Я младший сотрудник в компании ( технически я не младший по опыту, но я младший по сравнению с огромным количеством опыта, который есть у всех остальных, и я был здесь самым коротким).
Один из моих старших коллег собирается уйти на пенсию и становится немного забывчивым. Он часто не следует правилам, не очень понимает безопасность и просто занимается своими делами. Люди упускают из виду это, потому что он гениален и ветеран индустрии, и мы все его уважаем.
Сегодня он прислал мне по электронной почте пароль root для одного из основных серверов. Я знаю, что у меня не должно быть этого пароля, потому что в прошлом мой босс специально делал что-то для меня на сервере вместо того, чтобы давать его мне.
Я знаю, что это большая проблема безопасности. Помимо того, что теперь я знаю пароль, он также был отправлен мне (!) по электронной почте, что само по себе является серьезной брешью в системе безопасности.
Я думаю, что должен сообщить об этом своему боссу, чтобы он мог изменить пароль, но я изо всех сил пытаюсь понять, как это сделать. Я не хочу показаться болтуном. Мне нравится мой коллега, и я не хочу создавать проблемы, но, на мой взгляд, это очень большая проблема, о которой должен знать мой начальник. Я задаюсь вопросом, действительно ли это так важно, как я себе это представляю. Мой коллега, казалось, думал, что это не имеет большого значения.
Итак, мой вопрос: должен ли я сообщить об этом своему боссу, и если да, то как мне сообщить ему об этом нарушении безопасности, чтобы это не выглядело как мелкая болтовня?
Подробнее:
Почему он дал мне пароль:
Мой коллега хотел предоставить мне файлы из своего пользовательского каталога. Я предложил ему (1) скопировать их в общее место или (2) изменить права доступа к файлам, чтобы я мог их прочитать. Он решил отправить мне по электронной почте пароль root, чтобы я мог использовать su и копировать файлы самостоятельно.
Обычно серверы имеют доступ к sudo — у меня есть sudo на другом менее критичном сервере — мой коллега мог бы предоставить мне доступ к sudo вместо того, чтобы давать мне пароль.
Я знаю, что вход в систему с паролем root - небезопасная вещь. Я не знаю, включен ли на сервере вход с паролем root, потому что я никогда не пытался его использовать. Я использую ssh, используя свою пользовательскую пару ключей.
Что он сказал о предоставлении мне пароля:
Я спросил его, все ли в порядке, что у меня есть пароль, и он сказал «конечно», взмахнув рукой. Казалось, он думал, что в этом нет ничего страшного. В любом случае мне не очень комфортно, потому что я не отчитываюсь перед ним, а он знает, что не относится к безопасности серьезно.
ИТ-отдел компании
Не существует. Был администратор Linux, но он ушел несколько месяцев назад. Мой босс ближе всего к ИТ-отделу, который у нас есть.
Во- первых, это АБСОЛЮТНО большое дело! Все, что может поставить под угрозу безопасность ваших данных, имеет большое значение. Ваша компания рискует не только ответственностью за утерянные/скомпрометированные данные, но и ее репутация.
Вы были бы крайне небрежны, если бы не сообщили об этом. Система нарушений вызывает серьезную озабоченность.
Кроме того, не пытайтесь определить, почему ваш коллега это делает. Сообщайте вашему руководителю только факты, а затем пусть ваш руководитель распорядится ими так, как считает нужным. Не зацикливайтесь на этом. Не спрашивайте у своего менеджера «результаты» вашей информации. Сообщите об этом и вернитесь к своей роли.
Ваш менеджер может просто решить сменить пароль и «переждать», пока этот человек не уйдет на пенсию.
Поговорите с этим человеком и спросите его, ПОЧЕМУ он отправил вам пароль по электронной почте. Простое отправление пароля по электронной почте на ровном месте кажется довольно странным.
Затем спросите, нормально ли для вас это иметь, объяснив, что ваш босс всегда делает для вас, и объяснив, что вы не хотите, чтобы у вас или него были проблемы, и хотите убедиться, что босс согласен с этим.
Как только вы поймете ПОЧЕМУ, задайте следующий вопрос: «Мне всегда говорили не отправлять пароли по электронной почте из-за угроз безопасности. Безопасно ли это делать здесь?» Дождитесь ответа. Возможно, он знает что-то, чего не знаете вы.
Затем задайте следующий вопрос: «Почему мы все равно используем пароли root?»
