Przechodzeń znajduje na ulicy 4 tys. dokumentów z prokuratur w Pruszkowie, Warszawie i Rzeszowie oraz prywatne zdjęcia i informacje, które zapisano na niezabezpieczonej pamięci USB. Mieszkaniec Nowej Zelandii kupuje odtwarzacz MP3 z danymi należącymi do żołnierza armii Stanów Zjednoczonych. Pracownik firmy Atos Origin, która obsługuje brytyjski serwis Government Gateway, gubi przed restauracją pamięć USB z danymi 12 milionów osób rozliczających się z fiskusem przez Internet. W Niemczech na ulicy znaleziono pamięć USB z danymi 17 milionów klientów Deutsche Telekom. To tylko niektóre, nagłośnione, medialnie zdarzenia, których bohaterami były pamięci USB i inne nośniki danych. Liczba wszystkich, równie wstrząsających, przypadków zagubienia danych, do których nikt się nie przyznał, jest nieznana, ale zapewne niemała. W jaki zatem sposób zabezpieczać dane, aby nie dostały się w niepowołane ręce?
Nie wynoś danych poza firmę
Jeśli nie musisz, nie wynoś informacji poza firmę na pamięci USB, odtwarzaczu czy w telefonie komórkowym. Jeśli jednak jest to konieczne, wykorzystuj do tego urządzenia, które można zabezpieczyć, szyfrując dane, lub zastosuj takie, w których możesz posłużyć się hasłem. Wykorzystywanie urządzeń przenośnych w firmach od początku nie było zbyt mile widziane, ale ze względów kulturowych, a także związanych z wydajnością pracy, w większości z nich nie ma zakazu ich stosowania. Nikogo więc nie dziwi dziś odtwarzacz MP3 czy przenośna pamięć USB na biurku pracownika. Tym bardziej telefon i notebook, które są powszechnie wykorzystywanymi narzędziami pracy. Pozostaje więc praca u podstaw, szkolenia pracowników i uświadamianie im zagrożeń oraz stosowanie takich nośników danych, które można zabezpieczyć przed nieautoryzowanym dostępem.
Nie wnoś obcych nośników danych do firmy
Aby narazić na niebezpieczeństwo obieg informacji w firmie lub jej bazy danych, wcale nie trzeba ich wynosić na zewnątrz. Wystarczy przynieść pamięć USB, którą znaleźliśmy np. w okolicy miejsca pracy. Trudno jest się powstrzymać, żeby nie sprawdzić, do kogo taka pamięć należała i co zawiera. Aż 55 proc. uczestników jednego z badań nie powstrzymałoby się przed zaspokojeniem ciekawości i podłączyłoby znalezioną pamięć USB do komputera. A nadawcy tego „prezentu” tylko o to chodzi. Wykorzysta domyślne ustawienia systemu operacyjnego Windows XP i opcję AutoRun, dzięki czemu zaraz po włożeniu takiej pamięci do interfejsu USB następuje automatyczne uruchomienie zawartości nośnika. Nigdy nie mamy gwarancji, że nie znajduje się na nim złośliwe oprogramowanie.
Jeśli tak jest, infekcja może dotknąć nie tylko komputer, lecz także firmową sieć. Sam proces nie będzie dla nas widoczny, a dane mogą zacząć wyciekać poza firmę. W takim przypadku najlepiej jest przekazać znalezioną pamięć USB administratorowi, który może ją sprawdzić za pomocą aplikacji antywirusowej, na komputerze, który pracuje poza siecią firmową.
Pamięć USB i karta pamięci
Stosowane dziś karty i pamięci USB mają pojemność od 2 GB do 16 czy 32 GB. Jest tam tyle miejsca na dane, że można bez problemu zmieścić na nich bazy klientów, adresy, pocztę, archiwa i inne cenne, z biznesowego punktu widzenia, informacje. Bez problemu można na nich zapisać także dowolną ilość poufnych danych korporacyjnych i wynieść je na zewnątrz. Często po to, aby pracować nad nimi w domu. Jak wynika z danych wielu firm analitycznych, to najsłabszy punkt w systemach zabezpieczeń IT. Tu rządzi przypadek. Rzadko mamy do czynienia z kradzieżą, pamięci są zazwyczaj gubione lub pozostawiane np. na lotniskach czy w kawiarenkach internetowych.
