Fosa bez krokodyli i wody, czyli dlaczego brak systemu typu NAC (Network Access Control) naraża Twój kapitał

Wtorek, godziny poranne, parkuję przed budynkiem firmy na pustym jeszcze parkingu – jestem dziś zdecydowanie wcześniej, niż pozostali. Biorę aktówkę leżącą na siedzeniu pasażera i opuszczam pojazd. W budynku jest jedynie ekipa sprzątająca, więc bez żadnego problemu wkraczam do recepcji, mijam kuchnię i długim korytarzem kieruję się prosto do biura. Biura prezesa. Naciskam na klamkę, drzwi ustępują. Ekipa sprzątająca już tu chyba była. Stos dokumentów na biurku czeka na rozpatrzenie. Umowy, faktury, korespondencja z klientami, raporty, dokumenty kadrowe… Oj, czeka mnie sporo pracy. Zgarniam więc je wszystkie z biurka do aktówki i kieruję się do wyjścia. Muszę podjechać kawałek dalej, by załatwić jeszcze jedną rzecz, nim zabiorę się do analizy tego wszystkiego. Parkuję pod drugą firmą. Wysiadam z samochodu z aktówką w ręce, gdy wtem dobiega do mnie ochroniarz obiektu.

- Tu nie wolno parkować, to miejsca przeznaczone wyłącznie dla pracowników firmy.

- Przepraszam, nie wiedziałem, wobec tego zaparkuję przy markecie naprzeciwko.

- Bardzo proszę.

Jak powiedziałem, tak zrobiłem. Gdy pojawiłem się przed zamkniętą furtką firmy, ten sam ochroniarz zapytał:

- Pan był z kimś umówiony?

- Tak, moja godność Jan Nowak, z prezesem, na godzinę 7.00.

- To dziwne, prezes pojawia się w pracy zwykle około godziny 9.00, nic mi nie wiadomo, by miał być wcześniej. Proszę chwilę poczekać, zadzwonię, zapytam.

Czekam przed zamkniętą furtką, marznę. Listopadowe poranki, choć okrutnie zimne, pięknie srebrzą szronem opadające liście.

Oho, pan wraca.

- Przykro mi, nikt nie potrafi potwierdzić Pańskiego przyjazdu.

- Hmmm, może coś pomyliłem… No nic, bardzo dziękuję, do widzenia! – mówię, pospiesznie odwracając się i idąc do samochodu zaparkowanego naprzeciwko.

„No nic, nie ci, to następni. Jadę z tym co mam do domu.”

Rutyna. Skradzione raporty sprzedam konkurencji w darknecie. Dokumenty kadrowe i korespondencja z kontrahentami posłużą mi do szantażu, na przykład w oparciu o przepisy RODO – przecież to wyciek danych. Taniej zapłacić mi, niż ryzykować wpadkę wizerunkową i urzędowe kary pieniężne.

Życiowe, prawda? W mojej karierze pracowałem zarówno w firmie numer jeden, która stała otworem dla wszystkich, o ile tylko ktoś rano otworzył drzwi wejściowe. Pracowałem także w dobrze strzeżonym obiekcie, gdzie ochrona skrupulatnie sprawdzała tożsamość osób przekraczających granice siedziby firmy – zupełnie jak w przypadku firmy numer dwa. W obu firmach byłem szeregowym informatykiem. W tej pierwszej, do sieci firmowej pełnej poufnych danych, było równie łatwo dostać się do budynku, jak i do sieci… A w niej cały kapitał firmy. Dane osobowe. Korespondencja. Raporty. Projekty. Bazy kontrahentów.

Z pewnością nasi czytelnicy są dużo bardziej roztropni – przecież byle kogo i byle kiedy nie wpuszczą do budynku. To nie do pomyślenia, prawda?

