Firmowe nośniki USB, czyli Urządzenia Stale Bagatelizowane
#1
Dziewięć na dziesięć. Tyle osób korzysta w pracy z przenośnych pamięci USB i tyle samo zgubiło taki nośnik przynajmniej raz, zatajając ten fakt przed swoją firmą. Firma ANZENA - ekspert ochrony danych i utrzymywania ciągłości działania IT - przestrzega, że brak polityk bezpieczeństwa dotyczących USB i rozwiązań DLP może uderzyć w firmę równie szybko i gładko, jak między firmowymi dyskami krążą prywatne filmy pracowników.
[Obrazek: usb-trap-600.png]
Więc musisz udostępnić 8GB danych bez spowalniania dysku sieciowego, z którego korzystają ważne firmowe aplikacje? Żaden problem - odpinasz od kluczy brelok z USB i pliki za chwilę lądują na laptopie kolegi z działu. Prosto, szybko i bez wołania administratora. Nic dziwnego, że w najnowszej ankiecie firmy Apricorn aż 9 na 10 specjalistów IT potwierdza częste korzystanie z przenośnych pamięci flash w miejscu pracy. Naturalnie objętość danych krążących między setkami drobnych dysków nie musi iść w gigabajty, bo kluczowa jest ich zawartość. Wystarczy paczka skanów z umowami o pracę - niewielka, ale na tyle duża, by nie zmieściła się jako załącznik w firmowej poczcie. Jak wygląda bezpieczeństwo tysięcy podobnych transferów? 

80% uczestników badania twierdzi, że ochrona danych stanowi dla nich "wysoki priorytet" i podobnie jest w miejscach ich zatrudnienia. Blisko 58% posiada adekwatne zabezpieczenia i procedury korzystania z pamięci flash, a 54% korzysta z rozwiązań DLP (data-leak-protection) wykrywających nieautoryzowane kopiowanie na USB poufnych danych. Połowa badanych firm wymaga zgłaszania utraty pamięci przenośnych, a 49% umożliwia pracownikom korzystanie wyłącznie z zaaprobowanych dysków. Tyle teorii, bo rzeczywistość już nieco skrzeczy. 

Chociaż 50% badanych zobligowanych jest pytać o pozwolenie na użycie USB, realnie robi to tylko 15% z nich. Z kolei 8 na 10 pracowników używa w pracy zewnętrznych napędów otrzymanych np. jako gadżety reklamowe podczas branżowych eventów. Ilu poprosi administratora o sprawdzenie pamięci przed jej wpięciem w firmową infrastrukturę? Danych brak, ale można przypuszczać, że nie będzie ich wielu. Nieduża jest też grupa korzystająca z szyfrowania. Mimo, że to de facto podstawowy środek bezpieczeństwa przy przenoszeniu danych korzysta z niego tylko 20% badanych specjalistów. 

Ktoś mógłby powiedzieć, że "statystyki nie są wprawdzie najlepsze, jednak dyski USB wcale nie gubią się tak często". Otóż gubią - aż 87% specjalistów biorących udział w badaniu ma za sobą przynajmniej jedną niezgłoszoną utratę pamięci flash z firmowymi danymi. Większość z nich zawierała prawdopodobnie statystyki i projekty, których utrata była co prawda kłopotliwa i kosztowna (również wizerunkowo)... ale nie zagroziła niczyjemu życiu tak, jak ostatnia wpadka służb bezpieczeństwa brytyjskiego lotniska Heathrow.

29 października na londyńskiej ulicy znaleziono niezaszyfrowany pendrive z poufnymi i wrażliwymi danymi o zabezpieczeniach lotniska i sposobach korzystania z niego przez brytyjską królową, ministrów i zagranicznych gości. Ani sam dysk, ani dane na nim zawarte nie były chronione nawet prostym hasłem. Eksperci ANZENY przypominają, że według statystyk z 2016 lotnisko codziennie odwiedza blisko 207 tysięcy osób. Jeśli mapy monitoringu i opisy systemów antyterrorystycznych z dysku trafiłyby do osoby o złych intencjach to potencjalna katastrofa czy planowany atak terrorystyczny byłyby praktycznie nie do wykrycia.

Firma ANZENA przypomina, że niezabezpieczone dyski stwarzają podwójne zagrożenie - wycieku danych, ale też niebezpiecznej infekcji szyfrującej lub innego ataku wirusowego. W przypadku portów USB częściowym rozwiązaniem jest ich blokada i dopuszczenie tylko nośników szyfrowanych. Warto też pamiętać o dodatkowym zabezpieczeniu w postaci dedykowanego rozwiązania DLP. Eksperci firmy przypominają, że firmy i organizacje powinny jak najdokładniej kontrolować przepływ swoich danych, zwłaszcza gdy te opuszczają firmę. W kontekście unijnego rozporządzenia o ochronie danych osobowych (RODO), które weszło w życie 25 maja 2018 r. tego zalecenia nie można dłużej traktować jako branżowej mantry. Należy je po prostu wdrożyć. 

Źródło: Anzena
Odpowiedz
#2
Pendraki firmowe to faktycznie zagwozdka czasem...ze swoich obserwacji wiem, że to najczęściej właśnie gadżety reklamowe firmy w której się pracuje albo pozyskane jako gifty z przeróżnych imprez i niepewnych źródeł. Dane są różne - zestawienia sprzedażowe, umowy, dane przetargowe, projekty inwestycyjne - ale wszystkie one są na pewno wrażliwe i dla zainteresowanych (np. konkurencji) stanowić mogą smakowity kąsek. Tu niestety chyba u większości nie ma ustalonej polityki, choć wiem, że w niektórych firmach blokuje się odczyt danych jeśli pendrak jest nieszyfrowany...z drugiej strony szyfrowany pendrak w niektórych sytuacjach z klientem/kontrahentem stać się może bezużyteczny, a spotkanie w celu prezentacji własnego projektu może się nie udać Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości