Z pamiętnika bezpiecznika, czyli scenki rodzajowe palcem bezpieczeństwa dotknięte.

Autor: Jan Kapusta

Scena 2, czyli jak, z kim i o czym gadać

Jak ważna w bezpieczeństwie jest sieć kontaktów, chyba każdy wie. Przydatność tego narzędzia można rozpatrywać w wielu aspektach. Patrząc na to z perspektywy czysto profesjonalnej, trudno nie docenić możliwości wymiany doświadczeń czy monitorowania ryzyka dzięki kontaktom z kolegami i koleżankami z branży. Nikt z nas nie zna się na wszystkim, co przydaje się w bezpieczeństwie, ale zazwyczaj znamy kogoś, kto będzie umiał odpowiedzieć na pytanie, z którym sami sobie nie możemy poradzić. Albo zwyczajnie podzielić się opinią co do naszych pomysłów czy rozwiać nasze wątpliwości. Świat korporacji i wielkiego biznesu znalazł i na tę okoliczność swój własny termin – „networking”. Warto zastanowić się nad tym, kto, kogo i w jaki sposób reprezentuje w trakcie rozmów z siecią kontaktów. Czy zawsze reprezentuje tylko siebie, a może ktoś reprezentuje, w taki czy inny sposób, również mnie?

Znany nam „bezpiecznik” Janek doświadczył siły networkingu, choć sama sieć kontaktów nie odegrała tu kluczowej roli. Jeden dzień, kilka zależności oraz przedstawiciele różnych dyscyplin związanych z bezpieczeństwem, które prowadzą do jednego wspólnego mianownika. Na szczęście w mianowniku nie ma obowiązku wstawiania tylko jednej wartości, więc nie pozbawię Cię, Drogi Czytelniku, przyjemności analizowania i samodzielnego wyciągania wniosków.

W ramach swej pracy Janek codziennie kontaktował się z dostawcami usług z zakresu szeroko rozumianego bezpieczeństwa, którzy świadczyli je dla jego „matki korporacji”. To jakiś instalator dzwonił, że dojechał na serwis i ma problem z konfiguracją lub wejściem do obiektu, to znowu szef ochrony z jednego z obiektów, żeby zgłosić, że coś przykuło jego uwagę i może wpływać na poziom bezpieczeństwa, a to dla odmiany przedstawiciel dystrybutora sprzętu z informacją o nowym, świetnym rozwiązaniu, które chętnie dostarczą na testy. To wreszcie sam „bezpiecznik” dzwonił, by dowiedzieć się, gdzie firma modernizująca systemy zabezpieczeń aktualnie się znajduje, bo z pewnością nie tam, gdzie być powinni tego dnia. Jak by to powiedziano w firmie: „daily business” – typowy dzień roboczy.

