Как можно бороться с подлостью увольняемых сисадминов?

Меня как начальника ИТ-отдела, сплошь и рядом состоящего из сисадминов, волнует вопрос из заголовка. Недавно был очень неприятный инцидент, когда уходя один из админов нанес серьёзный технический урон нашей организации, но юридически доказать ничего не смогли, хотя всем всё ясно. Задать вопрос побудила вот эта страшная статья, в принципе на чем-то очень похожем обожглись и мы.


А какие меры вы принимаете, чтобы обезопасить себя и свою организацию от корпоративного саботажа и инсайдеров? Административные, технические, образовательные… буду благодарен за любую конкретику, примеры, советы.
  • Вопрос задан
  • 17550 просмотров
Пригласить эксперта
Ответы на вопрос 18
dkr6
@dkr6
Админы быстро заканчиваются…
Хороших админов вообще мало, а «не совсем хорошие» работодателю не нужны…

Обычно HR-щики пытаются нанять подешевле, а ожидают богоподобного IQ и круглосуочной работоспособности.

А когда админ отказывается вместо главбуха колбасить годовой отчет, его начинают увольнять так,
что возникает проблема «как бороться с подлостью»…

Может быть в данном конкретном случае ситуаия совсем не такая, но опыт выявляет другую тенденцию.

Работодателю нужно твердо уяснить, что от сисадмина нет замков и систем аудита.
Хороший сисадмин обойдет любую защиту так, что аудит этого не заметит.
Или он хреновый сисадмин.

Исходя их этого нужно строить политику работы с персоналом категории «сисадмин».
Холить его и лелеять…
И увольнять так, чтобы у него не возникало желания отомстить «козлу-работодателю».
Ответ написан
dkr6
@dkr6
Способов всего два:
1) Увольнять сисадмина «полюбовно».
2) Не дать возможности навредить.
Второй способ достаточно сложен технически.

В идеале, увольнять сисадмина нужно так, чтобы через год можно было смело обратиться к нему с вопросами по его деятельности и получить нормальный совет и/или помощь делом.

В моей практике были все варианты увольнения.
И с доброжелательным сотрудничесвом после увольнения, и диаметрально противоположный вариант.
От работодателя зависит больше, чем 50% проблем.
Не только сисадмины могут быть виноваты в скандальном расставании.

К сожалению.
Ответ написан
@xsash
Админа проще убить, чем уволить (с)
Ответ написан
lybin
@lybin
looking for remote full time job python backend
Тщательно подбирать персонал, достойно платить, не конфликтовать с сисадмином, если уж дело увольнения, то заранее узнать все пароли и другую информацию, а потом действительно не пустить на проходной, но наверное оплатив 14 дней, лучше их чем что-нибудь вам сделают.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Первый и последний аргумент, уже описанный выше — не только с админом, но и с любым сотрудником надо расходиться так, чтобы он после увольнения мог подсказать что, где и как.
В мелких компаниях зачастую новый пришедший администратор хватается за голову «какой идиот это строил» и начинает переделывать с нуля — во всех мелких компаниях, где я работал — было именно так: пришел, ужаснулся, переделал по человечески, задокументировал, копию документации отдал руководству на всякий случай в электронном и бумажном варианте со всеми логинами/паролями, отличными от доменных, которые привязаны где только можно.

Я ленивый админ и желание сделать закладку у меня возникло один раз за все 10 лет трудового стажа, но в компании руководство сменилось на более адекватное и желание делать закладку отпало после почти часового общения с новым шефом.
У меня почти всегда в руководителях разбирающийся в ИТ-рисках человек,

А гадить себе же в репутацию как-то глупо, по меньшей мере — всё равно в 90% случаев будущее руководство звонит предыдущему с вопросами о тебе, любимом.

А если есть желание поставить закладку, считаю, что лучшая закладка — заявление об уходе.

Про то, что администратора за 2 недели надо лишать админских прав — так нафига он тогда нужен — картриджи менять?
Если ничего выполнять он уже фактически не может.
Ответ написан
dkr6
@dkr6
Ну и для сохранения вселенского равновесия.

