Как можно бороться с подлостью увольняемых сисадминов?

Question

[Pleshner]

Меня как начальника ИТ-отдела, сплошь и рядом состоящего из сисадминов, волнует вопрос из заголовка. Недавно был очень неприятный инцидент, когда уходя один из админов нанес серьёзный технический урон нашей организации, но юридически доказать ничего не смогли, хотя всем всё ясно. Задать вопрос побудила вот эта страшная статья, в принципе на чем-то очень похожем обожглись и мы.


А какие меры вы принимаете, чтобы обезопасить себя и свою организацию от корпоративного саботажа и инсайдеров? Административные, технические, образовательные… буду благодарен за любую конкретику, примеры, советы.

Answer 1

[xsash]

Админа проще убить, чем уволить (с)

Comments

[izmalk]

Все это понимают, но боялись сказать. Теперь когда вы это произнесли у половины присутствующих поднимется мотивация к добросовестной работе, на пару дней. Да и, вероятно, следовало уточнить что ваши слова не являются побуждением к действию или подстрекательством. А то «в составе преступной группы по предварительному сговору...»

[Александр Горский]

«Так вот, очко у Семена, видно, играло — знал, с чем дело имеет. И решил он себя обезопасить. Написал программу, которая в конце каждого месяца всю директорию должна была стирать, если он ее вручную не тормознет, и подсадил в файл с Кириенко. А дальше эта программа сама все правительство заразила. От вирусов у нас, ясно, защита есть, но Семен очень хитрую программу придумал, такую, что она по хвостам секторов себя записывала, а в конце месяца сама себя собирала, и по контрольным суммам ее никак нельзя было найти. Только ты не спрашивай, что это значит, я сам не понимаю — просто разговор слышал. Короче, когда его в твоем «мерседесе» за город увозили, он пытался про это Азадовскому рассказать, а тот даже говорить не стал. А потом — дефолт всему. Леня волосы на себе рвал.»

Answer 2

[Lev Lybin]

Тщательно подбирать персонал, достойно платить, не конфликтовать с сисадмином, если уж дело увольнения, то заранее узнать все пароли и другую информацию, а потом действительно не пустить на проходной, но наверное оплатив 14 дней, лучше их чем что-нибудь вам сделают.

Answer 3

[Николай Турнавиотов]

Первый и последний аргумент, уже описанный выше — не только с админом, но и с любым сотрудником надо расходиться так, чтобы он после увольнения мог подсказать что, где и как.
В мелких компаниях зачастую новый пришедший администратор хватается за голову «какой идиот это строил» и начинает переделывать с нуля — во всех мелких компаниях, где я работал — было именно так: пришел, ужаснулся, переделал по человечески, задокументировал, копию документации отдал руководству на всякий случай в электронном и бумажном варианте со всеми логинами/паролями, отличными от доменных, которые привязаны где только можно.

Я ленивый админ и желание сделать закладку у меня возникло один раз за все 10 лет трудового стажа, но в компании руководство сменилось на более адекватное и желание делать закладку отпало после почти часового общения с новым шефом.
У меня почти всегда в руководителях разбирающийся в ИТ-рисках человек,

А гадить себе же в репутацию как-то глупо, по меньшей мере — всё равно в 90% случаев будущее руководство звонит предыдущему с вопросами о тебе, любимом.

А если есть желание поставить закладку, считаю, что лучшая закладка — заявление об уходе.

Про то, что администратора за 2 недели надо лишать админских прав — так нафига он тогда нужен — картриджи менять?
Если ничего выполнять он уже фактически не может.

Comments

[Flammar]

Почему за 2 недели? За 2 или 3 месяца, вроде, по закону. Выдать 2-месячную зарплату в качестве выходного пособия по согласованию сторон… Или зарплату платить, за «периметр» не пускать, разрешить отсутствовать на работе;-) отдел кадров — вне «периметра» (напр. в проходной), есличо…

[Николай Турнавиотов]

flammar КЗоТ Вашей страны почитайте, там четко сказано.

