(niepewny to cotygodniowa kolumna poświęcona szybko narastającemu tematowi cyberbezpieczeństwa.
Zawartość
- Szybkie rozwiązanie ogromnego problemu
- Kontrolowanie mediów
- Sterowanie punktem końcowym
- RODO i nie tylko
Pomimo szerokiego wykorzystania usług chmurowych, takich jak Dropbox, czasami poręczny, stary dysk USB jest najszybszym sposobem na przeniesienie dużych ilości danych z jednego komputera na drugi. Ale wyobraź sobie, że pewnego dnia poszedłeś do pracy i dowiedziałeś się, że wszystkie dyski USB zostały zakazane w lokalu? To właśnie wydarzyło się ostatnio w IBM.
Z niedawnej notatki, która wyciekła, wynikało, że IBM tak będzie zakazując wszystkim pracownikom korzystania z dysków USB. Taka reakcja może być zrozumiała, biorąc pod uwagę obecny stan cyberbezpieczeństwa, ale czy to naprawdę najskuteczniejsza strategia?
Szybkie rozwiązanie ogromnego problemu
„To najłatwiejszy sposób na zakrycie tyłka: ogłoś, że zakazujesz wszystkiego, co można pokazać że wdrożyliście odpowiednią politykę” – powiedział Digital dyrektor ds. marketingu produktów strategicznych w firmie Kingston, Ruben Lugo Trendy. W rzeczywistości, stwierdził, tego rodzaju polityka może znacznie bardziej przeszkodzić firmie, niż jej pomóc.
„Ludzie po prostu zaczną korzystać z własnego Dropboxa i własnego Dysku Google, a potem zaczniecie obchodzić własną zaporę sieciową”.
„Firmy nie chcą od początku wykorzystywać odpowiednich zasobów” – powiedział. „Zawsze pojawia się pytanie: jakie jest szybkie rozwiązanie? Czy naprawdę muszę coś zrobić?”. Zwykle chodzi o zakazanie różnych rzeczy […]. Stwierdziliśmy, że tak w rzeczywistości utrudnia produktywność i efektywność, których potrzebują mobilni pracownicy, gdy są w terenie pole."
W ciągu ostatnich kilku lat doszło do największych w historii kradzieży i naruszeń danych, pozostawiając setki milionów ludzi podatne na kradzież tożsamości, wykorzystywanie, a nawet manipulacja polityczna. Doprowadziło to do tego, że wiele firm i osób prywatnych poważniej podchodzi do prywatności i bezpieczeństwa danych w Internecie, a nawet skłoniło polityków do dyskusji, w jaki sposób można je ulepszyć. Jednak nie wszystkie praktyki w tym zakresie są koniecznie zalecane. Zakaz używania napędów USB to tylko jeden z przykładów takiej praktyki.
Gumowa kaczuszka USB
Zakaz używania napędów USB może wydawać się łatwym sposobem na powstrzymanie wycieków. To znacznie utrudnia kradzież danych, gdy osoby pracujące z danymi nie mogą fizycznie usunąć ich z miejsca, w którym są przechowywane. Niektórzy jednak twierdzą, że taka polityka jedynie otwiera firmy takie jak IBM na nowe możliwości ataku i nie dociera do sedna problemu: podatności na niezabezpieczone dane.
To zdanie podziela wiceprezes ds. produktów i badań w Malwarebytes, Pedro Bustamante, który powiedział nam, że „odłączenie systemów od dostępu do Internetu również byłoby bardzo skuteczne. W większości przypadków jest to po prostu niepraktyczne. Wraz z ewolucją technologii i szybkości Internetu dyski USB stanowią obecnie stosunkowo niewielkie ryzyko. Frustracja użytkowników końcowych (lub pracowników) prawdopodobnie nie będzie warta niewielkiej poprawy stanu bezpieczeństwa”.