В организации должны быть разработаны процедуры и правила, выполняя которые админ просто не будет иметь возможности замкнуть на себя всю инфраструктуру.
Как пример такой процедуры — выполнение резервной копии, проверка ее актуальности путем восстановления и передача копии на хранение в сейф начальнику отдела.
Или список всех паролей в опечатанном конверте с случайно-периодичесой проверкой паролей в конверте на актуальность. Комиссией, под роспись о вскрытии и т.п.
Если вдруг пароли не совпадают с действующими — админ получает в дыню…

А чтобы админ выполнял эти процедуры, ему нужно создать нормальные условия труди и хорошо платить.
Если он согласился на эту зарплату и обещал выполнять эти правила, то не будет необходимости его увольнять со скандлом.
А если вдруг возникли сомнения в его компетенции, то нужно просто обсудить с ним этот вопрос.
При чем, аргументировать согласованными с ним должностными обязанностями.

В этом случае не будет проблем ни у админа, ни у работодателя.

Во всяком случае я, как сисадмин с 20+ стажем, очень хотел бы работать в конторе с такими правилами.
Ответ написан
В крупных компаниях зачастую об увольнении узнают на проходной. Начальник вежливо отдает вещи положенные в коробочку и дает напутствие. Некоторые сотрудники думают что это ужасно жестко, на самом деле это простая безопасность. За 14 дней можете дать половину оклада — чтобы индивид успокоился, зато и данные целы и Ваши нервы.
Ответ написан
AGvin
@AGvin
Хотелось бы, уточнить:
не пустить на проходной

Вас это от админов не спасет. Админ может все что ему нужно сделать удаленно. Даже если Вы считаете, что Вы удалили все аккаунты админа, он может, где-нибудь, припрятать «Backdoor» известный только ему.

Разве что контролировать действия по работе своих подчиненных. По другому почти никак.

Мне кажется, что в данном варианте, админ будет больше контролировать чем Вы. Или я не прав? =)

Самый простой вариант, это не ссориться с админом.
В ином варианте, Вам надо будет, идеально, знать что и куда бэкапится )
Ответ написан
А почему никто не задумался об этой ситуации? Админ уже имел закладку в системе, следовательно всё было не совсем гладко, и видимо не один месяц ситуация накалялась.
Ответ написан
@casperrr
Иметь свою службу информационной безопасности, в идеале. Дела должны быть так налажены, что бы действия админа так же контроллировались системами ОИБ, которые ему не подконтрольны, аудит действий, DLP всякие. Это конечно сложно и дорого, удел больших богатых корпораций. Для уровня попроще — что бы коллектив был как семья. И кого попало туда не пускать, кроме проф. качеств внимательно относиться к личностным при приеме на работу.
Ответ написан
Aldorr
@Aldorr
Разве что контролировать действия по работе своих подчиненных. По другому почти никак.

А ситуация знакома. Админ перед уходом (уже во время стажировки нового) решил снести базу бухгалтерии и бэкапы с собой прихватил.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Кстати, корпоративный саботаж и инсайд — это немного другое.
В нормальных компаниях администратор БД != Администратор системы, а Администратор бекапов != Администратор БД и != администратор системы,
Я за свой стажа работы успел понаставить серверов для БД, но как-то дальше установки ms sql, mysql, postgres'а и выдачи админского логина/пароля нужному сотруднику дело не шло, я только ставил обновления и патчи, после чего мы согласовывали время ребута машины.
При этом он следил за созданием бекапов, а я следил чтобы бекапы не исчезли никуда в неизвестном направлении.

Кстати, в этом очень спасает включенный аудит в случае шага направо/налево — письмо в почту админа + руководителя а дальше — докладные и увольнения, в том числе, по статье.
Ответ написан
Если «админ» хреновый, то и знаний у него не хватит на нормальную закладку. ИМХО, конечно же. А если админ хороший и грамотный, то зачем его увольнять? Платить нормальную ЗП и не конфликтовать с ним, и у него даже мысли не возникнет на всякие там вредные штуки. Или у вас, как у многих, есть желание сэкономить, наняв студентов?