A co z siecią? Rozejrzyj się, Czytelniku drogi, wokół siebie. Poszukaj wzrokiem na korytarzach i w pomieszczeniach ogólnodostępnych gniazdek sieciowych. Zbadaj zasięg sieci bezprzewodowej poza obszarem budynku firmy, na przykład na przylegającym do niej parkingu. Jak niewiele wysiłku potrzeba, by nieuprawniona do tego osoba z komputerem pod pachą, spróbowała sforsować zabezpieczenia sieci? W przypadku WiFi, jest to zapewne kwestią złamania hasła sieciowego. Czy trzeba je łamać? Ależ nie, co sprytniejsi przekonają kogoś, kto je zna, by je wyjawił. A dostęp przy pomocy kabla sieciowego, zamiast podłączonej w recepcji drukarki? Trywialne – odłączam kabelek od drukarki, podłączam komputer i szukam, kopiuję, infekuję, kasuję… A jak potrafię, to takie informacje spieniężam na czarnym rynku. Bitcoiny są w cenie. A ja przecież z czegoś żyć muszę.

Scenariusz mało prawdopodobny? Może i tak. Ale czy niemożliwy? Absolutnie nie.

A co z pracownikami, którzy chcąc sobie „umilić” przerwy w pracy, przynoszą swój komputer domowy? Podłączając go do firmowej sieci, zyskują dostęp do jej zasobów. Przenoszą infekcje ze swojego niekontrolowanego, nieautoryzowanego komputera do sieci – na firmowe komputery, serwery… Już niejedno przedsiębiorstwo upadło, bądź odniosło poważne straty finansowe przez tak skrajną nieodpowiedzialność, co gorsza, po dziś dzień nie wiedząc, dlaczego do tego doszło.

Pozostaje zadać pytanie: czyja to była wina? Nieodpowiednio przeszkolony pracownik może nawet nie mieć świadomości, że podłączanie się do sieci firmowej prywatnego sprzętu jest karygodną praktyką, ponieważ nie rozumie zagrożeń z tym związanych. Przecież w domu działa! Szkolenia są drogie i czasochłonne a ich efektywność jest tak wysoka, jak dobrym okazuje się być słuchacz. Informatycy? Często mogą nie mieć dostatecznej wiedzy i/lub świadomości istnienia takich systemów.

Może po prostu aby udaremnić tego typu praktyki, prościej i znacznie bezpieczniej byłoby zainwestować w platformę chroniącą sieć już na etapie dostępu do niej? Mowa o oprogramowaniu klasy NAC (Network Access Control), którego celem jest kontrola urządzeń chcących otrzymać dostęp do sieci. Jak ten ochroniarz, dokładnie sprawdza, czy ten komputer może otrzymać dostęp do sieci (analogicznie: czy dany pojazd może zaparkować na firmowym parkingu, czy dana osoba była umówiona z prezesem na spotkanie). Jeżeli będzie wiedział, że może taki pojazd lub osobę wpuścić, zrobi to i odnotuje ten fakt w dzienniku, wydając odpowiednią przepustkę. Jeżeli natomiast okaże się, że gość jest nieznany, a tym samym niepożądany, grzecznie, ale stanowczo poprosi o opuszczenie terenu firmy.

Systemy klasy NAC to sumienny ochroniarz ściśle przestrzegający ustalonych procedur. System NAC to głęboka fosa, pełna kłębiących się w niej, wiecznie głodnych krokodyli oraz osoba, która decyduje, czy powinna opuścić most zwodzony przybyszowi, czy też nie. A to wszystko następuje zanim nasz gość, przybysz ma w ogóle szansę na choćby rzut oka do wnętrza firmy.

Pozostając w temacie życiowych analogii, systemy klasy NAC potrafią zarządzać dostępem do sieci, decydując o dostępie do niej, jak i przy odpowiednio zorganizowanej strukturze sieciowej, sterować dostępem w jej obrębie. Nasz gość jest umówiony do kierownika działu marketingu? Proszę bardzo, ochroniarz odprowadzi go pod same drzwi pilnując, by przypadkiem (lub specjalnie) nie zajrzał on do innego pomieszczenia. Podobnie z dostępem do sieci, systemy takie potrafią przydzielić dostęp w ściśle kontrolowany sposób tak, by dane urządzenie lub dany użytkownik miał wgląd w tylko do tego, do czego mu wolno.

Ochrona mienia, kontrola pracowników i gości wydaje się być czymś oczywistym i naturalnym – dlaczego zatem w równoległym świecie dostępu do sieci nie jest to normą? Sądzę, że to kwestia braku świadomości, o którą trudno kogokolwiek winić. Jednakże należy pamiętać, że ten brak świadomości wykorzystują ludzie, którzy są świadomi tego zagadnienia zdecydowanie bardziej…

KG