08/10/2018

Popularne błędy MŚP: atak łańcucha dostaw

Biznes MŚP

Bill nie lubi rozmawiać rano przez telefon. Nie dlatego, że jest leniwy. Uważa, że pracę należy zacząć wtedy, gdy po porannym chaosie wróci emocjonalna równowaga — i zdecydowanie nie przed drugą kawą. Ale tego dnia telefon dzwonił bez przerwy.

Dajcie mi już spokój! Czy ludzie nie wiedzą, że niegrzecznie jest odkładać słuchawkę po trzech sygnałach! Brak szacunku! A może jestem zajęty czymś ważnym? — narzeka Bill, próbując znaleźć swój telefon wśród stosu rzeczy na swoim biurku.

Bill, nie mogę otworzyć swojego perndrive’a — skarży się grafik.

Tak, ponieważ wyłączyłem na twoim komputerze wszystkie porty dawno temu! Wiesz, że wszystkie pliki muszą być uruchamiane z poziomu bezpiecznego komputera — porozmawiaj z Albertem. Gdyby to zależało ode mnie, odciąłbym twój komputer od internetu! — odpowiedział, dodając po cichu od siebie i pozbawił rąk.

Wiem, wiem! Ale nie chodzi tylko o mnie — on nie uruchamia się na żadnym innym komputerze! Proszę się, to naprawdę ważne zadanie. Muszę szybko zmienić wygląd ulotki albo mnie zabiją. A Albert nie wróci przed obiadem.

Dwight, zgodziliśmy się, że wszystkie zadania przechodzą przez Alberta, wszystkie dokumenty przechodzą przez jego komputer. Tylko on w całym dziale ma antywirusa. A w ogóle kto nagle dał ci pliki na pendrivie?

Christine. Poprosiła, abym zrobił pilne poprawki w wyglądzie ulotki. Trzeba ją wydrukować jak najszybciej. Zabije mnie, jeśli nie zrobię tego… i nie będzie jej interesować, że nie było Alberta. Wiesz, jaka ona jest.

Oszaleć można. Dobrze, zaraz będę.

Bill rozłącza się i patrzy przez chwilę zamyślony w sufit. To prawda, szefowej nie będą obchodzić jakieś procedury dotyczące sprawdzania plików z urządzeń zewnętrznych.

Właściciele agencji reklamowej o nazwie Magenta Elk twardo stoją na ziemi. Początkowo było to rodzinne studio projektowe, które z czasem rozrosło się do prawie 100 pracowników. Teraz firma to dział projektantów, kreatywny dyrektor, który potrafi zadowolić nawet najbardziej wybrednych klientów, dział rozwoju sieci, a nawet własna mała drukarnia (która też kiedyś była małą firmą, nabytą trzy lata temu). Wśród jej klientów znajduje się kilka dużych firm międzynarodowych, które darzą ją takim zaufaniem, że powierzają jej swoje kampanie reklamowe.

Jednak właściciele nigdy nie znaleźli zasobów, aby zorganizować przyzwoity dział IT. Całym sprzętem zarządza Bill, który kilka lat temu naprawiał komputery okazyjnie, zanim został zatrudniony. Nigdy nie udało mu się przekonać właścicieli, aby zatrudnić przynajmniej jeszcze jedną osobę do pomocy.

Daj mi tego pendrive’a — warczy Bill, otwierając swojego laptopa. Czego nie możesz tu otworzyć? Na moim komputerze wszystko działa. Instalują się sterowniki… skanujesz… otwierasz… i masz folder z projektem.

W tej chwili antywirus wyświetlił komunikat w czerwonym oknie: Wykryto szkodliwy obiekt Trojan.downloader.thirdeye.n.

Dwight, co to do diabła jest?! Czy próbowałeś otworzyć to gdzieś jeszcze? — mówi Bill, pokazując palcem plik Layout_corrections.docx.exe.

A skąd niby miałbym dowiedzieć się, jakie zmiany mam zrobić? Próbowałem, ale się nie otwierało. Kliknąłem i nic się nie zadziało.

A nie widzisz, że to nawet nie jest dokument?! Ma rozszerzenie EXE!

Nie widzę rozszerzeń! Widzę ikonę i nazwę. Dlaczego na mnie krzyczysz? Ja tylko próbowałem otworzyć plik od Christine!

Już rozumiem. Nie są wyświetlane rozszerzenia znanych plików — mówi Bill. Na których komputerach próbowałeś to otworzyć?

Na komputerze Anny Miller z działu księgowości. Na laptopie fotografa. I Leny z działu logistyki. I Toma z działu projektowania stron. I Kate… czy to jest wirus? To nie moja wina! Może fotograf miał zainfekowany komputer!

To nie tylko wirus — to trojan przygotowany specjalnie dla ciebie. Nie tylko infekuje przypadkowe komputery; ktoś go umieścił na pendrivie specjalnie! Bill loguje się do interfejsu sieciowego routera w celu odizolowania wspomnianych komputerów. A przy okazji, skąd znałeś hasło Christine? Pojechała wczoraj w podróż firmową.

