Zloupotreba položaja IT administratora
Vezano uz: Zloupotreba položaja IT administratora
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
Trebali bi znači uvesti kontrolore koji kontroliraju admine ,slično unutrašnjoj kontroli ,i stvar riješena.Educirati kadar za to,i t je to(troškovi rastu->neisplativo=možda kratkoročno).
Naravno tada ulazimo u domenu politike i antidemokracije i špijunjiranja...i sve se vrti u krug...za to nema rješenja i kako kaže već gore
nx u postu ljudi ,ljudi i samo ljudi....ljudske grešeke koje netko skupo plati.
Uvijek sam se pitao kako firme olako prihvaćaju da administratori mogu pristupiti svim podacima. S jedne strane se uvode silni sigurnosni postupci a sa druge se ne provjeravaju ljudi koji su administratori.
Slično je sa čistačicama, kartica od čistačice otvara sva vrata :p
nikad mi nije niti ce mi iakd opasti na pamet citati nekaj od zaposlenih. jedino kad oni nemogu necem pristupiti. onda se od mene ocekuje da im javim o hitnosti maila ili sadrzaju istog. i to je jedino kad idem otvoriti nekaj. ali da ima svakakvih ljudi- ima
Problem je u ljudima, ali još ima mjesta za promjene u pristupu, odnosno za bitno otežavanje pristupa osjetljivim podacima čak i adminu.
Svaka vrata se mogu probiti, pa i najjača blindirana od trezora, ali treba puuno više truda i vremena a to znači i rizika da će ga otkriti (eksplozivi, dugotrajno rezanje specijalnim rezačima). Cilj je dakle gadno otežati probijanje, tako da se ukupan trud za to ne isplati.
A ako je adminu sve servirano na pladnju bez ikakve zaštite, naravno da će zaviriti i pročitati plaću i slične povjerljive informacije.
Npr. zašto osjetljivi podaci kao što su iznos plaće u bazi podataka nije kriptiran?
Svaki db admin zato može lijepo napraviti SELECT * from PLAĆE i vidjeti sve što ga zanima, a da je kriptirano ne bi mogao.
Oracle ima standardno rješenje upravo za to: dba dmini mogu raditi backup i sve što treba, ali ne mogu vidjeti podatke.
Slično postoji i za datoteke u dijeljenim mapama ili mapama na vašim računalima. Programi koji kriptiraju datoteke ili cijele mape snažnim algoritmima
i admin to ne može čitati. Tada mu probijanje nije nimalo jednostavno i zahtijeva puuuno puuuno više truda i vremena i neće se tako lako odlučiti na to.
Postavljanje keyloggera na svako računalo koje ga zanima, pa filtriranje logova i traženje šifre pa probavanje - dosta više muke i rizika nego sada.
Te mjere smanjile bi broj slučajeva adminove zloupotrebe za 99.9%
Pfju, ove savjete bih trebao naplaćivati :)
Sve nešto kužim da su ekonomisti, tj. oni koji vode brigu o plaćama i takvim podacima, informatički nepismeni - kako ovdje kod nas, tako i vani. Tako da neke opcije koje govore o kriptiranju i drugim teškim intelektualnim oblicima rada sa računarima teško mogu proći.
stvar je vrlo jednostavna. evo da ispricam iz prve ruke..
tamo davne 99te bio sam admin u jednoj od ajmo reci banaka.. i digao sam poslovnicu na noge, sve poinstalirao, postavio sve sljaka ..security ovo ono.. i kada sam odlazio na drugi posao reko sam svome sefu da definitivno treba zaposliti pravog covjeka na mojem mjestu sto implicira neke ljudske kvalitete kandidata... Ipak se radi o banci sa jako puno confidental podataka... naravno ako oces dobrog i pametnog covjeka to košta! Naravno da su zaposlisli prvog mulca sa ulice i platitli mu neku sicu, a taj isti mulac je ADMIN. dakle BOG. Kasnije im je bilo jako zanimljivo....
Ako je covjek odgovoran za sve podatke, kao i za securiti za svih podataka i ako se malo potrudi moze procitati sto god oce... onda ga i platis! Jer ako si i firma i gledash to samo i iz svoje perspektive OPET ti je u interesu da takvog covjeka platis!..
Price/performance/security baby....:)
Da, ja se slažem da admin treba imati pristup svemu. Jer on je odgovoran kad taj isti SELECT * from placa ,ne radi ili sl.
Iz svoje ruke mogu reći kako imam pristup povjerljivim podacima, koji su na serveru, a i onima koji su na korisničkim računalima. Ne privatnim naravno.
Treba naći odgovornog čovjeka na takvo mjesto, i platiti ga i imati prema njemu ljudski odnos.
Na kraju će se taj IT svesti na vjerovanje. Danas SharePoint, sutra cloud-computing. I morat ćete im vjerovati.