- Firmy i instytucje potrzebują jasnych i ścisłych procedur zabezpieczania wrażliwych danych, szczególnie gdy są one przenoszone czy przesyłane między komputerami. O ile procedury firmowe dotyczące zabezpieczania danych w komputerach czy sieciach w wielu przypadkach są bardzo restrykcyjne, o tyle w przypadku urządzeń takich jak pamięci przenośne USB panuje najczęściej zupełna dowolność.
Na rynku są dostępne pamięci flash USB wykorzystujące szyfrowanie sprzętowe kluczami 256-bitowymi, które są niemal niemożliwe do złamania. Takimi jak te, którymi zabezpieczane są na przykład nasze płatności kartami kredytowymi w Internecie. Systemy kodowania AES 256-bit stosowane m.in. w pamięciach Kingston DataTraveler Vault lub BlackBox, są tak silne, że największe superkomputery pracowałyby nad nim tygodniami, a kosztowałoby to setki tysięcy dolarów - stwierdził Paweł Śmigielski, dyrektor regionalny na Europę Środkową w Kingston Technology.
Ważne jest też, aby przenośne pamięci USB, które kupują firmy oraz administracja rządowa i samorządowa, po kilku próbach wpisania nieprawidłowego hasła blokowały całkowicie dostęp do zapisanych tam danych.
UWAGA
Na bezpieczeństwo danych ma też wpływ sposób, w jaki obchodzimy się z pamięciami USB czy kartami pamięci, bez względu na to, czy zabezpieczamy zapisane tam informacje hasłem, czy też nie. Należy w sposób bezpieczny odłączać je od portu USB.
Trzeba wykonać trzy czynności, które zajmą chwilę, ale w ostatecznym rozrachunku zawsze się to opłaca. W obszarze powiadomień na pasku zadań systemu Windows, w prawym dolnym rogu ekranu, kliknijmy dwukrotnie lewym przyciskiem myszy na ikonę „Bezpieczne usuwanie sprzętu”. Następnie, w pojawiającym się oknie dialogowym trzeba kliknąć na napis Masowe urządzenie magazynujące USB i wybrać przycisk Zatrzymaj. W kolejnym oknie należy wskazać nazwę nośnika i kliknąć OK. Dopiero wtedy można bezpiecznie odłączyć pamięć od komputera. Pamięć USB czy karta pamięci to urządzenia elektryczne i źle znoszą ciągłe zwarcia i skoki napięcia. Może nagle okazać się, że po kilkudziesięciu czy kilkuset takich odłączeniach bez zachowania bezpiecznej procedury pamięć USB ulegnie uszkodzeniu. A zazwyczaj wtedy to, co na niej zapisaliśmy, może być bardzo potrzebne.
Laptop i inteligentny telefon
Komputery przenośne, palmtopy i nowoczesne telefony to dziś podstawowe narzędzia pracy w wielu firmach. Urządzenia te stosowane są na skalę masową i choćby z tego powodu liczba kradzieży czy zagubień jest dość wysoka. Tylko w pierwszej połowie 2009 roku londyńczycy zostawili na tylnych siedzeniach taksówek 56 tys. telefonów komórkowych i ponad 6 tys. innych przenośnych urządzeń multimedialnych, takich jak iPod czy pamięci USB. To średnio ponad 10 tys. zgubionych urządzeń miesięcznie.
Każdego tygodnia na lotniskach regionu EMEA (Europa, Bliski Wschód oraz Afryka) ginie 3,3 tys. laptopów - wynika z badań przeprowadzonych na zlecenie firmy Dell. W raporcie opublikowanym w 2008 roku przez Ponemon Institute „The Notebook Lost & Fund” znajdziemy informację, że na każdych 10 znalezionych notebooków, tylko w czterech przypadkach ktoś szuka zguby. Istnym Trójkątem Bermudzkim roztargnionych posiadaczy notebooków jest lotnisko Heathrow. Obsługa znajduje tam 900 sztuk przenośnych komputerów tygodniowo. Na drugim miejscu jest lotnisko Schiphol w Holandii (750 notebooków) oraz paryskie lotnisko Charles de Gaulle, gdzie 733 osoby tygodniowo gubią swoje laptopy. Raport Ponemon Institute stwierdza, że połowa osób korzystających z notebooków służbowo nie zabezpiecza przechowywanych tam informacji na wypadek kradzieży lub zgubienia.