[NitroG]

Вообще никогда мысли делать закладку не возникало даже. Работаю в маленькой компании. Если меня попросят уйти, я сам удалю все свои учётки во всех системах и приложениях, либо отдам, попросив сменить пароль, чтобы исключить возможность взлома моих профилей и возможные подозрения в мой адрес. А вот что посоветовать работодателям, даже и не знаю…

Answer 4

[Артур Смирнов]

В крупных компаниях зачастую об увольнении узнают на проходной. Начальник вежливо отдает вещи положенные в коробочку и дает напутствие. Некоторые сотрудники думают что это ужасно жестко, на самом деле это простая безопасность. За 14 дней можете дать половину оклада — чтобы индивид успокоился, зато и данные целы и Ваши нервы.

Comments

[Pleshner]

В нашем случае так не сделали, но даже если и так — в нашем случае у человека была довольно хитрая закладка в системе, логика которой сводилась к тому, что надо было ежемесячно выкладывать определенный файл в определенное место, что проверялось по шедулеру, если это не было сделано — запускался деструктивный процесс. После ухода человека, через 3 недели, собственно, и произошло ЧП с самоуничтожением всего и вся. К сожалению, проходная здесь вряд ли помогла бы… установить именно его причастность к созданию этого функционала не получилось.

[snp]

Ага, а потом сисадмин подаёт в суд за нарушение ТК — за то, что не выплатили пособие (ст. 178) и не предупредили за 2 месяца (ст. 180).

> За 14 дней можете дать половину оклада
Ох как щедро… Читайте ТК, там написано, что вы не «можете», а обязаны дать. А чтобы человек закрыл глаза на нарушение закона работодателем, придётся дать побольше.

[Артур Смирнов]

Имелось ввиду конечно дать сверху обязательного. Ну раз Вы так сильно отстаиваете ТК, то выходит что:
1. Надо контролировать всё что делает сотрудник
2. После объявления о увольнении, все 2 месяца усердно следить за сотрудником (возможно зарезать его административные права).

Я не совсем понимаю, раз все так уверенны что всё решается через суд, тогда логично накинуть систему аудита чтобы можно было что-то предъявлять — сотрудник добавил define true false; в такой то файл такого-то числа…

[conopus]

Ну, вот и ответ, вытекающий из комментария snp: самим не подличать. Никаких друг гарантированного способа боротся с саботажем — просто нет. Как говориться в одной американской книжке: расставаясь с сисадмином директору стоит лично подать ему пальто и еще раз спросить всем ли он доволен.

[snp]

ТК это закон, его требования даже не обсуждается. К сожалению, в нашей стране очень любят законы нарушать и обходить.

Вот ниже правильный комментарий написал dkr6.

За словами «увольнение сисадмина» слишком многое может стоять. Начиная от действительно IT-шника психопата, заканчивая «а чего это мы ему деньги ни за что платим, а давайте студента наймём».

Вопрос в общей атмосфере организации. Недоверие с одной стороны порождает недоверие с другой.

Answer 5

[AGvin]

Хотелось бы, уточнить:

не пустить на проходной

Вас это от админов не спасет. Админ может все что ему нужно сделать удаленно. Даже если Вы считаете, что Вы удалили все аккаунты админа, он может, где-нибудь, припрятать «Backdoor» известный только ему.

Разве что контролировать действия по работе своих подчиненных. По другому почти никак.

Мне кажется, что в данном варианте, админ будет больше контролировать чем Вы. Или я не прав? =)

Самый простой вариант, это не ссориться с админом.
В ином варианте, Вам надо будет, идеально, знать что и куда бэкапится )

Comments

[Lev Lybin]

гг, вот так вот почитаешь и получается что сисдамин божество какое то, котрому нужно только дары подносить чтобы не разгневать)))))

Answer 6

[Константин Фролов]

А почему никто не задумался об этой ситуации? Админ уже имел закладку в системе, следовательно всё было не совсем гладко, и видимо не один месяц ситуация накалялась.

Answer 7

[casperrr]

Иметь свою службу информационной безопасности, в идеале. Дела должны быть так налажены, что бы действия админа так же контроллировались системами ОИБ, которые ему не подконтрольны, аудит действий, DLP всякие. Это конечно сложно и дорого, удел больших богатых корпораций. Для уровня попроще — что бы коллектив был как семья. И кого попало туда не пускать, кроме проф. качеств внимательно относиться к личностным при приеме на работу.

