Совершенно спонтанно, без какой бы то ни было подготовки, проведен дружественный " аудит " внутренней ИС одного из интеграторов. Сеть простояла не долго. Но плохо не это. Плохо то, что в сети не соблюдаются элементарные правила, уже много лет прописанные во всевозможных инструкциях, статьях и рекомендациях и продаваемые заказчикам в каждом проекте.
Вот немного недостатков обнаруженных при беглом осмотре:
- Сложность паролей не контролируется;
- Ограничений на срок действия паролей нет;
- Сертификаты, генерируемые для удаленного доступа пользователей через vpn, лежат на одном из серверов сети и не защищены паролями;
- Тестовые пользователи с простыми паролями и членством в административной группе;
- Аудит работы сети не ведется и нарушение безопасности не обнаружено (это при том, что в данной ИС хранится море информации о сетях клиентов);
- Тестовые сервера находятся в рабочем домене.
После этого Вы еще считаете, что Заказчики должны слепо доверять защиту своих сетей Интеграторам? Даже если Заказчик может исправить ошибки "недовнедрения" своими силами, то что делать с информацией о проекте и сети заказчика, которая оседает в ИС исполнителя и как проконтролировать доступ к ней?
Конечно, можно сказать, что не у всех все так плохо, но это будет только словами. Пока сети 2-х интеграторов (этот был не первым) сдались без боя.
Что дать интегратору.
Что дать интегратору.