Sprawa, którą miał się zająć, wydawała się równie typowa, jak setki podobnych, które Janek załatwiał niemal rutynowo. Policja poprosiła o „monitoring” z jednego z podległych „bezpiecznikowi” obiektów. Zawsze zastanawiał się nad tym, co znaczy fraza „zabezpieczyć i dostarczyć monitoring”, ale już dawno przestał walczyć z wiatrakami i nie silił się na tłumaczenie różnic między monitoringiem a zarejestrowanym materiałem wideo. Poprawność formalna to jedno, a zrozumienie, o co chodzi, to drugie i nie zawsze jedno idzie w parze z drugim. Nie ulega wątpliwości, że Janek wiedział, czego oczekują organa ścigania, które tym razem w opinii „bezpiecznika” i tak przygotowały bardzo przyzwoite pismo – był namiar do osoby prowadzącej sprawę, a podany zakres czasowy był bardzo precyzyjny. Widać było, że wiedzą, czego chcą, i chwała im za to. Na uznanie zasługiwał też fakt, że pismo dotyczyło zdarzenia sprzed kilku dni, co pokazywało, że ktoś bardzo pilnie pracuje nad sprawą, a przynajmniej że w krótkim czasie zebrał sporo informacji, co nie zawsze jest rzeczą trywialną. Janek przyjął za pewnik, że załatwi temat w kilka minut, ale… życie miało nieco inny plan na tę okoliczność. „Bezpiecznik” był dumny z faktu, że dysponuje możliwością połączenia się zdalnego z dowolnym elektronicznym systemem zabezpieczeń zainstalowanym w jego obiektach. No, prawie z dowolnym, gdyż pojedyncze sztuki były niedostępne przez sieć z różnych powodów. Kilka obiektów oczekiwało na modernizację, a zainstalowane w nich systemy nie przeszły testów dotyczących ich wpływu na sieć korporacyjną i ich odporność na ataki z sieci teleinformatycznej. „Bezpiecznik” często powtarzał też, że technika to technika i wszystkie urządzenia niezależnie od ich pozycji na rynku czy ceny mają jedną cechę wspólną – mogą się zepsuć. Znając te uwarunkowania, „bezpiecznik” miał pełną świadomość, że nie zawsze uda się pobrać zarejestrowany materiał poprzez sieć. Janek zgodnie z przyjętym schematem działania sprawdził, czy nie ma do czynienia z jednym z tego typu przypadków. „Cóż za niespodzianka” – pomyślał i gdyby wypowiedział tę myśl na głos, każdy bez trudu zauważyłby sarkazm.

Pierwsza czynność i od razu plan runął. Wiadomo już, że temat nie zajmie kilku minut, lecz „od biedy” dwa dni. Trzeba będzie napisać zlecenie, przesłać je do konserwatora systemów w tym obiekcie, powiadomić szefostwo obiektu o terminie i celu wizyty konserwatora, zorganizować przekazanie nagrania… „Ech” – westchnął Janek, ale cóż poradzisz, jak nic nie poradzisz. Pisemko przygotowane i czujny telefon do szefa serwisu w firmie, która konserwowała systemy w obiekcie – tak na wszelki wypadek, by przypadkiem sprawa nie umknęła oczom wspomnianego szefa. Okazało się, że firma akurat robi serwis u konkurencji, obok naszego obiektu, więc nawet tego samego dnia mogą zrealizować zlecenie na zgranie wideo.

Zgodnie z rozmową i procedurą „bezpiecznik” poinformował formalnie szefostwo obiektu o wizycie serwisu i jej celu. Dla pewności potwierdził temat telefonicznie i zajął się innym zagadnieniem, jako że to zadanie już nie wymagało jego zaangażowania, a przynajmniej nie dzisiaj. Na dzisiaj zostało jeszcze kilka godzin pracy, której jak zawsze było pod dostatkiem, i mimo oficjalnej zgody jego szefa na wydłużenie doby do 48 godzin ta zdawała się kompletnie nie zwracać uwagi na korporacyjną hierarchię oraz konsekwentnie trzymała się swoich zasad i ani przez chwilę nie zamierzała się wydłużać… nawet o minutę. Janek, mający świadomość bycia zasobem, wielokrotnie zadawał sobie pytanie o kryteria, którymi kierują się osoby odpowiedzialne za dobór zasobów, a właściwie ich ilość w stosunku do realizowanych zadań. Wiedział też dobrze, że nie jest jedyną osobą, która takie pytania stawia, a co więcej osoby zmagające się z tego rodzaju pytaniami pracują w wielu różnych organizacjach, a nie tylko w tej jednej firmie. Miał kilka koncepcji na ten temat, ale one niespecjalnie wiele wnosiły do jego pracy, więc zwyczajnie zaczął czytać kolejnego e-maila, który wpadł przed chwilą do jego skrzynki pocztowej. Nie skończył go czytać, bo znowu zadzwonił telefon. Tym razem to szef serwisu z innej firmy postanowił z nim porozmawiać, zadając pytanie o niemal powszechnie znany kontroler kontroli dostępu. „Bezpiecznik” węszył podstęp, bo wszyscy, albo prawie wszyscy, znali to urządzenie. Był to chyba jedyny tego typu kontroler, produkowany przez jednego z większych krajowych producentów.

