Вторжение в ЦОД с помощью сертификации: чужой среди своих

21 мая 2014 г. | Механиков Олег | Категория: Обсуждаем статью

Специалисты компании Riello предупреждают о том, что на рынке встречаются мошенники, которые под видом экспертов электроснабжения получают доступ в центры обработки данных. Производитель Riello UPS сообщает, что количество таких случаев растет и для борьбы с негативным явлением компания создала схему сертификации, чтобы определить подлинность инженеров.

Внедрение посторонних лиц к ЦОДы становится все более горячей проблемой в США, с тех пор как атаку мошенников пережила Target, известная американская компания, управляющая сетью магазинов розничной и электронной торговли. Доступ к данным электронной почты 80 миллионов покупателей и 40 миллионов кредитных карт стал возможен из-за того, что злоумышленники получили физический доступ в центр обработки данных.

Новая программа сертификации инженеров станет преградой для проникновения в дата-центры тех, кто не авторизирован официально для технического обслуживания клиентов. Представитель Riello предупреждает, что компании, по сути, сами открывают двери злоумышленникам, если не проверяют аккредитацию сотрудников, которые посещают дата-центр для обслуживания и ремонта энергетического оборудования, например, ИБП.

По мнению представителей Riello, технический персонал, обслуживающий оборудование ЦОДа, должен пройти всестороннее обучение для эксплуатации и обслуживания ИБП. После этого инженерам выдается удостоверение личности с уникальным идентификационным номером. Личность сотрудника можно проверить по этому номеру, используя специальный веб-сайт.

«Сертификация поможет не только проверить компетенцию работника для выполнения работы, но и обеспечить уровень безопасности, который другие производители ИБП не предоставляют, − сказал Лев Крейг, генеральный директор Riello. − Несколько других производителей ИБП решили проблему несанкционированного обслуживания с помощью закрытых протоколов».

Крейг рассказывает, что в его компании решили отказаться от закрытых систем, потому что это мешает здоровой конкуренция на рынке. В Riello создали широкую сеть квалифицированных сервисных партнеров, чтобы обеспечить доступ к оборудованию только квалифицированных сотрудников. В компании говорят – сертификация для работы в ЦОДе – необязательна, это дело добровольное, но это помогает избежать неприятностей.

КОММЕНТАРИИ ЭКСПЕРТОВ

Алексей Солдатов, генеральный директор компании DataPro

Сертификация хорошее дело, только злоумышленник также может получить сертификат и на этом основании проникнуть в ДЦ.

Ситуация, описанная в статье, возможна только в случае,  если энергетическое оборудование размещено в одном помещении с вычислительным. Самый эффективный способ предотвращения таких событий – физическое разделение по охраняемым помещениям вычислительного и технологического (не только энергетического, но и холодильного оборудования) оборудования, так, как например это сделано в ЦОДах компании DataPro.

Геннадий Дунаев, директор службы эксплуатации ЦОД «ТрастИнфо» (ГК "Ай-Теко")

Сертификация специалистов, обсуждаемая в статье, безусловно, нужна, но в любом случае для выполнения ТО инженерных систем в дата-центр (в частности, к нам в "ТрастИнфо") могут допускаться только официальные представители вендоров (т.е. те, кто авторизирован официально), и для их допуска на территорию ЦОД ведется двойной паспортный контроль по заранее согласованным спискам. За лояльность этих специалистов (как и за их квалификацию) отвечает компания-исполнитель работа. Кроме того, внешние сервисные инженеры и аудиторы выполняют работы под контролем инженеров ТИ – это ещё один способ обеспечения безопасности. 

Преступный умысел, если он есть, невозможно обнаружить с помощью сертификата или ключа. Поэтому наиболее эффективный метод - сочетание контроля доступа и физической защиты стоек, включая системы видеонаблюдения. Кроме того, нужна постоянная работа сотрудников HR и специалистов по ИБ с сотрудниками, имеющими доступ для работ в ДЦ: например, «профилактические беседы» на предмет выявления потенциальных нарушителей. Проактивный подход важен: предотвратить несанкционированное проникновение проще и результативнее, чем потом определять, на каком уровне оно произошло и с какими целями. Причем нарушителя можно установить очень быстро (благодаря все тому же двойному паспортному контролю, СКУД, видеофиксации), а вот что дальше делать, каким образом определять преступность намерения и ответственность за такие нарушения - это уже вопрос законодательный.

Теги: Riello, UPS, ИБП