Tego typu przypadki zdarzają się wielokrotnie przy instalacji oprogramowania wraz z bazą SQL. Hasła do tych baz są standardowe (password) lub są puste. Taka standaryzacja haseł bierze się często z tego, że dostawca nie chce "sprawiać klientowi kłopotów" lub też po prostu zbytnio się wysilać w okresie gwarancji. To, że jest to praktyka niedopuszczalna z punktu widzenia bezpieczeństwa - to już nie ich sprawa. Przecież dostawca, który jedynie instaluje oprogramowanie, nie odpowiada za bezpieczeństwo infrastruktury klienta, a w każdym razie nie dostał za to żadnych pieniędzy...

Firma, która nie zatrudnia na stałe informatyka, prawie na pewno nie zapyta się, dlaczego hasło do serwera baz danych SQL jest "password" lub "admin". Ułatwiając sobie pracę, dostawcy bezmyślnie to wykorzystują. Ale nie wszędzie jest tak źle. Pozytywnym przykładem jest firmowane przez banki oprogramowanie do zdalnego wykonywania przelewów. Programy te "utrudniają życie", ale niosą gwarancję przemyślanego systemu zabezpieczeń oraz dobre wsparcie techniczne. Słowem - odpowiedzialność.

Co by tu pozmieniać

Tę pełną przewidywalność, co do szkodliwości której nie ma wątpliwości, można próbować uzdrowić. W przypadku firmy działającej w rozproszeniu bardzo dobrym rozwiązaniem jest wprowadzenie rotacji pracowników między placówkami na dwa do sześciu miesięcy. To na pewno spowoduje zmianę rutynowych rozwiązań, odświeży podejście. Taka rotacja ma dodatkową zaletę - pracownicy mogą się zastępować na wypadek choroby czy też wspomagać, gdy dojdzie do poważnej awarii w jednej z lokalizacji - w tej kwestii warto przeczytać artykuł Marcina Marciniaka pt. Doświadczenie, nie wyobraźnia w CW 11/2005.

Biorąc nowy system pod opiekę, informatyk zawsze odciska na nim swoje piętno, konfigurując go według własnego uznania i upodobania. Często stara się też udowodnić, że dopiero za jego kadencji rozwiązanie zaczęło działać tak, jak należy. Mamy więc dwie pieczenie na jednym ogniu: informatyk się rozwija, widząc rozwiązania kolegi, a przy tym sam próbuje usprawnić swoje, aby było najlepsze. Po kilku miesiącach przyjdzie następny administrator i też będzie próbował coś zmienić. W ten sposób wytworzy się proces doskonalenia i ulepszania w różnych dziedzinach. Dla bezpieczeństwa będzie to na pewno lepsze niż pełna standaryzacja.

Jeśli firma nie dysponuje dostatecznie licznym personelem w dziale informatycznym, pozostaje tylko zatrudnienie zewnętrznej firmy, która przeanalizuje sieć pod kątem bezpieczeństwa. Uwzględnienie w tej analizie problemów związanych ze standaryzacją uważam za jeden z jej ważniejszych celów. Po takiej analizie administratorzy powinni być przeszkoleni i nauczyć się stosowania bezpiecznych praktyk.

Oczywiście, usługi zewnętrzne związane z ustaleniem podatności konfiguracji sieci i usług nie są tanie, pytanie jednak, czy stać nas na ponoszenie konsekwencji fuszerki i lenistwa. Aby nie stawiać spraw na ostrzu noża, można wykonać analizę konfiguracji jedynie w odniesieniu do sieci, a listę problemów przedstawić informatykowi do rozwiązania w określonym czasie (tydzień, dwa tygodnie), a po jego upłynięciu ponownie sprawdzić, jak wygląda konfiguracja.

Takie rozwiązania mogą pomóc, lecz jeżeli firma posiada tylko jednego informatyka i nie ma zamiaru inwestować w audyty zewnętrzne pozostaje tylko i wyłącznie dobre przeszkolenie. Informatyk powinien mieć świadomość, że instalowanie wciąż tych samych rozwiązań, tych samych usług i pilnowanie ciepłego fotela w pracy nie jest bezpiecznym rozwiązaniem. Trzeba wciąż rozwijać i testować naszą sieć pod kątem zmiany standardów i poziomu bezpieczeństwa. Unikać masowego instalowania i tworzenia jednolitych haseł. Trzeba zmienić świadomość i nastawienie, że zawsze istnieje lepsze rozwiązanie - a firma płaci mu za to, aby to on je znalazł. Zawsze pojawia się pytanie, kto pierwszy dostrzeże, że w naszej firmie funkcjonuje wadliwy standard: haker czy nasz administrator?

Można do tego podejść także jeszcze inaczej, np. wdrożyć relatywnie nowe rozwiązanie, które zrywa z dotychczasową praktyką w dziedzinie haseł i np. wymusza zmiany haseł na wszystkich, również na administratorach. W ten sposób za jednym zamachem otrzymuje się standaryzację, ale standaryzację polegającą na wymuszaniu ciągłej zmiany.

Po pierwsze: nie pomagać

W dobie masowej komunikacji i masowo rozsyłanych wirusów standardy okazują swoją drugą, nieznaną wcześniej twarz. W połączeniu z daleko idącą automatyzacją typowych czynności standaryzacja może już w niedalekiej przyszłości prowadzić do poważnych strat i komplikacji. Nic nie poprawiać, nic nie ulepszać... to dobre dla dużej liczby użytkowników, którzy w swojej masie stanowią koszt bezsprzecznie wymagający optymalizacji i standaryzacja jest jednym z narzędzi do tego celu.

To, co stosuje się do użytkowników, niekoniecznie odnosi się do administratorów. Ponieważ ich elektroniczne tożsamości wyposażone w ogromne uprawnienia kontrolują kluczowe dla działania sieci systemy i usługi, standaryzacja działa tu odwrotnie: tworzy ryzyko i ostatecznie prowadzi do wzrostu kosztów informatyki. Złośliwcy nie ustają w próbach - nie ma sensu ułatwiać im zadania, podając na tacy standardowe ustawienia. Intelektualne wyzwanie z tym związane nie będzie stratą czasu.