– A czemu pan pyta, panie Michale? Przecież instalowaliście to wielokrotnie, wliczając w to instalacje dla nas.

– No tak, ale może są jakieś zmiany, których nie jestem świadomy, a potrzebuję się upewnić co do jednej kwestii, a mianowicie czy może on obsługiwać więcej niż jedne drzwi?

– Panie Michale… – westchnął nieco skołowany „bezpiecznik” – odpowiedź ma pan w nazwie urządzenia: „kontrol er jednego przejścia”. – Janek często odnosił się do nazw urządzeń czy całych systemów, które zazwyczaj niosły ze sobą sporo informacji o nich. – Po mojemu jedno przejście to jeden kontroler, więc o ile nie ma pan drzwi dwuskrzydłowych, to możemy przyjąć, że jedno przejście to jedne drzwi, które mogą mieć zainstalowany jakiś czytnik z jednej lub obu stron przejścia, i mówię raczej o wnętrzu i zewnętrzu pomieszczenia niż lewej i prawej stronie drzwi.

– Panie Janku, a czy zna pan może kogoś z bezpieczeństwa waszej zacnej konkurencji, popularnie zwanej Szarą?

Kolor dość często był używany do określenia firmy bez konieczności wymawiania jej nazwy i zazwyczaj odnosił się do koloru wiodącego w logo.

– Tak. – „Bezpiecznik” nie miał wątpliwości, o kogo pyta pan Michał. – A o co chodzi?

– A czy mógłby pan im wyjaśnić to samo, co mi przed chwilą? Nie dość, że musimy do nich ciągle jeździć na serwis, bo cały czas zdalnie mieszają w programach urządzenia i co chwilę przez ich zabawy coś nie działa, to teraz wymyślili sobie, że na wspomnianym kontrolerze mamy robić dwoje drzwi.

Janek wysłuchał, jak to jego koledzy z konkurencji doprowadzają do sytuacji, w których systemy przestają działać, a potem wzywają serwis do spowodowanych przez siebie dysfunkcji systemu oraz jak próbują wymusić niemożliwe do skonfigurowania na wybranym sprzęcie funkcjonalności. Nie zamierzał się odnosić do tych oczekiwań, bo zwyczajnie nie znał ani celów, ani założeń, jakie przyjął „konkurencyjny” departament bezpieczeństwa. Słowo „konkurencyjny” świadomie zostało wypowiedziane z dziwnym akcentem, by dać rozmówcy do zrozumienia, że nie chodzi o dosłowne rozumienie tego terminu. Wielokrotnie na spotkaniach branżowych podnoszona była kwestia, że nie konkurujemy, a współpracujemy, by sektor uznawany był za bezpieczny. Konkurencja była zarezerwowana dla sprzedaży produktów, a nie ochrony. Wielu jego kolegów naprawdę w to wierzyło, a i sam Janek zaliczał się do tego grona „wierzących”.

– A tak swoją drogą, panie Michale, czy naprawdę uważa pan, że jak ja do nich zadzwonię – powiedział Janek – i powiem im, że nasz wspólny wykonawca systemów skarży się na ich brak kompetencji, to rozwiąże to pana problem? A zastanawiał się pan, jak to wpłynie na relacje pana firmy z „bezpiecznikami” wiadomej organizacji? Oczywiście jeżeli pan chce, mogę do nich zadzwonić i z najwyższą możliwą delikatnością porozmawiać z nimi, ale na pana miejscu chyba jednak skłaniałbym się, by samodzielnie im to wytłumaczyć.