Powodem zakazu IBM dotyczącego wymiennych pamięci masowych było ograniczenie przypadków wycieków i utraty danych, niezależnie od tego, czy jest to celowy wyciek informacji, czy też skutek zagubienia sprzętu. Skontaktowaliśmy się z IBM z prośbą o komentarz w sprawie zakazu, ale nie otrzymaliśmy odpowiedzi.
Tak czy inaczej, Lugo z firmy Kingston wierzy, że zakaz używania dysków zewnętrznych nie powstrzyma ludzi przed wydobywaniem danych z firmy, jeśli chcą lub muszą.
„Gdzie jest wola, jest sposób” – powiedział. „Ludzie po prostu zaczną używać własnych Dropbox, ich własny Dysk Google a potem zaczynasz obchodzić własną zaporę sieciową, własną ochronę, co tak naprawdę stwarza tylko kolejny problem.
Kontrolowanie mediów
Zdaniem Lugo znacznie lepiej byłoby, gdyby IBM i podobne firmy kontrolowały nośniki fizyczne i zawarte na nich dane, zamiast próbować całkowicie zakazywać używania tych urządzeń. Zaleca stosowanie dysków typu Ironkey firmy Kingston urządzeń, które łączą w sobie zabezpieczenia fizyczne, takie jak metalowe obudowy i powłoki epoksydowe napędów płytka drukowana z szyfrowaniem sprzętowym, które sprawia, że dane cyfrowe są całkowicie nieczytelne ciekawskie oczy.
„Kiedy ten użytkownik podłączy inny losowy dysk USB, zabezpieczenia punktów końcowych sprawdzą go i rozpoznają, że nie jest to wystawiony dysk”.
Ironkey należy do skrajnej grupy produktów oferowanych przez firmę Kingston, niezależnie od marki i producenta urządzenie, o ile wykorzystuje szyfrowanie sprzętowe, powinno prawie zapobiegać niezamierzonej utracie danych całkowicie. Nie ma znaczenia, czy pracownik zgubi dysk, na którym znajdują się wrażliwe dane, bo nawet gdyby ktoś je znalazł go i spróbuj uzyskać dostęp do tych informacji, bez prawidłowego hasła okazałoby się, że dane są całkowicie nieczytelne.
Firma Kingston stosuje również inne środki zapobiegające dostępowi do tych danych, takie jak maksymalna liczba wpisów haseł Możliwość hakowania metodą brute-force i zdalnego czyszczenia – coś, co może zapobiec celowym wyciekom z niezadowolonych lub byli pracownicy.
„Mamy oprogramowanie do zarządzania, które pozwala na geolokalizację dysków, możliwość kontrolowania dysków w celu sprawdzenia, co się na nich znajduje, a także egzekwowanie złożonych haseł” – powiedział Lugo. „Jeśli ktoś odejdzie z firmy, zostanie zwolniony lub będzie niezadowolony, istnieje możliwość wysłania wiadomości do dysku, aby uczynić go bezużytecznym i wyczyścić dysk”.
Sterowanie punktem końcowym
Jednak same nośniki fizyczne to tylko jeden z elementów ochrony danych firmy. Coś, co wiele firm zajmujących się papierami wartościowymi, w tym m.in Symanteca, MalwareBytes, I McAfeerozwijane w ostatnich latach, to ochrona punktów końcowych.
„Najlepsza polityka bezpieczeństwa łączy ludzi, procesy i technologię; jedno nie istnieje bez dwóch pozostałych.”
Ochrona punktów końcowych to praktyka polegająca na zabezpieczaniu sieci w miejscu połączenia przez urządzenie. Chociaż zazwyczaj może to mieć miejsce, gdy nowy laptop lub smartfon jest podłączony do systemu, można go również zastosować do dysków fizycznych, takich jak urządzenia USB. Zdaniem Kingston jest to coś, co firmy takie jak IBM mogłyby wykorzystać do zapobiegania niektórym kradzieżom danych, którym chce zapobiec poprzez wprowadzenie całkowitego zakazu.
