Jurský park

Počas prázdnin v televízii opakovali film Jurský park z roku 1993 (páni, je to už 30 rokov!) a ja som mal možnosť si ho po nejakom čase pozrieť znova. Teraz som to však videl trochu inak :-)

"Příběh nebudu připomínat, je snad notorický znám. Hlavním záporákem je ve filmu správce sítě a současně programátor Denis Nedry, který zajišťuje chod informačního systému Jurského parku pro profesora Johna Hammonda. Od pohledu je Nedry nesympatický, nesystematický a nepořádný. Záhy se zároveň dozvídáme, že je i nespokojený se svou pozicí, protože má pocit, že je přetěžován a špatně placen."

Takže si to vezmeme po poriadku

"Neexistuje separace rolí – Denis je jednak správcem systému a jednak jeho programátorem, což soustřeďuje do jeho rukou neobyčejnou moc nad informačním systémem, a to bez jakékoliv další kontroly.

Všechny bezpečnostní systémy je možné ovládat z jedné jediné konzole, a to Denisova počítače. Dochází tady ke spojení jednak ovládání OT (provozní technologické sítě zde např. napájení nebo i elektrické ploty), a jednak ovládání IT sítě (vlastní informační technologie). Z jednoho místa je tedy možné paralyzovat celou organizaci.

Řízení práv a přístupů je pojem neznámý. Denis má nejen administrátorská práva, ale přímo používá administrátorský účet, který může snadno uzamknout (a nikdo jiný nezná heslo). Není implementován koncept „nejnižších práv pro provedení činností (least rights)“ nebo „nulová důvěra (zero trust)“.

Není zaveden žádný systém kontroly nad činností Denise. Je zřejmé, že Denis svoji akci (jejímž cílem bylo vypnout bezpečnostní systémy a zcizit embrya dinosaurů) plánoval a musel si tedy některé postupy testovat. Přestože by systém měl generovat záznamy, nikdo se o ně nezajímá a nikdo vlastně činnost Denise nekontroluje."

A čo povedať na záver?

"Suma sumárum, v Jurském parku to vlastně snad ani nemohlo dopadnout jinak než katastrofou. Je s podivem, že John Hammond investoval milióny dolarů do všeho možného, ale IT bylo zřejmě podfinancováno a vše bylo postaveno de facto na jednom jediném zaměstnanci (který navíc dlouhodobě dával najevo svoji nespokojenost). Jasně, jedná se o 30 let starý nebo mladý film, nicméně příběhy organizací, kterým zavařil naštvaný správce se čas od času objevují i v reálném světě.

Pokud tedy nechcete, aby se vám o počítače a jejich bezpečnost staral jen a pouze Denis Nedry a pokud nechcete, aby vaše organizace dopadla jako Jurský park Johna Hammonda, klidně se obraťte na AUTOCONT. Rádi vám poradíme a jak se říká, za zeptání nic nedáte :-) AUTOCONT ví jak."

Luděk Mandok, Senior Security Consultant - AUTOCONT CZ

 

Chcete viac informácií?