0
Items : 0
Subtotal : 0,00 
View CartCheck Out
0
Items : 0
Subtotal : 0,00 
View CartCheck Out

Zapewne niepoliczalną ilość razy byliśmy świadkami, jak ta zagubiona spacja lub niedodany znak na końcu wiersza niwelował nasze weekendowe plany, niczym buldożer cygańską wioskę w Słowacji. Ileż to razy załkaliśmy nad naszym podłym losem, błagalnie spoglądając nikczemnemu losowi prosto w ślepia… Nic to jednak nie pomogło – ani płacze, ani lamenty. Pozostał tylko jęk i zgrzytanie zębów, gdy skrypty dokonywały swojego dzieła zniszczenia, a dane i infrastruktura ginęły bezgłośnie w obliczu naszej drobnej pomyłki.

Weźmy sobie dla przykładu, naszego oklepanego administratora i zasugerujmy mu, aby nie korzystał bezpośrednio z konta root’a. To jakby wprost poprosić się o katastrofę. Podobno był taki gość co poprosił kiedyś, aby nie zrywać tylko jednego owocu w jego pełnym obfitości ogrodzie… No i jesteśmy, gdzie jesteśmy. Proste zasady, małe reguły są najtrudniejsze do przestrzegania. Podany przykład to czubek góry lodowej, gdzie poza wspomnianym, mamy jeszcze zmiany haseł, konfigurację podstawowych reguł zabezpieczenia usług, ogólne zasady bezpieczeństwa, zarządzanie certyfikatami i mnóstwo innych drobnych rzeczy, które mają nas zabezpieczać przed dużymi katastrofami. Zapominamy o nich każdego dnia – czasami naumyślnie, czasami faktycznie. Dzieje się tak dlatego, że prawdopodobieństwo wystąpienia katastrofy spowodowanej jednym z nich jest relatywnie niewielkie. Pokazuje to osławiony przykład wyciągania urządzenia USB bez odmontowania dysku logicznego w systemie… Nie ma co udawać, że nie wiesz o co chodzi, nie od dziś wiadomo, że świat dzieli się na dwa typy ludzi – tych co bezpiecznie usuwają sprzęt przed odłączeniem i kłamców. Wszyscy to robią i każdemu przynajmniej raz udało się stracić dane, ale czy to czegoś uczy? Nie jestem przekonany, bo przecież dziś się na pewno mi się uda…

Wspomniany defekt nieprzestrzegania małych reguł, ma tendencję do zataczania coraz to szerszych kręgów, co finalnie kończy się totalnym chaosem. Można to zaobserwować, na przykładzie kabla sieciowego. Wyobraźmy sobie idealnie poukładane kable między serwerami, a sprzętem sieciowym. Jak warkocze dziewicy, majestatycznie opadające w dół szafy, tak misternie plecione, eleganckie i pociągające. Wystarczy jednak, że tylko raz, ktoś nikczemnie wepnie się, poza tym uspokajającym porządkiem. Rak jego postępku błyskawicznie rozszerzy się na całe pomieszczenie, a później na całą organizację. Podobnie jest z procedurami, czy choćby zasadami obiegu dokumentów. Jedno odstępstwo i lawina rusza.

Sposób ochrony przed tym zjawiskiem jest stosunkowo prosty. Zacząć warto od wyzbycia się podwójnych standardów postępowania. Przykładowo, gdy posiadamy politykę zmiany haseł co miesiąc, którą chłoszczmy naszych użytkowników to niestety i my musimy jej przestrzegać. Tak, tak, niema co udawać, większość z nas ustawia sobie flagę „hasło nigdy nie wygasa” na koncie w Active Directory, a następnie staje na mównicę i natchnionym tonem peroruje do użytkowników o potrzebie cyklicznych zmian. Przykładów jest więcej – prawa lokalnego administratora, szyfrowanie dysku, pozostawianie standardowych haseł na serwerach lub kartach zarządzających czy też sporadyczne robienie backupów. Oni muszą, a my niekoniecznie. Tłumaczymy się milionem powodów, a prawda jest taka, że w większości przypadków albo się nam nie chce, albo uważamy, że nam nic się przecież nie stanie, lub poradzimy sobie jakby co.

To czysta hipokryzja, której zwalczenie pozwoli nam, a finalnie użytkownikom, zrozumieć, że reguły nie są po to aby je łamać, a służą utrzymywaniu pewnego, zdefiniowanego porządku. Przecież nikt nie będzie szanował zasad, gdy nawet ten co je stanowi, się im nie podporządkowuje. Oczywiście, dobrze by było aby te zasady były mądre… ale to już temat na zdecydowanie dłuższą i o wiele bardziej gorzką rozprawę.

Felieton został opublikowany na łamach IT Professional.

About the author

Bloger i niezależny konsultant z wieloletnim doświadczeniem w branży IT. Specjalizujący się w wirtualizacji i cloud computingu. Posiada tytuły MCP, MCTS, VCP oraz VMware vExpert.

Leave a Reply