Позвонили мне как-то из одной конторы, в которой я до этого иногда ремонтировал компьютеры, не вникая в детали безопасности. Обычная такая организация, ничего особенного.
Голос в трубке нервный:
— Слушай, тут проверка намечается… Ты бы это… компьютеры глянул.
Я логично задаю вопрос:
— Что именно глянуть?
Повисла недолгая пауза.
— Ну… чтобы всё было нормально.
Вот это «чтобы всё было нормально» — самая опасная формулировка в моей работе. Приезжаю — кабинет и десять компьютеров, сотрудники сидят тихо, смирно, как школьники перед контрольной, только ещё бы ручки на коленки — и вообще картина маслом. Захожу к системнику якобы «администратора» — и понимаю, что «нормально» тут понятие очень условное. Оказывается, во всей организации был один пароль.
Карл, ОДИН пароль у ВСЕХ. Я просто кричу — у меня внутри демоны пробудились.
Этот пароль был:
Для входа в Windows.
Для почты.
Для удалённого доступа.
Для бухгалтерской программы 1С был другой пароль, но его знал весь коллектив. От директора до стажёра, и уборщица, кажется, тоже.
Спрашиваю аккуратно и без грубостей:
— А если кто-то уволится?
Ответ меня добил:
— Ну он же нормальный человек.
Тут просто вспомнилось из КВН:
❝ Преподаватель логики не плакал, когда его друг утонул. Потому что тот не умел плавать — вот и утонул. Всё логично. ❞
Начинаю разбираться глубже. Выясняется, что когда-то давно приходил «айтишник». Он настроил всё быстро, чтобы «не морочиться с доступами». Сделал одну учётку, поставил простой пароль по типу: qwerty12345, распечатал его на бумажке и приклеил под монитором. И так проработали… три года. Причём формально всё «по закону».
Доступ есть? Есть.
Работает? Работает.
Никто не жалуется? Никто.
Экономия времени, экономия нервов, экономия на администраторе. Красота как есть в первозданном виде.
Но абсурд только начинался.
В какой-то момент бухгалтер случайно удалила папку с отчётами. Случайно — потому что она думала, что это «чья-то лишняя».
Восстанавливать было сложно, потому что резервных копий, конечно, никто не делал.
А зачем? Ничего же не ломается.
И вот теперь грядёт проверка по информационной безопасности. Все внезапно вспомнили, что вообще-то существуют журналы входа, персональные доступы, разграничение прав. И что, если завтра кто-то что-то удалит или сольёт, — виноват будет формально директор. Директор, к слову сказать, тоже сидел тихо. Спойлер: с проверкой «договорились», чтобы они приехали через неделю. А я начал свою рутинную работу — создавать отдельные учётки, менять пароли, настраивать доступы.
Люди смотрели на меня с подозрением.
— А зачем так сложно?
— А если забудем?
— А можно обратно, как было?
Вот тут и случился поворот. Когда я начал менять пароль у «общей» учётки, одна сотрудница спросила:
— А теперь я не смогу зайти с домашнего компьютера?
Я уточнил с чуть округлёнными глазами:
— С какого домашнего?
Оказалось, что половина сотрудников подключалась к рабочему компьютеру из дома… через тот самый общий пароль. Кто-то проверял почту вечером, кто-то доделывал отчёты, кто-то просто заходил «посмотреть». И весь доступ к внутренней базе компании фактически висел на одной фразе из восьми символов, которую знали все.
Просто «так удобнее» — и для тех, кто захочет всё слить, и для сотрудников, которые работают. Когда я закончил, всё стало правильно: отдельные доступы, разные уровни прав, смена паролей, резервное копирование.
Проверку они прошли с горем пополам, но атмосфера изменилась. Людям стало сложнее: теперь нужно помнить своё, нельзя просто зайти «как обычно». И главное — появилась ответственность.
Проблема не в хакерах.
Проблема в том, что в этой компании хакером уже мог быть любой.
Просто никто об этом не думал.
Удобство — это хорошо, но когда удобство важнее контроля, компания держится не на системе, а на надежде, что «все нормальные». А надежда — плохой инструмент информационной безопасности.