Lue keskustelun säännöt.
Konsulttiyhtiötä ei kiinnosta hevon v-täkään meidän ohjeistukset tietoturvaan liittyen
09.05.2017 |
Annettiin konsultille pääsy SSH:lla yhteen meidän palvelimista. Samalla määrättiin että konsultin SSH-avain säilytetään hänen hallinnoimissa tiloissa jossa on kulunvalvonta (ei esimerkiksi kannettavassa tietokoneessa joka kulkee jatkuvasti mukana) ja salatulla kiintolevyosiolla.
Mitä tapahtui? Kolme kuukautta toimeksiannon päättymisestä huomattiin että palvelimelle yritettiin kirjautua nimenomaisella avaimella ip-osoitteesta joka kuuluu tor exit nodelle. Asiaa kun kaivettiin vähän niin selvisi että konsultin kannettava on jossain vaiheessa hävinnyt. Kaikesta päätellen se on joutunut rikollisen käsiin ja jos konsultti on säilyttänyt kopion toimeksiantosopimuksesta tietokoneella niin se rikollinen on hyvinkin perillä meidän IT-järjestelmistä.
Jos kirjallisiin sopimuksiin ei voi luottaa niin mitä helvettiä oikeasti?
Kommentit (6)
Minkälaiset sanktiot heille on luvassa?
Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
Ei vaan teitä ei kiinnosta oma tietoturvanne. Miksi tuollainen ulkoinen konsultti on päästetty hääräilemään ilman valvontaa?
Vierailija kirjoitti:
Minkälaiset sanktiot heille on luvassa?
Yhtiö ja henkilö on ikuisesti mustalla listalla.
Konsultti on päästetty hääräilemään koska palvelimelle on vähän vaikea tehdä mitään ilman pääkäyttäjän salasanaa. Ollaan käytetty kyseistä henkilöä ennen ja meillä on hänestä varsin hyvät kokemukset.
Huoh, ja miksi se avain tai tunnari oli voimassa jos kerran tarve käyttää oli jo päättynyt? Varsinainen tietoturva taas kerran. Muutenkin systeeminne on hölmö ja vaatimukset sen verran älyttömät että järjestelmänne pääkäyttäjä taitaa olla joku cisspisäätäjä joka koittaa monimutkaisuudella peittää sen faktan ettei kaveri ymmärrä millä on merkitystä ja millä ei.
Vierailija kirjoitti:
Huoh, ja miksi se avain tai tunnari oli voimassa jos kerran tarve käyttää oli jo päättynyt? Varsinainen tietoturva taas kerran. Muutenkin systeeminne on hölmö ja vaatimukset sen verran älyttömät että järjestelmänne pääkäyttäjä taitaa olla joku cisspisäätäjä joka koittaa monimutkaisuudella peittää sen faktan ettei kaveri ymmärrä millä on merkitystä ja millä ei.
Meidän puolella avain oli poistettu käytöstä heti kun tarve päättyi mutta huomattiin lokeista että sitä oli yritetty käyttää.
Meillekin kävi noin. Luonnollisesti teilläkin kirjaudutaan pääkäyttäjän tilille suoraan, niin ettei teidän tarvitse jaella pääkäyttäjän salasanaa vasemmalle ja oikealle.
Tästedes sitten teette kaiken talon omalla väellä tai vaaditte että ulkopuoliset tekee työt teidän tiloissa eikä etänä.