátorovi zůstává většinou možnost přístupu ke všem systémům, kde se důležité dokumenty nacházejí.

Ochrana jednotlivých systémů

Pokud si chce firma vybudovat o něco silnější ochranu, musí přistupovat jednotlivě ke každému systému. Jelikož v mnoha organizacích není rozpočet dostatečné velký na to, aby dokázal pokrýt náklady na více administrátorů (systémový správce, správce sítě / desktopů a bezpečnostní expert), má jedna osoba přístup ke všem informacím a počítačům.

Důležitá součást obecné ochrany je používání šifrování dat, které dopomůže k tomu, aby v případě odcizení byla data bezcenná. Často se také zapomíná na ochranu dat nacházejících se na klientských počítačích zaměstnanců firmy. Data v databázích jsou sice chráněna hesly a zamčenými dveřmi serverovny, ale jakmile je někdo z databáze získá (oprávněně například zaměstnanec, který s nimi pracuje), uloží je do souboru na svém PC, kde se stávají jednodušším terčem.

Vhodné je také nějakým softwarem monitorovat aktivitu jednotlivých serverů a zaznamenávat informace o provedených spojeních se serverem, ať už zvenčí, nebo zevnitř sítě. Nastavení a konfiguraci jednotlivých serverů, firewallů či systémů IPS / IDS značně zpřehlední záznamy, které by měl administrátor vést a udržovat vždy aktuální. To umožní i jinému pracovníkovi rychleji se zorientovat v nastaveních systémů a v případě potřeby zasáhnout.

Odchod administrátora ze zaměstnání

Nyní se dostáváme ke klíčovému zlomu, kdy často dochází ke zneužití vysokých privilegií administrátorů. Jde o odchod ze zaměstnání. Administrátor propuštěný z práce totiž často přistoupí k útokům na síť bývalého zaměstnavatele.

Výhoda takového útočníka je dokonalá znalost intranetu organizace. Administrátor ovládá topologii sítě, ví, jaké má síť servery, zná jejich operační systémy a běžící služby, antivirový software, konfiguraci firewallů atd.. Zná lidi z firmy, díky čemuž může mnohem jednodušeji než útočník zvenčí použít triky tzv. sociálního inženýrství. Nesmíme zapomínat ani na okamžitou změnu hesel do všech účtů, ke kterým měl administrátor přístup.

Je také potřeba přezkoumat nejkritičtější faktor – zda si administrátor nenainstaloval někde v síti zadní vrátka (backdoor). Ta mu totiž zajistí bezproblémové proniknutí do sítě organizace. Pokud je to možné, je nutné přeinstalovat zejména ty systémy, přes které je organizace připojena do internetu. Je důležité zkontrolovat nastavení firewallů, protože právě ty mohou ve své konfiguraci obsahovat díru záměrně vytvořenou bývalým zaměstnancem, přes kterou by se do vnitřní sítě firmy pohodlně dostal.

Provádění bezpečnostního auditu externí firmou

Bezpečnostní audit by měl být samozřejmostí alespoň jednou za 12 měsíců, po provedených změnách v topologii a konfiguraci sítě, změně provozovaných služeb na serverech, ale obzvláště vhodný je i po odchodu administrátora. Specializované firmy, které provádějí penetrační testy, totiž mohou mnohem rychleji a jednodušeji než běžný správce IT zjistit případné nebezpečné nastavení systémů / firewallů.

Také je možné svěřit všechny kompetence týkající se IT bezpečnosti nějaké specializované firmě. Cena takových bezpečnostních služeb se odvíjí od použitých technologií a stupně požadované bezpečnosti. Na začátku je potřeba většinou počítat s vyššími náklady, které se však v budoucnu určitě vrátí. Nelze si však plést správu bezpečnostní stránky vnitřní sítě organizace se zajišťováním běžných úkolů, které má ve své kompetenci většinou systémový nebo síťový administrátor. V takovém případě může cena za vykonanou práci i několikanásobně převýšit nároky na mzdu případného vlastního bezpečnostního experta.