Comments

[Николай Турнавиотов]

К сожалению, в наших реалиях СБ — в 90% компаний бывшие менты, мало разбирающиеся в ИТ, ранее работавшие в МВД и прочих госструктурах

[casperrr]

Знаком не по наслышке :) Но это СБ в широком смысле, бумажки со стола на стол перекладывают на тему, сколько самолетов пролетело над объектом и сколько бездомных собак отловлено на территории, а надо бы ИБ, тоже в широком смысле. Что бы от кадровиков до пиарщиков курировать, не только ИТ, заниматься всеми видами рисков, связанных с информационной сферой.

Answer 8

[Aldorr]

Разве что контролировать действия по работе своих подчиненных. По другому почти никак.

А ситуация знакома. Админ перед уходом (уже во время стажировки нового) решил снести базу бухгалтерии и бэкапы с собой прихватил.

Comments

[Евгений Безымянников]

Уголовка же.

Answer 9

[Николай Турнавиотов]

Кстати, корпоративный саботаж и инсайд — это немного другое.
В нормальных компаниях администратор БД != Администратор системы, а Администратор бекапов != Администратор БД и != администратор системы,
Я за свой стажа работы успел понаставить серверов для БД, но как-то дальше установки ms sql, mysql, postgres'а и выдачи админского логина/пароля нужному сотруднику дело не шло, я только ставил обновления и патчи, после чего мы согласовывали время ребута машины.
При этом он следил за созданием бекапов, а я следил чтобы бекапы не исчезли никуда в неизвестном направлении.

Кстати, в этом очень спасает включенный аудит в случае шага направо/налево — письмо в почту админа + руководителя а дальше — докладные и увольнения, в том числе, по статье.

Answer 10

[Zhbert]

Если «админ» хреновый, то и знаний у него не хватит на нормальную закладку. ИМХО, конечно же. А если админ хороший и грамотный, то зачем его увольнять? Платить нормальную ЗП и не конфликтовать с ним, и у него даже мысли не возникнет на всякие там вредные штуки. Или у вас, как у многих, есть желание сэкономить, наняв студентов?

Ну а о ситуации в целом — я бы не стал грохать все и вся, это просто как-то некрасиво. Так, немножно «наказать» можно — уронить наглухо интернеты или чего в этом роде, но на всякий случай оставить бэкапы в каком-нибудь скрытом месте, чтоб будущий админ, если не дурак, нашел и починил. Ну а если не осилит — пусть начальство понимает, какого хорошего спеца выгнали =) Хотя, если начальство «довело» его до состояния полнейшей мсти — не грех и все подряд грохнуть, ибо нефиг.

Comments

[lubezniy]

О ситуации в целом — месть сама по себе неконструктивна. Да и работодатель даже без юридических необходимостей вполне может устроить такому «админу» эцих с гвоздями. В небольшом городе и посёлке, где все друг друга знают, достаточно пустить информацию о случившемся по друзьям и знакомым с рекомендацией задуматься, стоит ли брать такого на работу. Для более населённых пунктов есть СМИ и инет: публичное покаяние руководства с указанием данных «админа» вряд ли положительно скажется на дальнейшей его карьере. Зачем до этого доводить?

[grossws]

Стоит помнить, что информационное пространство — дорога с двусторонним движением: админ тоже может знать много нелицеприятного о компании/её начальстве и т. п.

Answer 11

[CKOPOBAPKuH]

По-моему, гораздо важнее вопрос не «как уволить такого админа», а «почему мы не отсеили его на этапе собесеседования». Потому что гораздо лучше вообще таких не принимать (или просто снизить вероятность такого события), чем делать систему безопасности, само существование которой оттолкнёт нормальных кандидатов.
Вам работать нужно или мудаков всяких контролировать?

Answer 12

[13oz]

Если админ уже установил закладку — делать что-то, скорее всего, уже поздно.
Из организационных мер — то же самое, что и для любого другого сотрудника, имеющего отношения к критичной для компании информации. Админ отвечает за обслуживание ИТ-инфраструктуры, с помощью которой информация и обрабатывается. Я бы даже сказал, что к админу должны применяться более жесткие политики ИБ.
Что бы можно было что-то обоснованно говорить по юридической части — в компании должен быть введен режим коммерческой тайны. Это не так страшно, как кажется.
Из технических решений контроля над действиями админа — могу назвать Wallix Admin Bastion, BalaBit Shell Control Box и ObserveIT. Но на отечественном рынке они пока особого распространения не получили.

