Ich habe versucht herauszufinden, wie große Unternehmen, die sich auf ein riesiges Produkt (wie Google, Facebook, Twitter, Yahoo usw.) konzentrieren, die den Mitarbeitern bekannten Informationen logistisch so einschränken, dass kein einzelner Mitarbeiter (oder eine kleine Gruppe von Mitarbeitern) posiert eine große Sicherheitsbedrohung für das Unternehmen bei der Kündigung. Nachfolgend eine formellere Einführung.
Bei Online-Anwendungen besteht häufig ein Bedarf an Sicherheit und Unklarheit. Ich kenne keine großen Unternehmen, die sich auf ein einziges riesiges Online-Produkt konzentrieren und die internen Abläufe ihrer Anwendungen offen veröffentlichen. Natürlich müssen die Mitarbeiter des Unternehmens wissen, wie die Dinge hinter den Kulissen funktionieren, um das Produkt zu pflegen und weiterzuentwickeln. Aber macht sie das nicht zu einem unglaublichen Sicherheitsrisiko?
In einem Unternehmen dieser Art mit Dutzenden, Hunderten oder Tausenden von Mitarbeitern scheint jeder einigermaßen hochrangige Mitarbeiter die Macht zu haben, wenn er möchte, das Unternehmen durch sein Wissen über die inneren Mechanismen des Dienstes zu Fall zu bringen. Die einzige Möglichkeit, dies zu verhindern, wäre, das Wissen jedes Mitarbeiters auf das zu beschränken, was er für seine Arbeit benötigt. Nur dass dann eine Gruppe von ein oder zwei Mitarbeitern immer noch in der Lage wäre, das Unternehmen zu Fall zu bringen. Was hält einen von Google gefeuerten Sicherheitsspezialisten davon ab, das Unternehmen zu zerstören, indem er die Schwachstellen des von ihm entworfenen Systems ausnutzt? Kein Rechtsstreit würde den Schaden in Höhe von Hunderten von Milliarden Dollar wettmachen. Sogar etwas so scheinbar Einfaches wie die Verbindung der Server untereinander kann für einen Hacker unglaublich wertvoll sein. und doch müssten sie wirklich vollständig mit den Mitarbeitern geteilt werden, die die Rechenzentren verwalten, wenn sie ihre Arbeit erledigen sollen. Einige Informationen, die so grundlegend sind, dass sie einer Person bekannt sein müssen, bergen ein unglaubliches Risiko für das Unternehmen, wenn sie missbraucht werden.
Wie schränken diese Unternehmen (wie Google, Facebook, Twitter, Yahoo ...) das Wissen jedes Mitarbeiters ein und teilen es in ausreichend kleine Stücke auf, um dieses Risiko zu mindern?
Aktualisieren:
Ich frage nicht nach Softwaresicherheit, sondern wie ein Unternehmen Informationen, die einzelnen Mitarbeitern bekannt sind, aus strategischer und logistischer Sicht einschränkt. Dasselbe Problem in unterschiedlichen Formen trifft im Grunde auf jedes Unternehmen mit Geheimnissen zu, dh jedes Unternehmen, aber es ist besonders wichtig, wenn es sich um ein großes Produkt handelt, insbesondere wenn es sich um eine Online-Anwendung handelt, wie oben gefragt.
Ich denke, die Leute verstricken sich in die Details der Informationssicherheit und ob eine Person ein ganzes Unternehmen "zu Fall bringen" kann oder nicht.
Fakt ist, JA, es ist sicherlich möglich, dass ein verärgerter Mitarbeiter (aktuell oder früher) für fast jede Art von Unternehmen Schaden anrichtet, der von „wenig“ bis „sehr schwerwiegend“ reicht.
Der Grund, warum dies nicht häufiger vorkommt, ist einfach, dass die überwiegende Mehrheit der Menschen KEINE Kriminellen sind. Die meisten Menschen werden der Lebhaftigkeit von Mitarbeitern und Arbeitgebern nur aus Rachegefühlen keinen Schaden zufügen. Hier gehört ein gewisses Maß an Vertrauen und Wohlwollen dazu. Manchmal ist dieses Vertrauen gebrochen, aber meistens ist es das nicht.
Jeder, der glaubt, ein System sei immun gegen Schaden, täuscht sich. Der Schaden muss weder eine vollständige Zerstörung sein, um eine ernsthafte Notlage zu sein, noch muss der Täter über herausragende Fähigkeiten oder tiefes Wissen verfügen, um solche Dinge zu tun.
Ich glaube, Sie haben einige Grundlagen über Informationssicherheit und Softwareentwicklung falsch verstanden.
Werfen wir einen Blick auf Schach. Wenn Sie es zum ersten Mal lernen, planen Sie Ihre Züge und hoffen, dass Ihr Gegner Ihre cleveren Pläne nicht durchschaut. Wenn jemand deinen Plan bekannt geben würde, wärst du dem Untergang geweiht. Erst später, wenn man professioneller damit umgeht, sieht man, dass Schach ein offenes Spiel ist. Jeder weiß alles. Einen Zug zu machen, in der Hoffnung, dass Ihr Gegner Ihren Plan nicht bemerkt, ist ein Kinderspiel.
Dasselbe gilt für die Computerprogrammierung. Wenn du zum ersten Mal ein Buch liest, denkst du: „Ich mache ein geheimes Passwort. Es ist ‚Furz‘. Nein, das ist nicht geheim genug, ich mache es ‚geheimer Furz‘. Hihi. Ich bin sicher, niemand wird das erraten .". Aber das ist ein Kinderspiel. Wenn Sie professioneller werden, lernen Sie Methoden kennen, um Software und Informationen zu sichern, die nicht von solchen "Geheimnissen" abhängig sind.
Facebook ist kein Geheimnis. Jeder Programmierer könnte Ihnen wahrscheinlich in Wochen einen Facebook-Klon codieren. Amazon ist kein Geheimnis. Schauen Sie sich die Tausende von Geschäften an. Sie sind erfolgreich, weil sie ein erfolgreiches Unternehmen führen. Genauso wie ein Offline-Shop ein erfolgreiches Geschäft sein kann, obwohl jeder Schulabbrecher das "Geheimnis" "Waren billiger kaufen als verkaufen" kennt.
Also ja, offensichtlich geben Sie Ihrem Hausmeister nicht den administrativen Zugriff Ihrer Buchhaltungssoftware. Aber das ist kein heißes neues Zeug. Den Schlüssel zur Schatztruhe hast du deinem Stallburschen nicht schon vor 1000 Jahren gegeben.
Wenn Facebook seinen Quellcode veröffentlichen würde, würde nichts passieren. Ein paar Nerds würden sich über die coolen Dinge freuen und ein paar andere Nerds würden eine Sicherheitslücke finden, die es ihnen ermöglichen würde, Bilder von Fortpflanzungsorganen an die Wände von Menschen zu hängen. Eine dritte Gruppe von Nerds baute ein Schatten-Facebook auf dem gleichen Code auf, das nicht abheben würde, weil niemand beitreten würde. Und nach zwei Tagen wäre Facebook wieder normal. Es gibt keinen geheimen Notausschalter. Das gibt es nur in fiktiven Geschichten oder in Software, die von Kindern geschrieben wurde.
Jenny D
Der Umweltschützer
Paparazzo
Der Umweltschützer
Der Umweltschützer