Это один из случаев, когда информационная безопасность означает не просто защиту информации — она означает защиту жизни. Довольно мрачно, если подумать о том, в какой степени в реальных больницах полагаются на их компьютеры. Рассмотрим другой пример…

План перехода

Как и во многих подобных ей организациях, в больнице Rockland General решили усовершенствовать работу своих компьютерных систем путем оптимизации сети. План был прост. Выкатить за дверь старые системы, установленные на больших компьютерах (мейнфреймах), и вкатить системы с передовой архитектурой, которые перенесут Rockland в 21-й век. Для этого персонал Rockland спроектировал и установил высокопроизводительную распределенную сеть. Затем, как и планировалось, они выкатили старые компьютеры.

У руководства Rockland проект оптимизации пользовался большим успехом. Возглавившие проект специалисты по административным информационным системам Джо Дэвис и Марлен Шмидт были широко известны с лучшей стороны в медицинских кругах. К ним обращались за консультацией по подобным проектам и другие больницы. Дела Джо и Марлен шли хорошо, и они открыли свою компанию глобального масштаба по оказанию услуг больницам в оптимизации их систем.

Когда Мэтт Борланд приступил к руководству этими новыми системами, то вскоре обнаружил, что не все так хорошо, как казалось. Хотя Джо и Марлен покинули больницу героями, потребовалось лишь небольшое время, чтобы у Мэтта возникли проблемы с оставленным ими хозяйством.

До этого Мэтт был системным администратором и знал, как трудно поддерживать системы в рабочем состоянии. Он был доволен своим назначением на пост руководителя технической поддержки компьютеров Rockland General. Он делал карьеру и теперь стал менеджером третьего уровня, что давало ему возможность подняться на следующую ступеньку служебной лестницы компании. За свои усилия по оптимизации системы Джо и Марлен были возведены в герои предыдущим руководством, и Мэтт полагал, что его усердный труд также будет вознагражден.

Но Мэтт вскоре обнаружил, что Джо и Марлен нарисовали лишь декорации. Они оставили после себя компьютерный зал с высоким риском и с тоннами конфиденциальной информации, доступной в сети больницы каждому, кто захочет ее скопировать, изменить или украсть. Так как Мэтт считал, что принял под свое начало первоклассную систему, после такого открытия он почувствовал себя глубоко несчастным.

Если вы недавно сами стали отвечать за техническую поддержку новых систем, то, возможно, лучше поймете затруднения Мэтта. Знаете ли вы, где в вашей сети находятся системы повышенного риска? Не оставили ли вам предшественники кошмар проблем безопасности, с которыми вы не знаете как справиться?

В начале главы я придала проблеме немного мелодраматизма, сделав последствием плохой настройки систем смерть. К сожалению, это действительно может случиться.

Каждый день менеджеры, директора по информационным технологиям и системные администраторы принимают системы, установленные другими людьми. Если при этом они не проводят аудит таких систем (вещь крайне редкая), то просто считают, что системы защищены. Это — рискованное предположение. Трудно обвинять в чем-то предыдущих руководителей и персонал технической поддержки, если вы уже распоряжаетесь системами шесть и более месяцев. Когда вы принимаете новые системы, то нужно немедленно их протестировать, чтобы знать, в каком состоянии они находятся. Независимо от того, что могли в прошлом наделать какие-то Мо, Ларри или Керли под конец рабочего дня, вы должны понять, что это теперь ваша система и работать с ней придется вам. Если вы являетесь системным администратором, то все обвинения будут направлены против вас. В конце концов, разве не вы обеспечиваете техническую поддержку систем?

Мэтт принял руководство технической поддержкой систем, но был так занят проверкой их работоспособности (так как это было его главной целью), что даже не задумывался о том, что могут возникнуть проблемы с безопасностью. К счастью для него, риски были обнаружены при проведении непланового аудита компьютерного зала. Если бы такого не произошло, то он мог бы потерять работу или, по меньшей мере, свою репутацию. И кто-то мог бы потерять свою жизнь.

Лишь случайно руководство Rockland General заглянуло за декорации. И пока вы не взглянете на состояние безопасности вашей сети, вы можете и не испытать такого счастья. Итак, рассмотрим подробнее детали этого аудита.

День 1-й: Тестирование безопасности

Когда Мэтт стал руководить сетью компьютеров больницы, то он начал искать пути улучшения производительности сети и ее технической поддержки. Ему было очень важно поддерживать систему в готовности к применению. Доступность системы была одной из целей Мэтта.