Kuten olemme kaikki tuskallisen tietoisia, IT-tietoturvaa esiintyy monessa muodossa, teknisistä yksityiskohdista fyysisiin esteisiin. Mutta neuvon sana: Tarkista kaikki uudet turvatoimenpiteesi uudelleen. Astu sitten taaksepäin ja miettikää mitä tahansa, mikä voisi liittyä tekemiinne muutoksiin. Tarkista lopuksi, että myös ne on kiinnitetty riittävästi.
Työskentelin eräässä yrityksessä muutama vuosi sitten, jolloin minulle annettiin toimisto lähellä palvelintilaa. Pian ennen sitä IT-toteuttajat olivat pyytäneet toimenpiteitä palvelinten suojaamiseksi paremmin.
Huoli nousi esiin, koska tämä palvelin varastoi tietoja miljardin dollarin operaatioon, joka sisälsi arkaluonteisia tietoja, jotka meidän oli säilytettävä. He halusivat valvoa tiukasti pääsyä huoneeseen.
Turvallisuus ensin
IT-toteuttajat olivat täyttäneet lomakepyynnön laitospalveluilla avaimen lukituksen poistamiseksi ja numero-yhdistelmälukon asentamiseksi. Vain harvat tietyt IT-henkilöstö tietäisivät yhdistelmän oven avaamiseksi.
Laitospalveluosasto teki täsmälleen niin kuin käskettiin: He vetivät avainkäyttöisen lukon ulos ja asensivat uuden numeronäppäimistön lukon. Kuitenkin, kun saimme pian selville, kukaan ei tarkastellut tarkkaan valmiita töitä.
Noin kuusi kuukautta uuden lukon asentamisen jälkeen ilmastointilaite epäonnistui palvelinhuoneessa. Koska toimistoni oli lähellä, kuulin hälytyksen ja soitin pomolleni ilmoittamaan, mitä tapahtui. Pian sen jälkeen palveluhenkilöstö ilmestyi ja yritti päästä huoneeseen, mutta heille ei ollut annettu koodia tai muuta tapaa avata ovea. En ollut myöskään.
Soitimme pomolleni ja muille työntekijöille, joiden tiesimme tuntevan koodin, mutta kukaan heistä ei vastannut toimistopuhelimiinsa (tämä tapahtui päivinä ennen matkapuhelinten yleisyyttä). Hälytykset jatkuivat ja aika kului, ja meidän piti tehdä jotain.
Virheistä tulee mahdollisuuksia
Katsoin tiiviisti ovea ja muutama yksityiskohta tuli esiin. He nostivat punaisia lippuja huoneen yleisestä turvallisuudesta, mutta antoivat minulle ideoita välittömän ongelman hoitamiseksi.
Ensinnäkin saranatapit paljastettiin. Yksi vaihtoehdoistamme oli ajaa saranatapit ylös ja ulos ja poistaa ovi.
Toiseksi ja nopeammin ja helpommin tarkoituksiimme, lukon asentaneet teknikot olivat toimineet täsmälleen pyydettyinä eivätkä ilmeisesti ajatelleet tilannetta loppuun. He olivat poistaneet lukkosylinterin ja asentaneet näppäimistön, mutta eivät olleet muuttaneet lukituspulttia - näppäimistö oli kiinnitetty pieneen vipuvarteen, joka laski alas vetääkseen alkuperäisen lukituspultin. Lisäksi he eivät olleet vaivautuneet paikkaamaan tai peittämään riittävästi jäljelle jäänyttä paljasta aluetta: Voit silti vetää lukkopultin työntämällä naulakkoa siihen kohtaan, missä lukkosylinteri oli.
Ilmastointi korjautui ja varoitin esimiehiä siitä, mitä olimme löytäneet. Lienee tarpeetonta sanoa, että kesti kauan, kun IT-toteuttajat toteuttivat lisää muutoksia palvelintilan oveen - heidän henkilökohtaisessa valvonnassaan.
