Интересный кейс, с которым может столкнуться любая организация, особенно та, где используются внутренние информационные системы.
Речь о системе, доступ к которой осуществляется через браузер. Всё просто, но с одним важным условием — работать она безопасно может только через современную версию браузера. А современные браузеры, как известно, уже давно не поддерживают устаревшие операционные системы вроде Windows 7 и тем более XP. При этом в реальности таких машин ещё достаточно много — они стоят, крутятся, вроде бы работают, и про них “забыли”.
В какой-то момент было принято технически правильное и обоснованное решение — разрешить доступ к системе только с последних версий браузеров. И тут началась типичная цепочка событий: пользователи не могут подключиться, недовольство растёт, ИТ начинает искать, кто виноват, и в поле зрения попадает информационная безопасность. Мол, это всё из-за ограничений ИБ.
На самом деле это классический случай подмены ответственности.
ИБ здесь как раз на своём месте: задача — защищать систему, а не подстраиваться под старьё, уязвимое со всех сторон. В последних версиях браузеров действительно закрыты критичные уязвимости, и игнорировать это в продакшене — просто безответственно.
Но важно другое: если парк техники в организации не соответствует минимальным требованиям безопасности, это уже не проблема ИБ. Это вопрос к ИТ и к управленческим решениям, которые позволили этой ситуации накопиться. Системы должны быть защищены, а не адаптированы под уязвимую инфраструктуру.
Как временное решение здесь отлично подойдёт доступ через терминальный сервер, на котором крутится современная ОС и актуальный браузер. Это позволит сотрудникам продолжать работу, даже если их рабочие станции устарели. Но это лишь временная мера.
Правильный путь — формализовать требования к доступу: указать минимальные версии ОС и браузеров, зафиксировать их в нормативных документах и дать сроки на обновление. Никакой драмы — просто зрелый подход к управлению ИТ-рисками.
Этот кейс отлично иллюстрирует, как важно разделять зоны ответственности. Информационная безопасность — не тормоз прогресса, а его защита. И если система требует современных условий, нужно не искать виноватых, а наводить порядок в инфраструктуре.
Добавить комментарий