Jest zapisane na kartce i przyczepione do klawiatury — wszyscy to wiedzą… — mówi grafik. Nie wziąłem go do domu, znalazłem go wczoraj!.

Jak to „znalazłeś”? — mówi zaskoczony Bill.

Zostawiła go dla mnie w recepcji z informacją, że trzeba szybko zmienić wygląd.

Czy ty postradałeś zmysły? Christine była tu wczoraj prawie cały dzień. Dlaczego do diabła miałaby zostawiać ci pendrive’a z instrukcjami na kartce samoprzylepnej? Czy często zostawia ci takie notatki? Przecież wiesz, że woli rozmowy w cztery oczy. A te pliki wgrała na serwer! O kurcze… na serwer! Bill znów pisze na klawiaturze. Każdy może coś zostawić na recepcji. Kiedy dokładnie to się stało?.

Nie wiem. Był wieczór, szykowałem się do wyjścia, a wtedy Yvonne powiedziała, że ktoś zostawił dla mnie kopertę z pendrive’em. Wychodziła coś zjeść, ale nie widziała, kto to był. Wróciłem, spróbowałem otworzyć na laptopie Anny, a potem na Christine — zresztą, dalej już wiesz.

Dwight, czy ty rozumiesz, że ktoś — nagle dzwoni telefon. To dyrektor główny. Mam złe przeczucia…

Co słychać? Dlaczego nie jesteś przy swoim biurku? — pyta zdenerwowany dyrektor.

Przepraszam, projektanci mają problem. Ktoś zostawił pendrive’a…

Zapomnij o tym — przerywa nagle dyrektor. Właśnie zadzwonili do mnie z firmy Österberg & Jones. Ich strona internetowa rozsyła od wczoraj wirusy. A my jako jedyni mieliśmy do niej dostęp, bo aktualizowaliśmy bannery. Muszę udowodnić, że to nie my. Taką przynajmniej mam nadzieję.

Yyyy… a kto dokładnie miał dostęp? — pyta Bill.

Tego nie wiem. Kilak osób z działu tworzenia stron; to oni robili tę stronę. Może Dwight. Na pewno Christine — to jej klient, a jak wiesz, ona kocha mieć wszystko pod kontrolą.

Chodzi o to, że… — mówi coraz cichszym głosem Viktor. Myślę, że to nasza wina.

No to jesteśmy załatwieni. Grożą nam procesem sądowym. Jeśli to my, mamy wiele do wyjaśnienia. Muszę mieć szczegółową analizę tej sytuacji do końca dnia. Jeśli potrzebujesz do tego pomocy zewnętrznych ekspertów, powiedz mi to teraz. Muszę mieć kompletny i prawdziwy raport zdarzeń, gdy będę się płaszczył przed Österberg & Jones. A teraz powiedz mi w skrócie, co się stało.

Wygląda na to, że ktoś celowo nas zaatakował przy użyciu zainfekowanego pendrive’a. Prawdziwym celem była jednak firma Österberg & Jones. Wiesz, jak to jest z bezpieczeństwem. Robię, co mogę, ale i tak brakuje ludzi, materiałów… nawet nie mamy antywirusa…

Dobrze, już zrozumiałem. W łagodny sposób mówisz mi, że jestem idiotą. Dostaniesz swój dział, a każdy będzie miał antywirusa. Pod warunkiem, że to przetrwamy. W co bardzo wątpię.

Lekcje, jakie można wyciągnąć z opisywanego przypadku

  • Wdrożona w firmie procedura odnośnie plików ze źródeł zewnętrznych jest dobra i poprawna. Ale nie jest przestrzegana, ponieważ niektórzy pracownicy uważają, że wykonanie zadania jest ważniejsze niż bezpieczeństwo. A przecież to bezpieczeństwo powinno mieć wyższy priorytet niż nawet bezpośrednie polecenia kadry zarządzającej.
  • Zbyt wiele osób może uzyskać dostęp do zasobów partnera, a problem pogorszył fakt, że nikt dokładnie nie wie, kto ten dostęp ma. W idealnej sytuacji powinno to wiedzieć tylko jedna osoba, maksymalnie dwie. Co więcej, podczas każdego logowania powinno być wymagane wprowadzanie danych dostępowych. Zapisywanie ich w przeglądarce to naprawdę zły pomysł, podobnie jak uzyskiwanie dostępu do strony z niezabezpieczonego komputera.
  • Pomysł zapisania haseł na kartce i przyklejenie jej do klawiatury brzmi niedorzecznie, ale to dosyć powszechne podejście w wielu firmach. Jest to całkowicie nieakceptowane — nawet firmy nie odwiedza nikt inny, któryś z pracowników może wyrządzić taką właśnie szkodę.
  • Na wszystkich komputerach bez wyjątku należy zainstalować niezawodny program zabezpieczający.