Колико је заиста ефикасна ИБМ-ова забрана УСБ диска?

(у) Сигурно је недељна колумна која се бави брзом ескалацијом теме сајбер безбедности.

Упркос широкој употреби услуга у облаку као што је Дропбок, понекад је згодан стари УСБ диск најбржи начин за преношење великих количина података са једног рачунара на други. Али замислите да сте једног дана отишли ​​на посао и сазнали да су сви УСБ уређаји забрањени у просторијама? То се недавно догодило у ИБМ-у.

Недавни меморандум који је процурио указује да ће ИБМ бити забрањујући свим запосленима коришћење УСБ дискова. Таква реакција би могла бити разумљива с обзиром на тренутно стање сајбер безбедности, али да ли је то заиста најефикаснија стратегија?

Брзо решење за велики проблем

„То је најлакши начин да покријете задњи део: објавите да забрањујете све за приказ да сте успоставили политику“, рекао је Кингстонов менаџер маркетинга стратешких производа, Рубен Луго, за Дигитал Трендови. У ствари, рекао је он, овакве политике могу да ометају компанију много више него што јој помажу.

„Компаније од почетка не желе да примене праве ресурсе“, рекао је он. „Увек је „шта је брзо решење? Да ли заиста треба нешто да урадим?’ И обично се то врти око забране ствари […] Открили смо да је то заправо омета продуктивност и ефикасност које су потребне мобилној радној снази док су тамо напољу поље.”

Протеклих неколико година биле су неке од највећих крађа и кршења података икада, остављајући стотине милиона појединаца подложни крађи идентитета, експлоатацији, па чак политичка манипулација. То је довело до тога да су многе компаније и појединци озбиљније схватили приватност и безбедност података на мрежи, па чак и довели политичаре за сто да разговарају о томе како се то може побољшати. Али не препоручују се све праксе за то. Забрана УСБ дискова је само један пример такве праксе.

Забрана УСБ дискова може изгледати као једноставан начин да се заустави цурење. То чини крађу података много тежом када људи који раде са подацима не могу физички да их уклоне са места где су ускладиштени. Али неки би тврдили да таква политика само отвара компаније као што је ИБМ за нове путеве напада и да не долази до корена проблема: рањивости необезбеђених података.

То осећање понавља и потпредседник Малваребитес-а за производе и истраживање, Педро Бустаманте, који нам је рекао да би „искључивање система од приступа интернету такође било веома ефикасно. То једноставно није практично у већини случајева. Са еволуцијом технологије и брзине интернета, УСБ дискови представљају релативно мали ризик у овом тренутку. Фрустрација крајњих корисника (или ваших запослених) вероватно неће бити вредна малог побољшања вашег безбедносног положаја."

Речено је да је разлог за ИБМ-ову забрану преносивог складишта смањење случајева цурења и губитка података, било да се ради о намерном цурењу информација или преко изгубљеног хардвера. Обратили смо се ИБМ-у за коментар о забрани, али нисмо добили одговор.

У сваком случају, Кингстонов Луго верује да забрана екстерних дискова неће спречити људе да извлаче податке из компаније ако желе или требају.

„Где постоји воља, постоји и начин“, рекао је. „Људи ће тек почети да користе своје Дропбок, њихов сопствени Гоогле диск а онда почнете да заобилазите сопствени заштитни зид, сопствену заштиту и то заправо само ствара још један проблем."

Контролисање медија

По Луговом мишљењу, било би далеко боље за ИБМ и компаније попут њега да контролишу физичке медије и податке које они садрже, уместо да покушавају да потпуно забране уређаје. Он препоручује употребу погона попут Кингстонов сопствени Иронкеи уређаја, који комбинују физичку заштиту као што су метална кућишта и епоксидни премази за погон штампана плоча, са хардверским шифровањем које чини дигиталне податке потпуно нечитљивим радознале очи.

Иронкеи је на крајњем крају производа које Кингстон нуди, али без обзира на бренд или марку уређај, све док користи хардверско вођену енкрипцију, требало би да спречи ненамерни губитак података скоро у потпуности. Није важно да ли запослени замени диск са осетљивим подацима на њему, јер чак и да неко пронађе и покушају да приступе тој информацији, без исправне шифре би сматрали да су подаци потпуно нечитљиви.