Если этот парень такой умный, как вы говорите, у него может быть правильный ответ на все вопросы.
Но, в конце концов, ему нужно решить проблему (если она есть), и это дает ему шанс сделать это так, чтобы вы не выглядели болтуном.
Сообщите своему боссу, но делайте это так, чтобы не «сплетничать».
Есть разница между вопросами «Ничего, что Боб сделал X» и «Ничего, если я сделаю Y (учитывая X)». Подойдите к своему боссу и попросите разрешения на использование пароля root. Вы сказали, что ваш босс всегда делает это за вас, поэтому ответ, скорее всего, нет.
Эй, босс, мне интересно, вам нужно, чтобы я проверял каждый раз, когда я хочу внести изменения от имени пользователя root на сервере X в будущем, или я могу просто сделать это? Боб прислал мне по электронной почте пароль root, чтобы я мог сделать это сам, если это проще.
Это уведомляет вашего босса об угрозе безопасности, но также не является прямым доносом на вашего коллегу. Ваш босс может решить, насколько серьезно к этому относиться (хотя я надеюсь, что он хотя бы изменит пароль). Если он притворится шокированным и начнет выпытывать у вас подробности, вы даже можете вмешаться.
Да, мне это показалось довольно странным, вот почему я хотел спросить тебя об этом.
Небольшой стартап с менее чем 10 сотрудниками, без ИТ-персонала, без администратора Linux и со всеми остальными существует намного дольше? Велика вероятность, что все остальные тоже знают этот пароль, и все знают, что все знают, и никто не считает, что это настолько серьезно, чтобы с этим что-то делать.
Я знаю, что это большая проблема безопасности. Помимо того, что теперь я знаю пароль, он также был отправлен мне (!) по электронной почте, что само по себе является серьезной брешью в системе безопасности.
Нарушение чего конкретно? Общие передовые методы работы в отрасли, руководящие принципы вашей компании, конкретные отраслевые нормы, которые вам необходимо соблюдать, или конкретные приказы вашего начальника?
Слишком часто случайные люди будут знать пароли root, пароли администратора домена, пароли друг друга и все такое. Кажется, что это должно быть большой проблемой безопасности, но большинство сотрудников не настроены враждебно, и большинство компаний не скрывают ядерных секретов, и в основном жизнь продолжается. В идеале их следует регулярно менять в качестве процедуры, поэтому, когда они неизбежно протекают, существует ограниченное временное окно, в течение которого они могут быть использованы во вред.
Вы находитесь в надежном положении в качестве сотрудника небольшой компании. Будьте заслуживающими доверия, не злоупотребляя вещами, которые вы случайно узнали. Но таковы и все остальные сотрудники, и, скорее всего, потребуется серьезный сбой в системе безопасности, прежде чем компания усвоит и применит что-то вроде «менее удобных, более безопасных процедур повсюду».
И если дело дойдет до этого, и вам придется встать на сторону Боба (который скоро выйдет на пенсию) и вашего работодателя, который вам платит, и вы можете проработать там еще десять лет, ваша лояльность должна быть связана с вашими интересами (то есть с компанией). Раздражение Боба немного раздражает Боба, нарушение безопасности, из-за которого компания закрывается, делает всех безработными, репутация подлого младшего, получающего пароли, к которым у него не должно быть доступа, может бросить вашу репутацию в канаву.
[Это никоим образом не предназначено для одобрения его подхода, а для того, чтобы поместить его в контекст реальной небольшой компании без специальной политики безопасности, и вашей роли сотрудника, преследующего свои собственные интересы , а не менеджера или директора].
Поскольку вы заявили, что в вашей компании на самом деле даже нет ИТ-отдела, я бы сказал, что для конкретного контекста , который, похоже, не учитывается в некоторых других ответах, вы, вероятно, зря потратите свое время.
Есть предположение , на котором вы основываете свой вопрос: «Я знаю, что у меня не должно быть этого пароля, потому что в прошлом мой босс специально делал что-то для меня на сервере вместо того, чтобы давать его мне». Откуда ты знаешь?? Вы действительно спрашивали , почему вам не дали пароль? Иногда занятые начальники справляются с задачей сами, вместо того чтобы тратить время на то, чтобы убедиться, что их подчиненные делают все правильно — в небольших магазинах не всегда есть много других вариантов. И вполне разумно, когда начальнику нужно взять выходной, другим сотрудникам в конечном итоге потребуются такие вещи, как доступ к административной учетной записи, чтобы сделать что-то.