Janek podpowiedział szefowi serwisu, jak użyć dokumentacji produktu i jak podnieść kwestię odpowiedzialności za zmiany w systemach. Zaproponował, by zainteresowane strony siadły do stołu i określiły sobie, czy dostęp na uprawnieniach administratora jest tym, co „bezpiecznik” potrzebuje, czy może inny poziom będzie wystarczający. Ostatecznie pan Michał poprosił, by Janek zapomniał o tej rozmowie oraz zapewnił, że wie, jak samodzielnie sobie poradzić.

Bezpiecznik” był nieco zaskoczony tematem konwersacji, którą właśnie zakończył, i jednocześnie dumny z faktu, że kwestie uprawnień dla własnych ludzi dokładnie przeanalizowali z zespołem, nim doszło do usieciowienia ich rozwiązań Naprawdę uważał, że co jak co, ale projekt usieciowienia zabezpieczeń zrobili z kolegami jak trzeba. Oczywiście nie ustrzegli się błędów i z niektórymi mają nadal problem, ale póki co nic znacząco nie komplikowało im życia. Co do samych uprawnień odcinali się jak mogli od praw administratorskich. Jest to świadoma strategia, pozwalająca im uniknąć rozmycia odpowiedzialności i wzajemnego oskarżania się o błędy w konfiguracji. Oczywiście wiedzieli, że względnie łatwo sprawdzić logowanie użytkownika z uprawnieniami administratora, ale precyzyjne określenie, co dokładnie administrator zrobił, było co najmniej trudne. Niezależnie od tego, co logi systemowe w różnych systemach zawierały, to „bezpiecznik” ze swoimi kolegami z zespołu i tak systematycznie przeprowadzali analizę logowań, ze szczególnym uwzględnieniem logowań zdalnych. Janek ten punkt kontrolny uważał za kolejny powód do dumy, gdyż jego zdaniem branża ciągle wykazywała się dużą ignorancją w stosunku do płynących z sieci zagrożeń dla elektronicznych systemów zabezpieczeń. Co prawda nie umiał jasno odpowiedzieć na pytania, czy środowisko związane z zabezpieczeniami technicznymi nie ma świadomości ich występowania, czy zwyczajnie je ignoruje, ale miał pewność, że wiele osób z branży nie wykazywało specjalnego zainteresowania zwiększaniem swej wiedzy w tym zakresie. Wiele razy spotkał się z sytuacją, w której ludzie instalujący tego rodzaju systemy od strony sieciowej oczekiwali tylko wskazania gniazda RJ i podania adresu IP, choć i tu bywały wyjątki. Do historii przeszedł jeden serwis tak zwanej kamery IP, gdzie instalator zadzwonił, że system nie widzi kamery, a jest na sto procent sprawna, bo sprawdził ją w biurze i tam „ruszyła od strzała”… Chwilę zeszło, by wyjaśnić mu, że fabryczny adres IP kamery może i przeważnie różni się od tego, który będzie wymagany w miejscu instalacji. Innym razem firma instalacyjna, którą bardzo szanował i znał od lat, nie mogła zrozumieć, że wpięcie kontrolera do gniazda w patch panelu, zamiast do gniazda przygotowanego dla tego kontrolera, nie zmieni sytuacji i urządzenie nie będzie się komunikować, bo jest zwyczajnie po innej stronie tego samego „druta”, a potrzebne jest połączenie ze switchem. Dziś na twarzy „bezpiecznika” maluje się uśmiech na wspomnienie pamiętnej rozmowy, ale wówczas czuł raczej frustrację, usiłując ustalić przez telefon, co do czego było podpięte, by wreszcie móc wytłumaczyć, że to czarne bez diod to patch panel i w połączeniu z gniazdem na ścianie stanowi to coś na kształt przedłużacza, więc jeżeli ten  przedłużacz” nie jest podłączony do sieci, to kontroler się z siecią nie skomunikuje, a zatem trzeba to podłączyć do takiego zielonego pudełka z diodami, które jak wszystko jest względnie OK, zaczną świecić i mrugać. Nietrudno sobie wyobrazić, że rozmowa o protokołach, portach czy usługach raczej nie wchodziła w rachubę. Janek jednak z nadzieją patrzył w przyszłość, bo wiedział, że nie ma odwrotu i firmy muszą się zmierzyć z podstawami wiedzy sieciowej. Wierzył, że bardziej skomplikowane kwestie, jak wspomniane ataki sieciowe, z czasem też przestaną branżę przerastać i nawet od czasu do czasu był w stanie zauważyć pojedyncze jaskółki zwiastujące wiosnę, która może przyjść późno tego roku.