Závěr

Zcela se vyhnout situaci, kdy systémový administrátor v organizaci nějak zneužije své postavení, je velmi těžké. Možností je mnoho a bez nasazení „kontrolora“ na administrátora se toho moc nedá odhalit. Administrátor má totiž pod palcem celou síť, kterou spravuje, a v podstatě i přístup ke všem zdrojům.

Problémy zpravidla nastanou až po jeho odchodu, nicméně již předtím mohl z organizace odcizit firemní data přes e-mail, FTP, USB klíče, CD nebo jiným způsobem a může je prodat konkurenčním společnostem. V systému může mít nainstalované rootkity, které je velmi těžké odhalit. Nejdůležitější tedy je věnovat pozornost procesu přijímání nového zaměstnance a po jeho odchodu zkontrolovat (ještě lepší je reinstalovat) kritické systémy. Často se tak vyhnete problémům s hardwarem, který může mít na dálku pod kontrolou právě bývalý zaměstnanec.

Článek je součástí tématu Nevystavujte firemní data zbytečným rizikům. Partnerem tématu je firma:

3 komentáře u článku “Nestaňte se rukojmím systémového administrátora”

  1. xXx napsal:

    Boha jeho, vetsi sracku jsem uz dlouho necetl. Pan Chovanec by radeji mel jit prodavat rohliky, nez si hrat na opravdoveho novinare.

  2. T. H. napsal:

    Další z návodů, jak každého Admina oškubat, nastavit mu šílené laťky a pokud jen trošku zaváhá, zda by mu nebylo někde jinde lépe, ihned jej žalovat za úniky dat. Nakonec se dostaneme do situace, kdy firmy budou rušit veškeré IT pozice, které přímo nesouvisí s firemním zaměřením – již nyní je unikát sehnat práci IT Specialisty, vše si totiž áutsórsují :-)))

    Sám jsem čerstvý absolvent VŠ (ing.) v oblasti informatiky, nějakou praxi mám, jen brigády, či školní praxe (konfigurace serverů, IP telefony, správa sítě, vývoj jednoduchých skriptů pro automatizaci určitých operací na serveru, apod.), umím dva jazyky – AJ komunikativně, jsem nadšený pro práci a nejsem namachrovaný týpek, který by chtěl 40 litrů nástup + auto a ideálně 3 měsíce dovolené. Jsem člověk, který má v Praze docela problém, protože se firmy řídí podle výše uvedeného návodu – vybírají jen dětičky od známých, kteří často ani neví, o čem je řeč, či mají přehnané požadavky na nás – mladé. Někdy mi příjde, že mi snad závidí mládí? Titul, Elán? Nechápu to. Inzeráty typu – hledáme IT admina, absolventa VŠ se znalostí 5 jazyků, který bude umět háčkovat, konfigurovat automatické pračky a mít min. 30-letou praxi v oboru se stávají skutečnosti :-)

    HOWGH

    • Patrik Veselik napsal:

      Tady se snoubí dva světy – první je inzerát, který někdy je zcela mimo realitu. Vím o případu, kdy byla poptávka po samostatném manuálním pracovníkovi bez komunikace s okolím. Přesto byla požadována angličtina a další věci. Když se můj známý zeptal proč (když to s výkonem povolání opravdu nesouviselo), tak mu řekli, že to opravdu nesouvisí, ale že SE TO TAK PÍŠE, tak to tak napsali. Skvělý důvod, že…

      Další věc je, že jsou „taky správci“, kteří těm poctivým dělají jen ostudu. Hlavně v malých firmách se může stát, že společnost je vydána na milost a nemilost takovému „správci“. Jestli hledat příčinu v managementu, který není schopen či ochoten zajistit kvalitnějšího či dražšího správce, to nechávám stranou. Jsou případy, kdy taková firma shání kohokoli, kdo je schopen se dostat přes adminovo heslo, protože ten bývalý prostě odešel (dělal to „na dobré slovo“).

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


čtyři − tři =

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz