Programmering

Hack serverrommet! Ingen teknologi nødvendig

Som vi alle er smertelige klar over, kommer IT-sikkerhet i mange former, fra tekniske detaljer til fysiske barrierer. Men et råd: Dobbeltsjekk alle de nye sikkerhetstiltakene dine. Gå deretter tilbake og tenk gjennom alt som kan være relatert til endringene du setter på plass. Til slutt må du kontrollere at de også er sikret tilstrekkelig.

Jeg jobbet i et selskap for noen år siden hvor jeg fikk et kontor i nærheten av et serverrom. Ikke lenge før hadde IT-direktørene bedt om tiltak for å sikre serverne bedre.

Bekymringen oppstod fordi denne serveren lagret data for en milliard-dollar-operasjon som inneholdt sensitiv informasjon vi var pålagt å bevare. De ønsket å kontrollere tilgangen til rommet tett.

Sikkerhet først

IT-utøvende hadde fylt ut en skjemaforespørsel med anleggstjenester for å fjerne nøkkellåsen og installere en tallkombinasjonslås. Bare noen få utvalgte IT-ansatte ville vite kombinasjonen for å åpne døren.

Anleggsavdelingen gjorde akkurat som fortalt: De trakk ut den nøkkelstyrte låsen og installerte en ny nummertastaturlås. Men som vi snart kom å finne ut, så ingen på det ferdige arbeidet nøye.

Omtrent seks måneder etter at den nye låsen ble installert, sviktet A / C i serverrommet. Fordi kontoret mitt var i nærheten, hørte jeg alarmen og ringte sjefen min for å rapportere hva som foregikk. Ikke lenge etter dukket servicepersonellet opp og prøvde å komme seg inn i rommet, men de hadde ikke fått koden eller noen annen måte å åpne døren på. Det hadde jeg ikke heller.

Vi ringte sjefen min og andre ansatte som vi visste hadde koden, men ingen av dem svarte på kontortelefonene sine (dette var i dagene før mobiltelefoner var vanlige). Alarmene klang stadig og tiden gikk, og vi måtte gjøre noe.

Feil blir muligheter

Jeg så nøye på døren og noen få detaljer dukket opp. De løftet røde flagg om rommets generelle sikkerhet, men ga meg ideer om hvordan jeg kunne ta vare på det umiddelbare problemet.

Først ble hengselpinnene utsatt. Et av alternativene våre var å kjøre hengselpinnene opp og ut og fjerne døren.

For det andre, og raskere og enklere for våre formål, hadde teknikerne som installerte låsen gjort akkurat som ønsket og tilsynelatende ikke tenkt situasjonen gjennom. De hadde fjernet låsesylinderen og installert tastaturet, men hadde ikke skiftet ut låsebolten - tastaturet var festet til en liten spakarm som gikk ned for å trekke tilbake den originale låsebolten. De hadde heller ikke gidd å tilstrekkelig lappe eller dekke til det utsatte området som ble etterlatt: Du kan fortsatt trekke låsebolten tilbake ved å stikke en kleshengertråd inn der låsesylinderen pleide å være.

Klimaanlegget ble løst, og jeg advarte mine overordnede om det vi hadde oppdaget. Unødvendig å si, det tok ikke lang tid før IT-lederne implementerte ytterligere endringer i serverromsdøren - under deres personlige tilsyn.