A kritikus infrastruktúrák biztonságáért különösen aggódó Egyesült Államokban nemrég egy biztonsági audit során kiderült, hogy egy ilyen cégnél, nevezetesen a Verizon szolgáltató egyik beszállítójánál az egyik informatikus úgy gondolta: egyszerűbb, ha a fejlesztői munkáját kiadja egy kínai alvállalkozónak, ő maga pedig inkább mással tölti az idejét. (Már persze, ha hitelt adunk a The Register tudósításának. Ám ha nem, akkor is megfontolásra érdemes tanmese.)
Az külön csemegévé teszi a történteket, hogy a fejlesztő megbízatása pont egy biztonsági munkára vonatkozott: egy kétfaktoros autentikációval rendelkező VPN-rendszert kellett megcsinálnia, hogy a vállalat dolgozói otthonról is biztonságos módon tudjanak dolgozni. A buktához is ez vezetett: a logadatokból kiderült, hogy a vállalkozás vezető, „Bob” nevű programozója nevében Kínából, Senjang városából jelentkeztek valakik a cég szerverére.
És Occam borotvája nem működött, ugyanis a Verizon közleményéből kiderült, hogy miután észrevették a gyanús tevékenységet, inkább egy bonyolult módon működő malware-fertőzésre gondoltak, az eszükbe sem jutott, hogy „Bob” maga adta ki az adatokat.
Ám amikor ez az elképzelés tarthatatlanná vált, vizsgálatot indítottak, és feltárták, hogy „Bob” a FedEx csomagküldővel küldte ki Senjangba a bejelentkezéshez szükséges tokent, hogy a kínai alvállalkozók dolgozhassanak.
És ami már tényleg az abszurd kategóriája: a programozó munkaállomásának vizsgálata során megállapították, hogy „Bob” átlagos munkanapja a következőképpen nézett ki:
- 9 óra: megjövök, szörfölök a Redditen pár órát, macskás videókat nézek
- 11:30: ebéd
- 13 óra: Ebay-time
- 14-től: Facebook, LinkedIn
- 16:30: a nap vége, üzleti levelezés elintézése
- 17: nyomás haza
Az is világossá vált, hogy „Bob”, habár egyéb munkáit is „kiszervezte”, nagy tekintélynek örvendő, kritikus munkákat vezénylő fejlesztő volt.
Amit még tudni lehet: „Bob” már nem dolgozik a cégnél.