​Киберглупость или кибернаглость: как один сисадмин сделал шик | План Б

​Киберглупость или кибернаглость: как один сисадмин сделал шикарный подарок проверяющим из налоговой

В наших постах периодически всплывает такая штука как человеческий фактор. Кто-то просто ошибается, кто-то намеренно подставляет – в любом случае это наносит урон интересам фирмы. Вот еще одна поучительная история, которой просто не можем не поделиться.

Компания готовилась к ВНП: все доки причесали, в базе 1С что надо подправили, чтобы все билось, над легендированием поработали. Короче, были уверены, что все пройдет гладко.

Началась проверка, и во время очередного визита налоговиков на одном из столов внезапно обнаружился внешний жесткий диск. А на нем исходная копия электронной базы 1С до внесения предпроверочных изменений. Сисадмин по странному совпадению в этот момент находился в отпуске и на звонки не отвечал. Позднее он сказал, что, наверно, случайно забыл этот диск на столе. Вот так просто налоговая получила полную и реальную картину финансово-хозяйственной деятельности фирмы со всеми нюансами, в том числе не очень законными. Ну и доначислила миллионы.

Очень похоже, что это была подстава, хотя, за руку никто никого не поймал. Мотивы неясны, так как неизвестно, какие отношения были внутри фирмы, между собственниками бизнеса, между руководством и сисадмином. Тут вариантов масса: может, у парня кто-то работает в налоговой, или проверяющие с ним предварительно побеседовали и напугали. Может, кто-то из топов через сисадмина решил так напакостить. Просто такой сказочный подарок вряд ли по глупости или ошибке случился, хотя и такое бывает – дураков и раздолбаев никто не отменял. Так или иначе, фирма пострадала.

Мораль этой истории: учитывайте человеческий фактор и не забывайте заботиться о защите от дураков и нечестных сотрудников. До сих пор во многих компаниях не принято серьезно задумываться об ИТ-безопасности. Все пущено на самотек и авось. Что там творит на сервере этот хмурый сисадмин, что скачивают на флэшки бухгалтеры, насколько надежно защищен вход в корпоративную сеть извне, есть ли антивирусная защита. Вопросов к системе безопасности практически в каждой фирме море. Но пока не случится какой-то крутой упс, все делают вид, что все хорошо и не требует дополнительных мер и вложений.

Это касается любого бизнеса, даже самого белого. Продажа коммерческих тайн, промышленный шпионаж, банальное воровство со счетов происходят постоянно. Но особенно серьезно к этому вопросу надо подходить тем, кто использует в работе разного рода схемы по оптимизации. Надо выстраивать систему кибербезопасности так, чтобы ни одна проверка не увидела того, что не должна увидеть.

Оптимально, конечно, чтобы сервер стоял не в помещении компании. Сегодня при имеющихся технических возможностях уже не нужно хранить данные в офисе, а тем более на компьютерах сотрудников. Они должны использоваться только как инструмент для входа и работы в системе. Иначе те же налоговики могут тупо прийти в офис и увидеть все базы. И тогда не отбиться. А вот если данные на каком-то стороннем сервере или на своем, но спрятанном в укромном дата-центре, то можно смело проверяющих посылать.

Вот у одного знакомого предпринимателя сервер падал по прозвону какого-то номера. Налоговики ездили к нему с полицией, даже с ФСБ мероприятия проводили, но пока маски-шоу сносили двери и бежали в офис, дир в это время набирал номер, и отрубалось вообще все - сервер, диски, электронные доки, вся инфраструктура. При этом реальный сервер был где-то за бугром, а в компании стоял сервер-обманка. На нем была обрезанная копия 1С, никому не интересная, но специально готовая для изъятия. Вот уровень безопасности, к которому надо стремиться.

Мы еще периодически заказываем аудит системы и пентесты у сторонних специалистов. К вопросам ИТ-безопасности относимся со всей серьезностью, ведь иначе это может привести к потере данных клиентов, интеллектуальной собственности, репутации и финансов. Надеемся, что вы разделяете такой подход, а если ждали знака, что пора всерьез озаботиться этой темой, то вот он.
#безопасность

@bi_plan План Б