Bezpiecznik” zdołał odpowiedzieć na parę e-maili i odbyć jeszcze kilka rozmów, nim z pracy nad odpowiedzią na kol ejne pytanie przesłane drogą elektroniczną wybił go ponownie telefon od szefa serwisu, który kilka godzin wcześniej obiecywał wizytę w celu zabezpieczenia materiału wideo, o który prosiły organa ścigania.

– Panie Janku, jest problem – zaczął pan Andrzej. – Jesteśmy na miejscu, ale tego nagrania nie ma.

– Jak to nie ma? To znaczy z jakiego powodu go nie ma?

– Janek nie lubił tego typu sytuacji. Wiedział, że niekiedy coś może się nie nagrać, bo urządzenia czasem zawodzą, ale zawsze albo prawie zawsze oznaczało to dodatkową pracę i konieczność wyjaśnienia sytuacji.

– Rejestrator od blisko dwóch tygodni nie nagrywa i to najprawdopodobniej przez pana. Musiał pan, panie Janku, wyłączyć zapis, zdalnie, przez sieć. Niestety, ale innego wytłumaczenia nie znajduję.

Janek potrzebował chwili, by otrząsnąć się z tego, co usłyszał. Oczywiście nie uważał się za osobę nieomylną, ale szef serwisu zarzucał mu dokonanie rzeczy raczej niemożliwej w tym konkretnym przypadku. Pomijając fakt, że podczas połączeń z urządzeniami „bezpiecznik” zawsze sprawdzał ich status przed wylogowaniem, co nie zmieniało faktu, że jest nadal człowiekiem i mógł zwyczajnie mieć słabszy dzień i zapomnieć o tej czynności, to były dwa kluczowe czynniki, które w tej sytuacji technicznie i logicznie uniemożliwiały „bezpiecznikowi” zdalne wyłączenie zapisu w tym urządzeniu.

– Panie Andrzejku kochany… – powiedział Janek, który słowo „kochany” rezerwował na specjalne okoliczności, a ta w jego rozumieniu do takich właśnie należała. – A czy może pan zerknąć na tylny panel rejestratora i powiedzieć mi, czy jest coś wpięte do jedynego gniazda RJ tam zlokalizowanego?

– Chwilkę… – Szef serwisu musiał na moment odłożyć telefon, by dostać się to tylnego panelu urządzenia. – No nie, nic tam nie ma.

– To czy może mi pan wyjaśnić, jakim cudem, nie posiadając konta użytkownika na tym urządzenia, nie wspominając o uprawnieniach administratora, których nikt z wyjątkiem państwa firmy nie posiada, wyłączyłem przez sieć lub – jak pan woli – zdalnie zapis w urządzeniu, które do sieci nie jest podpięte? Czy nie pospieszył się pan nieco z diagnozą? – Janek nie ukrywał irytacji. – Co więcej, w moich dokumentach istnieje informacja, że dwa tygodnie temu przeprowadzaliście państwo konserwację w tym obiekcie, co może pan sprawdzić w protokole, którego kopię pan posiada. Wnioski może pan swobodnie sam wyciągnąć, kto i kiedy mógł wyłączyć rejestrację, ale póki co poproszę o zgranie i wysłanie do mnie jeszcze dzisiaj konfiguracji urządzenia i pełnej dostępnej historii zdarzeń z systemu.