Кингстон такође има друге мере да спречи приступ тим подацима, као што је максималан број уноса лозинки како би се спречило бруте-форце хаковање и могућности даљинског брисања – нешто што би могло да спречи нека намерна цурења од незадовољних или бивши запослени.

„Имамо софтвер за управљање и оно што нам омогућава је геолоцирање диск јединица, могућност ревизије диск јединица да се види шта је тамо, спровођење сложених лозинки“, рекао је Луго. „Ако би неко напустио компанију, био отпуштен или незадовољан, постоји могућност да се пошаље порука на диск да га учини бескорисним и да га избрише.

Контролисање крајње тачке

Међутим, сам физички медиј је само један део заштите података компаније. Нешто што бројне компаније за хартије од вредности, укључујући и сличне Симантец, МалвареБитес, и МцАфее, који се развијају последњих година, је заштита крајњих тачака.

Заштита крајње тачке је пракса обезбеђивања мреже на тачки повезивања помоћу уређаја. Иако обично то може бити када нови лаптоп или смартфон је повезан са системом, може се применити и на физичке диск јединице као што су УСБ уређаји. То је нешто за шта Кингстон верује да би компаније попут ИБМ-а могле да искористе да спрече крађу података коју жели да спречи својом потпуном забраном.

„[Заштита крајњих тачака] омогућава администрацији, ИТ-у, ко год да је укључен у сајбер безбедност, да препознају коме је потребан приступ УСБ портовима, коме је потребан приступ Кс, И, З подацима“, рекао је Луго. „Онда они заправо могу да направе кориснички профил, корисничку групу која ће тада дозволити само један одређени УСБ диск, било да је то Кингстон диск или друго, тако да када тај корисник укључи други насумични УСБ диск, заштита крајњих тачака ће га погледати и препознати да није издата погон. Дакле, не дозвољавајући кориснику да преноси било какве податке напред и назад на тај диск."

Контролом самог физичког медија и тачке контакта коју има са интерном мрежом, предузеће има далеко већу контролу над подацима који улазе и излазе из његових заштићених система него што то чини тако што, барем наизглед, забрањујући употребу свих физичких медија.

Део новог Општа регулатива о заштити података законодавство који је недавно усвојен укључује компаније које имају стварну одговорност за податке, контролишу ко има приступ њима и како се они чувају. Постојање политике без физичких медија онемогућава ИБМ-у да буде истински одговоран у случају да неко прекрши такву политику и заобиђе било какву интерну заштиту коју има против ње.

Комбинација шифрованог диска и јаке безбедности крајњих тачака омогућила би моћну ревизију физичких уређаја, спречавајући коришћење неовлашћених физичких медија и заштиту података који се уклањају са мреже чинећи их нечитљивим за све осим потврђених странке.

ГДПР и даље

Сада када је ГДПР примењен и у потпуности је примењив за све субјекте који послују са ЕУ купаца, више компанија него икада треба да обрати пажњу на начин на који рукују дигиталним информације. Оштре забране УСБ уређаја могу понудити одређену меру заштите од неких оштријих казни и арбитражних система који постоје, али како Луго истиче, они не дају компанијама контролу која им је потребна да би заиста заштитиле своје податке и податке својих запослених и корисника.

Што се ИБМ-а тиче, Луго се нада да Кингстон може да преокрене своје недавне промене политике и већ је у процесу покушаја да то учини.

„ИБМ је невероватна компанија“, рекао је он, „[али] неки од наших продајних тимова су [у контакту са њом] тренутно, па ћемо видети како ће то ићи.“

Подизање свести о алтернативама ИБМ-овој забрани важно је и међу његовим запосленима. Као што нам је МалвареБитес Бустаманте нагласио, најбољи начин да обезбедите мрежу је комбинована стратегија која окупља људе, хардвер и софтвер како би свеобухватно закључао важне податке и мреже које се чувају на.

„Предузећа морају да осигурају да имају одговарајуће интерне процесе за решавање кршења и да обезбеде да особље има редовну сигурност обука – уосталом, сви ваши запослени су ваша прва линија одбране, па их опремите знањем да могу да уоче непредвиђену е-пошту или прилог,“ рекао. „Најбоље безбедносне политике комбинују људе, процесе и технологију; једно не постоји без друга два.”