בחור בשם Thomas Millot עבד כמנתח מערכות וכאחראי אבטחת מידע בסניף קנזאס סיטי של חברת Aventis Pharmaceuticals.
במסגרת עבודתו, הבחור היה אחראי גם על ניהול מערכת הזדהות ידועה של חברת RSA, בשם SecurID, המשמשת בעיקר לגישה למשאבי ה-IT ממיקומים חיצוניים לחברה.
מוצר זה מחייב שילוב של כרטיס חומרה (Token) בידי מבקש הגישה בצד החיצוני, ובנקודת הגישה לחברה נדרש שרת ניהול אשר יאשר או ידחה את הגישה, בהתאם להגדרות המשתמשים והרשאותיהם.
בשנת 2000, חברת Aventis העבירה את ניהול אבטחת המידע בחברה, כנראה בשיטת מיקור חוץ (OutSourcing), לידי חברת IBM הגדולה והידועה בשירותיה המקצועיים.
מיודענו תומס נותר ללא עבודה.
אבל, תומס השאיר לעצמו מזכרת שלא הייתה צריכה להישאר ברשותו – כרטיס ה-SecurID שלו.
בעזרת כרטיס זה הוא ביצע, לאחר סיום עבודתו בחברה, תשע כניסות למשאבי המחשוב של החברה, ואפילו מחק את חשבון המשתמש של מנהל השירותים הטכניים של החברה…
חברת IBM, כאחראית על אבטחת המידע, נחלצה לעזרה, ביצעה חקירה בכדי לפענח מה התרחש ואף שחזרה את החשבון שנמחק.
לא, לא כחלק מאחריותה לאבטחת המידע. בנפרד. בסכום של 20,350$, על פי 50$ לשעה.
כלומר, 407 שעות. כלומר, כמעט 17 ימים רצופים של עבודה של אדם אחד, במשך 24 שעות ביום. כלומר, 45 ימים של עבודה של אדם אחד, במשך יום עבודה של 9 שעות.
אבל בטח IBM השקיעה לפחות שני אנשים למשימה, אז, טוב, 22.5 ימי עבודה של 9 שעות של שני עובדים.
המשך הסיפור הוא שתומס הורשע בבית המשפט ואף קיבל עונש מאסר וקנס, אבל זה לא העניין כאן.
חברת IBM שיחקה אותה כאן, ובענק:
* קיבלה אחריות על אבטחת המידע בחברה
* לא נטרלה או מחקה חשבון בעל זכויות נרחבות וחזקות בתחום אבטחת המידע, אשר בעליו כבר אינו עובד החברה
* לא ביצעה בדיקת מצאי של כל כרטיסי ה-SecurID ומיקומם, ובהתאמה לא דאגה לקבל בחזרה את הכרטיס של תומס
* לא הפעילה מנגנון רישום (Auditing) של פעולות ההזדהות בשרת ה-SecurID או שהפעילה ולא שמרה את הרישומים שבוצעו, ולכן נזקקה לבצע חקירת "בדיעבד" כה מאומצת
* שמחה לסייע לחברת Aventis לחקור את סדרת התקיפות המתוחכמות, אפילו שזו, לדעת IBM, אינה פעילות בתחום אחריותה כמנהלת אבטחת המידע בחברה
* חייבה את חברת Aventis בסכום סמלי בלבד בעבור מאמציה יוצאי הדופן
אין ספק ש-IBM הוכיחה כאן התנהלות מקצועית, אתית ועסקית יוצאת דופן.
לא סתם היא אחת מחברות המחשוב הגדולות בעולם.
אחרי כל מקרה כזה אתה צריך לרכוש מחדש את אמון הלקוחות, ולחטוף מבטים עקומים מלקוחות חדשים.
יש רגעים בתחום הזה שבא לך לדפוק את הראש בקיר. לא, לא את הראש שלך.