„[Ochrona punktów końcowych] pozwala administracji, informacjom i każdemu, kto zajmuje się bezpieczeństwem cybernetycznym, rozpoznać, kto potrzebuje dostępu do portów USB, kto potrzebuje dostępu do danych X, Y, Z” – powiedział Lugo. „Następnie mogą zbudować profil użytkownika, grupę użytkowników, która następnie zezwoli tylko na jeden konkretny dysk USB, niezależnie od tego, czy będzie to dysk Kingston, czy inny, tak że gdy użytkownik podłączy inny losowy dysk USB, zabezpieczenia punktów końcowych sprawdzą go i rozpoznają, że nie jest to problem prowadzić. W ten sposób nie pozwalamy użytkownikowi na przesyłanie jakichkolwiek danych tam i z powrotem na ten dysk.
Kontrolując sam nośnik fizyczny i punkt styku z siecią wewnętrzną, firma ma znacznie większą kontrolę nad danymi wpływającymi i wychodzącymi z chronionych systemów, niż poprzez, przynajmniej pozornie, zakaz używania wszelkich środków fizycznych głoska bezdźwięczna.
Demo ataku USB przez upuszczenie — Blackhat USA 2016
Część nowego Przepisy Ogólnego rozporządzenia o ochronie danych które niedawno wprowadzono, zakładają, że firmy faktycznie ponoszą odpowiedzialność za dane, kontrolują, kto ma do nich dostęp i jak są one przechowywane. Posiadanie polityki braku nośników fizycznych uniemożliwia IBM poniesienie prawdziwej odpowiedzialności w przypadku, gdyby ktoś zlekceważył taką politykę i obszedł wszelkie wewnętrzne zabezpieczenia, jakie posiada przed nią.
Połączenie zaszyfrowanego dysku i silnych zabezpieczeń punktów końcowych umożliwiłoby potężny audyt urządzeń fizycznych, zapobiegając korzystanie z nieautoryzowanych nośników fizycznych oraz ochrona danych usuwanych z sieci, czyniąc je nieczytelnymi dla wszystkich, chyba że zostaną zweryfikowane imprezy.
RODO i nie tylko
Teraz, gdy RODO zostało wdrożone i jest w pełni egzekwowalne w przypadku wszelkich podmiotów prowadzących interesy z UE klientów, więcej firm niż kiedykolwiek musi zwracać uwagę na sposób, w jaki radzą sobie z technologiami cyfrowymi Informacja. Całkowity zakaz używania urządzeń USB mógłby zapewnić pewien stopień ochrony przed niektórymi surowszymi karami i obowiązującymi systemami arbitrażowymi, ale jak podkreśla Lugo, nie dają one firmom kontroli, której potrzebują, aby naprawdę chronić swoje dane oraz dane swoich pracowników i użytkownicy.
Jeśli chodzi o IBM, Lugo ma nadzieję, że firmie Kingston uda się odwrócić sytuację od ostatnich zmian w polityce i już próbuje to zrobić.
Co to jest RODO? A dlaczego powinno mnie to obchodzić?
„IBM to niesamowita firma” – powiedział. „[Ale] część naszego zespołu sprzedaży jest obecnie [z nią w kontakcie], więc zobaczymy, jak to wszystko się potoczy”.
Podnoszenie świadomości na temat alternatyw dla zakazu IBM jest również ważne wśród pracowników IBM. Jak podkreślił nam Bustamante z MalwareBytes, najlepszym sposobem zabezpieczenia sieci jest strategia łączona, która łączy ludzi, sprzęt i oprogramowanie, aby kompleksowo blokować ważne dane i sieci, w których są przechowywane NA.
„Firmy muszą upewnić się, że posiadają odpowiednie procesy wewnętrzne, aby poradzić sobie z naruszeniem i zapewnić pracownikom regularną ochronę szkolenia – w końcu Twoi pracownicy są Twoją pierwszą linią obrony, więc wyposaż ich w wiedzę, dzięki której będą mogli wykryć podejrzane e-maile lub załączniki” – to powiedział. „Najlepsza polityka bezpieczeństwa łączy ludzi, procesy i technologię; jedno nie istnieje bez dwóch pozostałych.”