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
uostalom.. te ankete su se provodile u SAD i UK. za SAD-u otprilike imam sliku njihovog prosjecnog IT djelatnika (od strucnosti do sigurnosti podataka).. tako da nista cudno.
mislim da kod nas jos uvijek postenje i integritet su prisutni kod ljudi.
imao sam i ja jako puno prilika, a imam jos uvijek (skoro svakodnevno) za otvarati razne povjerljive podatke. no, to mi jednostavno ne pada na pamet niti sam ikada na tako nesto i pomislio. sve dokumente kojima ili imam pristup ili nesto radim s njima (prebacivanje, brisanje etc) tretiram kao vlasnistvo, u prvom redu, klijentske tvrtke i, u drugom redu, samoga korisnika.
u bazama podataka jos se nekako pristup db adminima moze i ograniciti (pristup samim podacima) ali dokumentima po radnim stanicama (.doc, .xls etc etc) malo teze posto admin pristup njima ukljucuje i mogucnost spasavanja podatka u npr. slucaju neispravnog racunala i sl.
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
Pfju, ove savjete bih trebao naplaćivati :)
Na kraju će se taj IT svesti na vjerovanje. Danas SharePoint, sutra cloud-computing. I morat ćete im vjerovati.
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
Zato nulti DB admini imaju neopravdano velike place jer imaju pristup povjerljivim informacijama pa im velike place moraju biti dobar motiv da te informacije ne odaju drugima (ind. spijunaza, privatna korist, itd.)
To su gluposti da nije problem u ljudima. Je, problem je u znatizelji.
Isto tako doktor kada te otvori, moze ti uzeti neki dio/organ i prodati ga na crnom trzistu. Sta ti znas sto imas u sebi :D
Odgovoran admin kojem je stalo do ugleda i reputacije to nece napraviti.
Jer kao i taj doktor koji ti ukrade organ, tako i taj admin vise nikad nigdje nebi nasao posao.
prilika čini lopova
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima
a da nije u robotima?
Evo zašto je važno paziti koga se zapošljava. Postoje testovi koji mogu, općenito uzevši, ugrubo utvrditi karakter osobe i čemu je tra osoba sklona. Nekorumpirani i nepotkupljivi ljudi danas sve više vrijede, ali ima ih sve manje. Kamo ide ovaj svijet?
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
jedan od najboljih načina da imaš apsolutnu lojalnost ljudi na najodgovornijim funkcijama u firmi je da im daš velike plaće, beneficije, i najvažnije, dovoljno veliki paket dionica ne bi li imali osjećaj da i oni posjeduju dio biznisa, te kao takvi ne čine ništa što bi detrimentalno djelovalo na profit, koji je i djelom njihov.Nitko ne želi oštetiti samog sebe, naročito financijski.
Po staroj, koliko para toliko muzike.Ako čovjeku daš, od čovjeka ćeš i dobiti.Pa čak i kad je taj netko administrator. Najsmješniji su mi poslodavci koji očekuju da će mu čovjek raditi korektno, biti lojalan, neće zabušavati, a raditi će budzašto, za kikiriki, titulu i slične gluposti.Ako me cijeniš pokaži mi to preko tekućeg, a ne sa apgrejdanjem titula, usmenim zahvalama i parolama, demagogijama i sličnim.Ako zlorabiš radnika, budi siguran da će ti se to obiti o glavu, prije ili kasnije, na ovaj ili onaj način, a ako ne cijeniš najodgovornije ljude kao što su administratori, koji održavaju za poslove vitalan sustav, e onda bufi siguran da će te to prije ili kasnije opako zaboliti.
Imam pristup apsolutno svemu, iako mozda ne bi tredao, al sam potpisao poduzi dokument o povjerlivosti informacija, tako da se ne isplati pricat o tome. Radim za veliku internacionalnu firmu.
Nema potrebe za ovakvim tonom: "Al lupaš ... nemaš pojma". Radim za telekom pa vidim šta se radi. Proizvođači i integratori imaju daleko veći pristup sistemu nego mi (mogu brisati logove, skrivene komande, password se mijenja jednom u milion godina). Ma niko od radnika ništa ne pazi, svi gledaju samo da odu na doručak, popiju kafu i u 4 kući, a integrator i tehnička podrška u toj slici su crnci koji će im to i omogućiti.
Oprosti ako sam te uvrijedio. Mislio sam da pišeš napamet jer ono što sam napisao je potpuno točno za sve veće telekome (ne znam za Optimu i slične). Komentirao sam zato jer nije fer da se šire dezinformacije o ozbiljnom poslu koji ljudi obavljaju. Raspitaj se u svojoj firmi što kaže odjel za security i pogledaj što stoji u ugovorima o održavanju.
Naxeem... Kada bi nekom reko da odrzavam servere i imam remote na svaki komp (neki kompovi su na udaljenim lokacijama), dosta ljudi bi me pitalo dali citam drugima mailove i dali pratim tko sta radi. Da ti budem iskren hebe se meni ko kome sta pise i ko sta radi na kompu. Imam ja i svog posla i bez tih gluposti.
Slazem se sa tobom, admin treba biti profesionalna i odgovorna osoba. Ali takodjer radi istog trebalo bi ih za to i platiti te bi admini u tom slucaju davali svoj puni potencijal.
Uvijek sam se pitao kako firme olako prihvaćaju da administratori mogu pristupiti svim podacima. S jedne strane se uvode silni sigurnosni postupci a sa druge se ne provjeravaju ljudi koji su administratori.
Slično je sa čistačicama, kartica od čistačice otvara sva vrata :p