Тем не менее, не спешите реагировать. Оставьте электронную почту там, где она есть. Вы можете упомянуть в мимолетной беседе, что у вас есть пароль от ящика, и спросить своего начальника, удобно ли ему, что вы входите в систему и заботитесь о вещах здесь и там. Не делайте акцент на другом парне, потому что это не ваша работа. Вы можете получить да, нет, или он может отложить это. Будьте готовы принять любой из этих ответов.
Держитесь подальше от того, что этот другой человек делает на вашей работе, ЕСЛИ это не указано в ваших должностных инструкциях или не вызывает конфликт с выполнением вашей работы.
Не думайте, что есть проблема.
Может быть, ты получишь повышение. (Даже если это не финансовое повышение или новое звание, вам теперь предоставлен доступ.) Если у человека, который уходит, было много повышенных обязанностей, может быть ожидание/надежда, что люди активизируются и начнут брать на себя новые роли. .
Когда вы идете к супервайзеру, не относитесь к предоставлению вам доступа как к проблеме. Сообщите своему руководителю, что теперь у вас есть доступ. Если это проблема, то можно внести исправления. Если нет, то наслаждайтесь тем, что теперь вам это доверили.
Если вы подходите к этому как к рассказу своему боссу о фактическом вопросе, просто чтобы босс не удивился более неприятным образом, тогда это не должно выглядеть как болтовня. Это просто ознакомит кого-то с последними настройками безопасности. Не проблема.
Скорее всего, этот старожил знал, что у вас нет доступа; вот почему пароль был общим. (Если бы он думал, что у вас должен быть доступ и у вас уже был бы пароль, то он бы не делился им.) Это вполне могло быть преднамеренным и одобренным действием.
Что касается того, что он находится в электронной почте, это может иметь большое значение или вообще не иметь значения, в зависимости от таких факторов, как то, насколько защищена электронная почта и насколько важен этот конкретный пароль на самом деле. Если у вас более высокие стандарты, соблюдайте их (не отправляя такие электронные письма самостоятельно), но я не рекомендую обвинять вашего друга (который доверил вам пароль), пока вы не подтвердите позицию организации в отношении того, что является или не является t приемлемая обработка этих данных.
Во-первых, как практикующий специалист по информационной безопасности (ИТ-аудитор), я полностью согласен с остальными ответами.
Вы должны сообщить своему начальнику и службе ИТ-безопасности, если она у вас есть.
Как мне рассказать своему боссу об этой бреши в системе безопасности, чтобы это не прозвучало как мелкая болтовня?
Вы не сказали, какой контент хранится на сервере, содержит ли он конфиденциальную информацию или это «живой» рабочий сервер. Вы также не знаете, отправил ли ваш коллега пароль ROOT по электронной почте другим неавторизованным сотрудникам вашей компании или внешним третьим лицам. В отличие от вас, другие могут поступить так же, как ваш коллега, и отмахнуться от инцидента.
Однако примите во внимание этот факт: кто знает, какие злонамеренные намерения может иметь конкретный инсайдерский сотрудник, конкурент или киберпреступник?
Что может произойти, если пароль root будет скомпрометирован с точки зрения ЦРУ безопасности :
Если вы работаете в регулируемой сфере, такой как здравоохранение, применяются определенные правила, такие как HIPPA. Наказания за инциденты могут быть суровыми. Даже если ваша отрасль не регулируется, последствия могут быть серьезными в виде потери текущего бизнеса, а также предполагаемого будущего бизнеса, если инцидент с паролем раскрывает данные клиентов.
Подводя итог моей точки зрения:
Последствия этого инцидента для безопасности гораздо серьезнее, чем могло бы быть представление о том, что вы «сплетник». Как бы вы себя чувствовали, если бы произошла утечка данных, и вы не сообщили об этом своему руководителю, который мог бы смягчить любые последствия ?
Хотя это правда, что это проблема безопасности (во-первых, чтобы дать вам пароль root; во-вторых, отправить его по почте, что само по себе небезопасно), вам не нужно решать проблему. со своим боссом.
Дипломатичным и в то же время этичным решением для нежелательных паролей является отказ от заучивания пароля. Это означает удаление полученной почты, очистку корзины почтовой системы, а не копирование ее в личный сейф с паролем. Если пароль легко запомнить и его трудно стереть из памяти, то никогда не используйте его, даже если вы его знаете.
