— Иоганн, император приказал провести аудит наших систем противоракетной обороны.
— Хм, господин канцлер, я понимаю, что это необходимо. Однако, простите, мы-то тут причем? Это дело департамента обороны!
— Согласен, однако возникли проблемы. Нужен именно ИТ-аудит, причем независимый. Но сами понимаете, кого попало мы не можем пустить, это ведь совершенно секретные объекты. Так что придется поработать вашим сотрудникам.
— Согласен, но работать им придется в военной форме. Никто не должен знать, что это не специальное подразделение департамента обороны.
— Понимаю. Проверке подлежат как технические, так и организационные аспекты.
— А почему вообще встал этот вопрос?
— После запроса из канцелярии императора. Адмирал С., курирующий направление противоракетной обороны, выразил обеспокоенность состоянием критической инфраструктуры, обрабатывающей данные систем ПРО. А ведь эта информация включает, помимо прочего, результаты военно-космических исследований, инженерно-техническую документацию, спецификации и исходный код различных программ на службе вооруженных сил империи.
— Понятно.
Прошел месяц.
— Господин канцлер, аудиторы изучили ситуацию на пяти случайно выбранных объектах ПРО и выпустили два доклада с выводами.
— Ваши впечатления?
— Откровенно? Сказать бардак — это просто ничего не сказать! Серьезнейшие проблемы! Подрядчики не справились с контролем доступа, учетом и устранением уязвимостей. Армия не смогла защитить сети и системы, хранящие, обрабатывающие и передающие технические данные систем ПРО.
— А можно подробнее?
— Легко, я пригласил сюда руководителей аудиторских команд. Прошу, Франц!
— Господин канцлер, Франц Игл! Руководитель аудиторской команды ВМС империи. Проверкой, проведенной на базе в Штромм, выяснено следующее. Персонал не использует многофакторную аутентификацию. Политика безопасности предписывает сотрудникам использовать для доступа к ИТ-инфраструктуре не только пароль, но и ключ, который нужно активировать в течение определенного срока после приема на работу. На практике этот период растягивается до бесконечности. Нам удалось найти сотрудника, который авторизуется только по паролю на протяжении последних семи лет. На одном объекте многофакторная аутентификация в сети оказалась вообще не предусмотрена. Таким образом, система уязвима перед фишинговыми атаками и хищением пароля.
— А может это только одна такая база?
— Увы, господин канцлер. Мы обнаружили незакрытые уязвимости ПО на трех из пяти объектов. Причем это уязвимости, патчи к которым выпущены от пяти до двадцати (!) лет назад! Как минимум на одной базе ИТ-служба не установила антивирус.
— Господин канцлер, позвольте и мне? Эдвард Трауб, аудиторская команда ВВС. При проверке выявлено, что сотрудники трех баз ПРО не шифровали данные при копировании на съемные носители. По их словам, выполнить требование безопасности было невозможно из-за технической отсталости используемых систем — они не обладали необходимыми мощностями для шифрования, а на новое ПО у летчиков не было денег. Кроме того, руководители технически не могли контролировать соблюдение установленных правил.
И последнее, но самое удивительное. В дополнение к проблемам ПО на многих объектах обнаружились проблемы физической безопасности. В двух случаях посторонние лица могли проникнуть в серверные комнаты, где стояли открытые стойки с оборудованием, что позволяло потенциальным злоумышленникам подключить к нему вредоносные устройства. Руководитель одной из этих баз не знал о необходимости закрывать стойки. В свое оправдание он заявил, что у них не бывает случайных посетителей. На втором объекте требование запирать серверы было размещено прямо на оборудовании, однако персонал игнорировал указание.
— А что говорят руководители?
— Они никак не прокомментировали наши выводы. Просто отказались!
— Да-а-а-а! Теперь я понимаю, что адмирал обрисовал положение еще в розовых красках. Прошу всех руководителей аудиторских команд быть на императорском совете. Докладывать будете лично!
А ведь это не совсем сказка. Проверка показала огромное количество недостатков в информационной безопасности баз ПРО США. И что с этим делать, пока никто не знает!