Answer 13

[FedLab]

Возможно напимать еще одного специалиста для контроля работы другий и выявления «дыр». Для этого оптимально нанимать по договору на конкретный срок и без обязательств и обещаний о последующих заказах. Или знайомые/проверенные люди/конторы.

Answer 14

[iandriyanov]

Отлично помогает cvsbackup. Конечно если совсем припрет можно и бакапы удалить или накосячить изрядно. ОДНАКО diff'ы может сохранить и выкатить потом нет проблем.

И да! Совет!

Если в какой то определенный период времени Вы осмелитесь составить слежку за работой админа, к примеру записывать все что он набирает в терминале, не важно каким образом. Узнав об этом. Вы получите еще больший гемморой. Он называется Индивиальный конфиг. Не знаю как ныняшний админ поступает. Но я давно не пользуюсь типовыми конфигами сервисов. А некоторые конфиги вообще в шифровании, не потому что работодатель, а потому что боязь что ***дять. Зачастую конфиги являются — результатом творческой деятельсти. И к сожалению не всегда gpl.

Comments

[CKOPOBAPKuH]

мальчик, ты что, упоротый?

[Max B]

напишите статью про не-gpl конфиги сисадмина, работающего по договору «вся твоя мозговая деятельность = собственность компании», мне аж интересно стало

Answer 15

[4eS]

Где-то с месяц назад у нас уволили одно из администраторов домена. Увольняли одним днем.
Т.е. человек ушел к начальству, где ему сообщили об увольнении.
Пока шла беседа, службой ИБ был изъят комп, заболокированы учетная запись и пропуск. Проводился ли какой-то аудит, не могу сказать, не знаю.
После выхода от начальства админа забрала СЭБ (экономическая безопасность) и проверяла на полиграфе.
Далее человека вывели из здания в сопровождении сотрудников СЭБ.
За такие «неудобства» добавили денег, на сколько мне известно.

Бывали случаи, когда, как уже писали выше, человек узнавал об увольнении уже за територией организации.

Думаю, что защитить себя (компанию) на 100% не получится, но категорически необходимо к этому стремиться.
И начинать нужно, как правильно упомянули выше, с тщательного подбора персонала.
Хорошие условия труда.
Внутренние документы, регламентирующие правила работы с информационными ресурсами.
Отдел ИБ, занимающийся в том числе и аудитом имеющейся инфраструктуры.

Answer 16

[KokonKokon]

Простите, первый раз тут пишу. Но как бороться с руководством, которое ежедневно "завтраками" кормит на счет задержанной зарплаты, причем мизерной...? Конечно могу приехать обрушить все, потом чинить две недели, пока все долги не выплатят. Но хотелось бы сразу проучить, чтобы понял, что от техн. инженера вся работа офиса зависит...

Comments

[other_letter]

Вы сейчас пишете о боли (очень образно, в бизнес-смысле), но это неверный подход в данном ключе.
Вероятнее всего, Вы осознаëте, что будущего с этим работодателем нет, верно?
Мизерность зарплаты - не довод, это Ваш выбор.
А задержка - довод. Это противозаконно и я на полном серьëзе советую действовать по закону. И не надо вредить, это тоже противозаконно.

Я сейчас не буду подбирать документы и ссылки, но в целом:
1. Пишете заявление что отказываетесь выполнять работу ввиду задержек. Слать надо заказным письмом с описью вложения.
2. ждете выплаты
3. если что-то не так - в суд. Можно в трудовую инспекцию, но обычно с этими товарищами общаться... Ну, будто ты им что-то должен.

Разумеется, нормальной работы после этого уже не выйдет, придëтся увольняться, но чиновникам лучше говорить, что Вы за справедливость и готовы работать.

Результат - пока не закроются долги Вы не выходите на работу, получаете зарплату (ну, условно - этот простой потом также истребуется). Если речь про село где больше работать и негде - да, проблема. Но обычно нет.

А вот нарушать закон руша систему - не надо. Это уже их простой и с Вас компенсация.