Следующий, не менее важный шаг — разрешить отправителю сейчас. Это можно сделать совершенно нейтрально, «эгоцентрично»: «Мне неудобно иметь этот root-пароль, я его удалил и не буду использовать. Я знаю, к кому обращаться, когда мне нужен доступ, и буду работать на этой машине вместе с ними». , если нужно». Если они вообще чувствительны к темам безопасности, они поймут суть. Если нет, то это все равно не имеет значения. Сделайте это на том же носителе, на котором вы получили пароль (просто ответьте на письмо, которое вы получили от них, очевидно, заменив фактический пароль на «***»), чтобы получить бумажный след, на всякий случай.
Возложение вины на них или даже обращение к своему боссу кажется верным путем к тому, чтобы впоследствии не иметь такого прекрасного социального окружения, и, вероятно, вообще ничего не сделает для повышения безопасности вашего места.
Есть причина, по которой в крупных компаниях есть отдельная организация (CISO или что-то в этом роде), которая решает эти вопросы вне общей управленческой иерархии.
Личное время анекдота (потому что это всегда личное время анекдота):
Я уволился из компании при менее чем благоприятных обстоятельствах. Я был техническим директором, поэтому, естественно, у меня был доступ ко всем системам. Несколько недель спустя я заметил, что мое имя пользователя и пароль все еще работают в производственной базе данных.
Это было типично для небрежного поведения, которое и привело к моему уходу. Недовольные бывшие сотрудники всегда являются первыми подозреваемыми в случае хакерской атаки, а если бы она и произошла, я не хотел, чтобы кто-нибудь мог сказать: «Ну, Мальволио все еще знает пароль».
Поэтому я отправил генеральному директору безличное электронное письмо с просьбой изменить его.
Две недели спустя я снова проверил, и он не изменился. Я отправил генеральному директору еще более обезличенное электронное письмо о том, что если мой пароль все еще будет работать через 48 часов, я опубликую имя пользователя и пароль на Hacker News.
Мои источники сообщили, что генеральный директор немедленно созвал собрание всех оставшихся инженеров и приказал изменить каждый пароль и каждое имя пользователя в системе.
Он был не очень ярким.
Но это не было бы хорошим решением в ситуации с ОП, хотя он находится в почти шатком положении, как и я.
Поскольку он не хочет показаться мелочным, самое время положиться на пассивный залог :
Это не великая проза, но хорошая политика.
Моей первой мыслью было пойти к человеку, который прислал вам пароль, и сказать ему, что он действительно не должен этого делать. Я не вижу необходимости втягивать его в неприятности с боссом. Ваш коллега пытался вам помочь. Кажется довольно скользким доносить на него боссу за нарушение правил в процессе попытки помочь вам. Если бы я бездумно нарушил какое-то правило политики компании, пытаясь помочь другому сотруднику, и он сразу же выдал бы меня, вы можете быть уверены, что это был бы последний раз, когда я сделал что-то для него. В его следующем запросе я бы сказал ему, что он должен отправить запрос через своего менеджера, чтобы он был обработан по соответствующим каналам.
Вы не сказали, какая информация находится на этом сервере. Если это что-то, что в случае компрометации может привести к гибели людей или, по крайней мере, стоить компании больших денег, потребуются более решительные действия, чем если бы все, что на нем, было архивом новостей компании за последние 50 лет. Кроме того, доступен ли сервер через Интернет или он доступен только во внутренней сети? И т.п.
Я думаю, что должен сообщить об этом своему боссу, чтобы он мог изменить пароль, но я изо всех сил пытаюсь понять, как это сделать. Я не хочу показаться болтуном.
Поэтому я не думаю, что вам нужно говорить, что ваш босс должен знать: цель состоит в том, чтобы просто проинформировать вашего босса таким образом, чтобы ваш коллега не воспринял это как вызов полиции.
Во-первых, осознайте, что это может оказаться невозможным: если он твердо решил обидеться, то нет никакого способа сказать об этом вашему начальнику и не обидеть вашего коллегу. Но с другой стороны, ему не повезло (преднамеренно или случайно) создать для других стимул скрывать свои ошибки.
Затем вернитесь к своему коллеге и скажите ему (не спрашивайте его), что, к сожалению, вам не разрешено иметь пароль, который он вам только что дал. Вы знаете это, потому что ваш босс контролирует этот пароль и отказывался от него в прошлом. Итак, потому что теперь вы это знаете: либо вам нужно разрешение вашего босса, чтобы иметь пароль, либо пароль нужно изменить. Это будет иметь место независимо от того, как это было дано вам.
