Сказки о безопасности: Внешний аудит

Сказки о безопасности: Внешний аудит

— Константин Павлович, вы начальник службы безопасности и должны знать, что наша фабрика заключает договор с Европейской ассоциацией фармацевтической индустрии.

— Конечно, ведь мы говорим об этом уже год.

— Вы видели, что одно из требований ассоциации — это поведение аудита информационной безопасности?

— Да, конечно! Мы обновили все наши бумаги и, надеюсь, что готовы к аудиту.

— Кто готовил документы?

— Зам начальника отдела ИБ. Мы специально брали его для этой работы.

— Вы уверены в нем?

— Да!

— Смотрите, отвечать всем нам.

И вот настал день «Ч». Приехал проверяющий из Европы. Молодой человек с прекрасным русским языком. Первым делом он затребовал бумаги. Целый день возился с ними, что-то отмечал, подчеркивал… Наконец-то заявил, что к бумагам претензий нет, но настоящий аудит он начнет завтра.

И вот настало утро.

— Доброе утро, господа! Я просмотрел вчера ваши документы. А сегодня мы с вами попробуем понять, как у вас все это внедрено. Итак, по договоренности со мной в 9-00, то есть через две минуты, энергетики обесточат серверную. Отключат линию № 1. Ваши действия?

— Мы перейдем на источники бесперебойного питания.

— Нет-нет. Не рассказывайте, делайте!

— Иваныч, сколько протянут на аккумуляторах?

— Как сколько? 15 минут, как раз чтобы выключиться.

— А вторая линия?

— Автомат не переключил, случилось что-то.

— Что?

— Разбираемся.

— А генераторы?

— Дизельные что ли? А когда мы их последний раз проверяли? Баки пустые, генераторщика у нас нет. Они ж на аутсорсе.

— Как?

— Так финансовый директор вместе с вами отдал их на аутсорс еще два года тому. Я ж говорил, что так нельзя. Но кто ж меня слушает?

— Что делаем?

— Что-что. Я отключаю серверы. Все, завод встал.

— Итак, господа, результат. Из-за отключения электропитания серверная обесточена. Встали первая, вторая и третья линии разлива лекарств в ампулы. Завод встал.

Через два часа разговор продолжили в приемной директора.

— И что вы можете сказать в свое оправдание? Главный энергетик!

— Что сказать? Подача электроэнергии с первого и второго ввода шли в противофазе. Из-за этого автоматическое переключение не произошло.

— Кто и когда проверял? Зам по ИБ, вы этим занимались?

— Да, я проверял и писал главному энергетику. Трижды.

— Почему не приняты меры?

— Мы пытались сделать, но у нас не вышло.

— А что с генератором?

— По настоянию финдиректора была проведена кадровая оптимизация и дизель-генераторы переданы на аутсорсинг фирме Д. Они регулярно проводили все необходимые работы.

— Кто контролировал с нашей стороны?

— Руководитель по ИТ и главный энергетик! Они подписывали акты.

— А кому принадлежит эта фирма?

— Их женам!

— И вы как начальник службы безопасности не обратили на это внимания?

— Ну почему же? Мои докладные лежит у вас. Вот копии с входящими номерами. Их аж четыре.

— Разберемся.

Через неделю директор (она же владелец фабрики) своим приказом уволила весь руководящий состав службы безопасности и службы ИБ за проваленный аудит. Нет, ну не увольнять же своего зятя — начальника ИТ или своего же кума — главного энергетика?!

Как давно вы проверяли энергетическую безопасность вашей серверной? И проверяли ли вообще? А главное — кто проводил аудит?

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только