Ну а о ситуации в целом — я бы не стал грохать все и вся, это просто как-то некрасиво. Так, немножно «наказать» можно — уронить наглухо интернеты или чего в этом роде, но на всякий случай оставить бэкапы в каком-нибудь скрытом месте, чтоб будущий админ, если не дурак, нашел и починил. Ну а если не осилит — пусть начальство понимает, какого хорошего спеца выгнали =) Хотя, если начальство «довело» его до состояния полнейшей мсти — не грех и все подряд грохнуть, ибо нефиг.
Ответ написан
CKOPOBAPKuH
@CKOPOBAPKuH
По-моему, гораздо важнее вопрос не «как уволить такого админа», а «почему мы не отсеили его на этапе собесеседования». Потому что гораздо лучше вообще таких не принимать (или просто снизить вероятность такого события), чем делать систему безопасности, само существование которой оттолкнёт нормальных кандидатов.
Вам работать нужно или мудаков всяких контролировать?
Ответ написан
13oz
@13oz
Если админ уже установил закладку — делать что-то, скорее всего, уже поздно.
Из организационных мер — то же самое, что и для любого другого сотрудника, имеющего отношения к критичной для компании информации. Админ отвечает за обслуживание ИТ-инфраструктуры, с помощью которой информация и обрабатывается. Я бы даже сказал, что к админу должны применяться более жесткие политики ИБ.
Что бы можно было что-то обоснованно говорить по юридической части — в компании должен быть введен режим коммерческой тайны. Это не так страшно, как кажется.
Из технических решений контроля над действиями админа — могу назвать Wallix Admin Bastion, BalaBit Shell Control Box и ObserveIT. Но на отечественном рынке они пока особого распространения не получили.
Ответ написан
@FedLab
Возможно напимать еще одного специалиста для контроля работы другий и выявления «дыр». Для этого оптимально нанимать по договору на конкретный срок и без обязательств и обещаний о последующих заказах. Или знайомые/проверенные люди/конторы.
Ответ написан
iandriyanov
@iandriyanov
Отлично помогает cvsbackup. Конечно если совсем припрет можно и бакапы удалить или накосячить изрядно. ОДНАКО diff'ы может сохранить и выкатить потом нет проблем.

И да! Совет!

Если в какой то определенный период времени Вы осмелитесь составить слежку за работой админа, к примеру записывать все что он набирает в терминале, не важно каким образом. Узнав об этом. Вы получите еще больший гемморой. Он называется Индивиальный конфиг. Не знаю как ныняшний админ поступает. Но я давно не пользуюсь типовыми конфигами сервисов. А некоторые конфиги вообще в шифровании, не потому что работодатель, а потому что боязь что ***дять. Зачастую конфиги являются — результатом творческой деятельсти. И к сожалению не всегда gpl.
Ответ написан
@4eS
Где-то с месяц назад у нас уволили одно из администраторов домена. Увольняли одним днем.
Т.е. человек ушел к начальству, где ему сообщили об увольнении.
Пока шла беседа, службой ИБ был изъят комп, заболокированы учетная запись и пропуск. Проводился ли какой-то аудит, не могу сказать, не знаю.
После выхода от начальства админа забрала СЭБ (экономическая безопасность) и проверяла на полиграфе.
Далее человека вывели из здания в сопровождении сотрудников СЭБ.
За такие «неудобства» добавили денег, на сколько мне известно.

Бывали случаи, когда, как уже писали выше, человек узнавал об увольнении уже за територией организации.

Думаю, что защитить себя (компанию) на 100% не получится, но категорически необходимо к этому стремиться.
И начинать нужно, как правильно упомянули выше, с тщательного подбора персонала.
Хорошие условия труда.
Внутренние документы, регламентирующие правила работы с информационными ресурсами.
Отдел ИБ, занимающийся в том числе и аудитом имеющейся инфраструктуры.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Chenii Санкт-Петербург
от 1 500 до 3 500 $
Платформа НТИ Москва
от 160 000 до 190 000 ₽
RBS Payments Москва
До 150 000 ₽
17 февр. 2020, в 23:30
1100 руб./за проект
17 февр. 2020, в 19:40
500 руб./за проект
17 февр. 2020, в 19:36
5000 руб./за проект