Кроме того, поскольку он был отправлен вам по электронной почте, скорее всего , пароль необходимо изменить в любом случае, даже если у вас есть разрешение на его знание. Если рассматриваемый пароль очень незначителен, а ваша система электронной почты достаточно безопасна, то ваш начальник может принять этот риск, но это должно быть связано с конкретным расчетом. Для несколько надуманного примера: если удаленный вход в систему с паролем отключен, машина является виртуальной (следовательно, у нее нет возможности войти в систему с локального терминала), и вы были единственным человеком, оставшимся с доступом к машине, который еще не знает пароль root , может не возникнуть непосредственный риск при рисовании пароля root 10-футовыми буквами на стене здания. Но это все еще не очень хорошая практика, так что ваш босс вполне может отказаться от этого!
Это излагает проблему, как вы ее видите, вашему коллеге. Крайне важно сосредоточиться на проблеме: «Я знаю то, чего не должен знать», а не «ты сделал то, чего не должен был делать», и не говори об обвинении. Затем вы можете предложить два решения:
Теперь в этот момент коллега может предложить третий вариант: «ничего не делай и не доноси на меня». В таком случае вы не можете не обидеть его и должны поступать так, как велит ваша совесть, несмотря на связанные с этим неприятности. Но если он выберет первый вариант, позвольте ему сделать свое собственное ограничение урона с вашим боссом, а затем через некоторое время спросите своего босса, каков был результат, насколько это повлияло на вас. Это служит двум целям: вы хотите знать свой уровень доступа к машине, и это позволяет вашему коллеге оставаться честным, если по какой-то причине он предпочел бы сказать, что свяжется с вашим боссом, а затем на самом деле не сделает этого.
Если он выберет второй вариант (поскольку он чувствует, что для него нет никакого ущерба в том, что вы пойдете к своему боссу), вы можете пойти к своему боссу и не беспокоиться о последствиях. Если вы правы, что он незаинтересован в безопасности, небрежен и полностью защищает свое положение, то я думаю, что, скорее всего, он выберет второй вариант. Если он хочет прикрыться, он вполне может взять первое.
Вы также можете обсудить со своим начальником вопрос о том, почему кто-то вообще использует пароль root, а не правильно управляет списком sudoers. Но это отдельная задача. Это одна из причин этой проблемы, но признание этого не устраняет беспорядок.
Ну, наверное, хорошо. Обязательно сообщите об этом своему боссу, чтобы проверить, не хотят ли они сбросить пароль после того, как вы закончите. Если нет, спросите, нужно ли вам следовать каким-либо дополнительным протоколам теперь, когда ваш уровень доступа повышен. Дело в том, что если ваш коллега мог дать кому-то пароль, это означает слабую безопасность, независимо от того, дали ли они кому-то вроде вас или нет.
Из соображений безопасности рассмотрите возможность перенастройки серверов, чтобы корневой доступ управлялся без совместного использования паролей (часто используется специальная учетная запись с привилегиями sudo).
Вы можете справиться со сплетнями так, как это иногда делают менеджеры. Определите «всех», не выделяя человека. Если не нажимать на информацию.
Вы : Босс, мне нужно "скопировать файлы" с "сервера", чтобы выполнить мою задачу. Я обнаружил, что могу сделать это сам, так как теперь у меня есть пароль root для доступа к серверу. Могу ли я продолжить и скопировать свои файлы?
Босс : Что? МОЙ БОГ! Пароль?! Безопасность! Как?!! Кто сделал это?!
Вы : Кто-то из сотрудников прислал мне пароль, когда я попросил помочь мне с моей задачей.
Босс : Кто это сделал?? Это был Боб, не так ли?? Он всегда этим занимается.
Вы : Я предпочитаю никого не бросать под автобус, но, возможно, отмечу, что у нас в офисе слабая культура безопасности, и я думаю, что мы можем ее улучшить. Пароль был отправлен мне по электронной почте.
Босс : Все равно скажи мне, или все проиграют.
Вы : Это был Боб. Боб сделал это. Кроме того, отправка открытого пароля root по электронной почте — это большое дело и серьезная проблема безопасности, которая подвергает риску и ответственности всю компанию.
край
Майлз
кибернард
Рэй
Дэйвид
Рэй
Рускал
Карл Билефельдт
ТКП
Иван
Алекс С
Алекс С