Я здесь ни при чем

Ситуация вторая. Системный администратор не увольняется из компании, скрывая свою диверсионную деятельность.

Первый и едва ли не простейший путь - физически повредить носитель информации. Александр, сотрудник IT-отдела одной украинской компании, который предпочел сохранить свою фамилию и должность в тайне, утверждает, что уничтожить информацию на жестком диске можно, замаскировав диверсию под технические проблемы. Достаточно подать больше, чем нужно, напряжения на винчестер. В итоге жесткий диск будет безнадежно испорчен, а компьютерщик останется ни при чем - внезапные скачки напряжения не редкость во многих офисах. А блок бесперебойного питания можно отключить под видом, например, планового осмотра.

Более изощренный, но не менее разрушительный способ - внесение изменений в базы данных. IT-специалист, администрирующий ту или иную СУБД (система управления базами данных), имеет практически неограниченные полномочия доступа. Модифицировать информацию - дело пары минут. Зато неверные данные, которые будет выдавать программа, могут стать причиной принятия неправильных управленческих решений, проблем с контролирующими органами и т. п. Доказать же, что изменения внес именно сисадмин, будет практически невозможно - будучи полновластным хозяином в отдельно взятой программе, компьютерщик может замаскировать свое вмешательство в работу системы. Скажем, притворившись обычным пользователем СУБД.

И третий вариант - уничтожение информации от имени конечных пользователей. IT-шник, сопровождающий базу данных, сам распределяет полномочия и устанавливает пароли для всех пользователей программы. Виктор Ламаев считает, что в такой ситуации администратор может стереть всю информацию, действуя от имени другого пользователя: "Первый шаг - предоставить сотруднику, работающему с БД, расширенные полномочия при работе с этой базой. В идеале - подкрепить выделение таких полномочий служебной запиской на имя руководства компании или IT-департамента, предварительно спровоцировав сотрудника на получение новых прав доступа. Второй шаг - зайти в программу от имени этого работника и уничтожить критически важную информацию". В любой БД есть защита "от дурака", но и дураки становятся все более изобретательными. В итоге компания потеряет время и деньги на восстановление БД, а администратор будет здесь ни при чем - по данным программы, информацию уничтожил совсем другой пользователь.

Еще один метод - направление от имени других пользователей писем в контролирующие органы или разработчикам ПО, используемого в компании нелегально. Многим предприятиям есть что скрывать от разнообразных контролеров, да и "ломаных" программ тоже хватает. Иски от разгневанных разработчиков или перманентные визиты проверяющих могут нанести компании существенный ущерб. Компьютерщик, работающий с почтовым сервером, может направить письмо с любой информацией по любому адресу. "Даже если собственник проведет служебное расследование с целью выявить источник утечки информации, под подозрением окажется другой сотрудник, от имени которого и было отправлено письмо", - резюмирует Олег Лазаренко.

Уже упоминавшийся Александр предлагает еще два способа. Один из них опять же связан с внедрением в сеть вирусов. Правда, на этот раз гораздо более опасных. "Существует определенная категория вредоносных программ, избавиться от которых можно, лишь стерев файл, в который они "прописались", - рассказывает Александр. - А "подселить" их можно куда угодно - было бы умение. В том числе и в файлы - носители критически важной информации. Замаскировать источник проникновения тоже несложно, особенно, если кто-то из сотрудников увлекается просмотром порнографических сайтов, открывает вложения в электронных письмах, приходящих неизвестно от кого, или часто принимает файлы через системы мгновенной передачи сообщений (ICQ, QIP, Miranda и т. п.). Виноватым окажется не администратор, а сотрудник, которого наверняка неоднократно предупреждали о возможной вирусной атаке".

Другой вариант, предложенный Александром, - организация в офисе пожара. По его словам, это не так сложно, как кажется. В помещениях, где находятся серверы, нередко очень высокая температура. Соответственно высок риск возгорания. А подложить, например, кусочек промасленной бумаги в нужное место - дело техники. Пожар нанесет убытки, уничтожив не только технику, но и информацию. Администратор снова окажется в стороне, ведь умный IT-шник наверняка уже несколько раз сообщал о возможности пожара и просил выделить средства на установку кондиционеров или на оборудование для нового помещения.

Подарок с сюрпризом

Ситуация четвертая. Сисадмин уходит из компании, однако не хочет, чтобы о его подрывной деятельности стало известно.

Чаще всего в таком случае IT-специалист оставляет разнообразные "дыры" в системе защиты информации. "С ходу обнаружить оставленные лазейки непросто, а через них ушедший компьютерщик может практически в любой момент проникнуть в компанию и стереть либо модифицировать данные", - говорит Николай Федчик, частный предприниматель, специалист по компьютерной безопасности. Другой целью подключения к внутренней сети может быть копирование информации как для личного пользования, так и по заказу, или внедрение вирусных программ. По словам Александра, подавляющее большинство IT-шников, уходя из компании, оставляют подобные лазейки. Так, на всякий случай. Впрочем, эффективность подобной диверсии во многом зависит от компетентности сменщика - насколько быстро он может определить и обезвредить "дыры" в системе безопасности.

Второй случай - уходящий админ оставляет в системе "мины замедленного действия" - практически не обнаруживаемые защитными программами файлы, которые в определенный момент, например, в конкретную дату или при поступлении команды извне, активируются и уничтожат информацию на жестких дисках. Надо сказать, что вероятность подобной диверсии сравнительно невысока - для написания таких программ сисадмин должен обладать высокой квалификацией, а покупать их у разработчика на всякий случай компьютерщик вряд ли станет.

Схожий метод - внедрение в систему программных кодов, которые время от времени будут модифицировать информацию в базах данных. Впрочем, опять-таки подобные модули стоят недешево, следовательно, просто из вредности администратор вряд ли будет заниматься их написанием или тратить деньги на их покупку. Тем не менее Олег Лазаренко не рекомендует отбрасывать эти два способа как невозможные: "Вполне вероятно, что сисадмин внедрит вредоносные программы, действуя импульсивно, просто намереваясь испытать свои силы или тестируя разработку друга".

Наконец, самый экзотичный и сравнительно неопасный для компании способ нанесения вреда уходящим сотрудником IT-подразделения - оставить своему сменщику сообщение о непорядочности руководства или собственников предприятия. Александр вспоминает, что именно благодаря подобному предупреждению он отказался от работы в солидной вроде бы компании. "Мой предшественник ушел еще до того, как меня взяли на работу. Принимая дела и разбираясь в используемом ПО, я наткнулся на оставленное им предупреждение о непорядочности работодателей. К письму прилагались координаты, по которым можно было связаться для получения более подробной информации. Пообщавшись с предшественником, я мгновенно принял решение не устраиваться на постоянную работу в эту компанию, присовокупив к оставленному им сообщению еще и свою рекомендацию. Насколько мне известно, системного администратора эта фирма искала очень долго, пока не подняла ставку более чем в два раза. Лишь тогда нашелся человек, который, несмотря на наши сообщения, все-таки решил устроиться на работу", - делится опытом Александр.