Poza funkcjonalnością notebooki czy inteligentne telefony z punktu widzenia bezpieczeństwa firmy mają prawie same wady. To właśnie one są najczęściej wynoszone poza firmę i najłatwiej je zgubić wraz z poufnymi informacjami. To do nich można dostać się za pośrednictwem niezabezpieczonych sieci Wi-Fi lub interfejsu Bluetooth. Szeregowi pracownicy i menedżerowie wykorzystują notebooki i inteligentne telefony do przetwarzania informacji, mają tam kopie książek adresowych, raportów i synchronizują e-maile. Często traktują je jak swoją prywatną własność i instalują na ich oprogramowanie bez wiedzy administratorów.
UWAGA
Kradzież danych wcale nie musi być tożsama z kradzieżą samego urządzenia. Wystarczy ukraść kopię bezpieczeństwa, przechowywaną na karcie pamięci. To także może być łakomy kąsek dla konkurencji, więc warto także taką kartę zabezpieczyć hasłem lub szyfrować zawarte tam dane. Podobnie jak przenośne dyski USB, na których także robione są kopie bezpieczeństwa. Dla złodzieja są one równie cenne jak laptop. Ale mało kto stara się o tym myśleć, bo bez haseł i szyfrowania jest i łatwiej i szybciej. Do czasu.
Podstawą zabezpieczenia notebooków i zaawansowanych telefonów jest stosowane wszelkich możliwych metod zabezpieczania urządzeń, dysków, kart pamięci i danych. W przypadku notebooków to nie tylko zabezpieczanie samych urządzeń przed nieautoryzowanym dostępem. To także szyfrowanie danych. W przypadku telefonów należy zawsze stosować PIN do karty SIM, blokadę telefonu, ale nieco bardziej skomplikowaną niż np. 12345 i, jeśli to możliwe, szyfrowanie bądź zabezpieczenie hasłem informacji zapisanej na karcie pamięci.
Odtwarzacze MP3
W wielu branżach słuchanie muzyki z odtwarzacza MP3 podczas pracy nikogo nie dziwi. Te z pozoru niewinne urządzenia multimedialne także służą do przenoszenia danych. Szczególnie te, które podłączane są bezpośrednio do interfejsu USB i widziane przez system operacyjny Windows XP czy Vista jako zewnętrzne dyski. Wykorzystywane są jednak do tego przez niewielką liczbę ich posiadaczy.
Bardzo często zapominają oni o zapisanych tam danych, tak jak było to w przypadku amerykańskiego żołnierza, który sprzedał swój odtwarzacz i nie skasował zapisanych tam informacji. Bardziej zaawansowane odtwarzacze oferują możliwość zabezpieczenia całej zawartości hasłem. Warto pamiętać o tej możliwości i ją wykorzystywać.
Szyfruj dane. Nie śpiesz się. Stosuj hasła. Nie oszczędzaj na bezpieczeństwie.
W przypadku gdy w praktyce firmy lub instytucji, w której pracujemy, niezbędne jest przenoszenie danych na pamięciach USB, nie należy oszczędzać przy ich wyborze i kierować się zdrowym rozsądkiem. Warto wybierać tylko te urządzenia, które mają międzynarodowe certyfikaty, takie jak np. określony przez Narodowy Instytut Standaryzacji i Technologii Rządu Federalnego Stanów Zjednoczonych i Departamentu Bezpieczeństwa Rządu Kanady (CSEC). Takich przenośnych pamięci używają np. FBI i niektóre polskie agendy rządowe. Kolejne zalecenie to stosowanie trudnych do złamania haseł, nawet wtedy, gdy informacje przenoszone na nośnikach danych wydają się mało wrażliwe. Przypadkowy znalazca nie jest zazwyczaj hakerem i po kilku nieudanych próbach zrezygnuje z dostania się do danych w zabezpieczonej hasłem pamięci. I nie wierzmy, że pamięć USB za 30 zł z czytnikiem linii papilarnych jest bezpiecznym rozwiązaniem. Niska cena całego urządzenia to także niskiej jakości czytnik. Wystarczy zdjąć odciski z obudowy, wykorzystać skaner i przy odrobinie szczęścia dostaniemy się do zapisanych na pamięci USB danych.