Mimo iż minęła dobra chwila od rozmowy z panem Andrzejem, „bezpiecznikiem” wciąż targały emocje. Nikt nie lubi być oskarżanym, ale nie to bolało go najbardziej. Ciągle zastanawiał się nad tym, że człowiek, którego zna i który w jego opinii miał największą wiedzę o zainstalowanym systemie w tej lokalizacji, tak szybko wyciągnął wnioski, kompletnie ignorując istotne elementy, które mogły pomóc w rozwiązaniu zagadki. Janek próbował odpowiedzieć sobie na pytanie dotyczące z jednej strony poziomu zaufania do firmy i konkretnych osób, a z drugiej o właśnie ujawnione luki w procesie, przez które doszło do takiej, a nie innej sytuacji. System przed dwa tygodnie nie działał poprawnie i nikt tego nie zauważył. Oczywiście Janka czekało jeszcze sporo pracy papierkowej i analitycznej, a właściwie najpierw analitycznej, a potem papierkowej, bo najpierw musiał przeanalizować fakty, wliczając w to historię zdarzeń z systemu, posiadane dokumenty, następnie wyciągnąć wnioski i spróbować odnaleźć przyczynę braku zapisu. Potem jeszcze odpowiedź do organów ścigania oraz analiza procesu i nadzoru nad nim na potrzeby własnej organizacji. Janek westchnął tylko na myśl, jak sprawa wyglądająca na możliwą do załatwienia w pięć minut się skomplikuje i rozwlecze w czasie.

Uwagę Janka przykuł jeszcze jeden ciekawy zbieg okoliczności, który do samej sprawy nic nie wnosił, ale wydawał się jedynym humorystycznym elementem tamtego dnia. Kto by się spodziewał, że po tak długim wykładzie o poziomach uprawnień w systemach i ich wpływie na rozmycie odpowiedzialności, którego udzielił szefowi serwisu jednej firmy, jeszcze tego samego dnia będzie się musiał zmagać z tym zagadnieniem w konfrontacji z szefem serwisu innej firmy. Szczęście w nieszczęściu, że był na tę konfrontację przygotowany, choć zupełnie się jej nie spodziewał.

Analiza wykazała, że technicznie za brak nagrania winę ponosiło samo urządzenie, które wskazywało, że zapis się odbywa, choć w praktyce nie był on realizowany. Wyglądało to tak, jakby rejestrator się częściowo zawiesił w niecałą dobę po konserwacji. Ta sytuacja pozwoliła na przyspieszenie modernizacji problematycznego systemu w oparciu o przetestowane urządzenia. Co do samego procesu nadzoru nad systemem i serwisem – po analizie wprowadzono kilka mechanizmów, które okazały się dość efektywne, ale pozwolę Ci, Drogi Czytelniku, byś sam znalazł możliwe lekarstwo na tego typu sytuacje. Podpowiem jedynie, że z problemem poradzono sobie i proceduralnie, i technicznie. Jestem przekonany, że jesteś w stanie nie tylko znaleźć możliwe rozwiązanie problemu, ale wskazać również wiele elementów w tekście, które warto przeanalizować nie tylko od strony technicznej, ale również strony bardziej „miękkiej”, jak np. kto, z kim i w jaki sposób się komunikuje. Networking jest ważny, ale znać ludzi to jedno, a dać się poznać, to- co innego. A tak w ogóle… czy to tekst o networkingu? ;)

Źródło: SEC&AS, wydanie 1/2018, s. 100

Powiązane

DLACZEGO POWINNIŚMY POSŁUGIWAĆ SIĘ NORMĄ?!

18.01.2019

Roboty przeganiają bezdomnych w San Francisco

15.12.2017

Popularne

Zrób to sam. Kamera termowizyjna Część II
26.02.2018
Cz. 1. Jednostki miar wielkości fizycznych – układ jednostek SI i nie tylko.
13.09.2018
Kamera termowizyjna. Część I
15.01.2018

Sec&As

COPYRIGHT © 2017 RIPOSTA. WSZELKIE PRAWA ZASTRZEŻONE. PROJEKT I REALIZACJA: RIPOSTA