Bezpieczeństwo IT

Jak zapewnić bezpieczeństwo firmowych urządzeń i nośników danych?

Dodano: 17-09-2020 / Eximo Project


Jak zapewnić bezpieczeństwo firmowych urządzeń i nośników danych?

Dane to najcenniejsze zasoby, jakie należy chronić w każdej firmie. System bezpieczeństwa jest jednak tak silny, jak jego najsłabsze ogniwo i choć wielu przedsiębiorców deklaruje stosowanie zaawansowanych zabezpieczeń, to nawet drobna luka może doprowadzić do niekontrolowanych wycieków lub zainfekowania systemów informatycznych. Warto wiedzieć, jak uchronić się przed takimi zdarzeniami.

Pendrive, dysk przenośny, karta pamięci – większość osób miała okazję skorzystać chociaż z jednego z tych urządzeń w miejscu pracy. Wciąż jednak istnieje niewielka świadomość ryzyka związanego z nieprzemyślanym stosowaniem tego typu nośników. Pamięć masowa to wręcz idealna furtka, przez którą zagrożenia przemieszczają się dwutorowo: z jednej strony możemy narazić się na wyciek istotnych lub wrażliwych danych, a z drugiej wpuścić do systemu niechciane oprogramowanie.

Atak hakerski „na pizzę”

Przekonała się o tym jedna z warszawskich korporacji, która szczyciła się wysokim poziomem zabezpieczeń informatycznych. Wystarczyła jednak prosta informacja o 30-procentowej zniżce na pizzę, która trafiła na skrzynki pocztowe pracowników, a już kilka godzin później system informatyczny firmy został całkowicie przejęty przez hakerów.

Jak do tego doszło? Zachęceni zniżką pracownicy postanowili skorzystać z promocji, organizując w firmie Pizza Day. Gdy na miejsce przybył dostawca, okazało się, że do zamówienia dołączone zostały w gratisie LED-owe lampki USB. Pracownicy bez wahania podłączyli je do swoich komputerów, nie wiedząc, że w ten sposób dali hakerom dostęp do urządzeń firmowych.

Na szczęście okazało się, że akcja przeprowadzona została w ramach audytu bezpieczeństwa, dzięki czemu żadne dane firmowe nie ucierpiały. Akcja obnażyła jednak słaby punkt w zabezpieczeniach firmowych. Pokazała również, że atak socjotechniczny może być skonstruowany w bardzo przemyślany i nieoczywisty sposób, dlatego ważne jest stosowanie nie tylko zabezpieczeń technicznych, ale również tworzenie wśród pracowników kultury świadomości dotyczącej tego typu ataków.

Jak odpowiednio zabezpieczyć systemy i urządzenia?

Aby mówić o pełnej ochronie danych i urządzeń przed nieplanowanymi atakami lub wyciekami, należy stosować ich kontrolę na trzech podstawowych płaszczyznach: fizycznej, technicznej i administracyjnej. Oznacza to przede wszystkim odpowiednie wykorzystanie nośników pamięci w celu zapewnienia ich bezpieczeństwa czy ochrony przed zgubieniem , a także wdrażanie rozwiązań mających chronić infrastrukturę informatyczną przed zainfekowaniem.

Działania te powinny zapewnić szeroko rozumiane bezpieczeństwo pamięci masowej, które koncentruje się na ochronie danych i infrastruktury pamięci masowej przed nieuprawnionym ujawnieniem, modyfikacją lub zniszczeniem, przy jednoczesnym zapewnieniu ich dostępności dla upoważnionych użytkowników.

Szczególnie warto w kontekście zabezpieczeń kierować się łatwym do zapamiętania akronimem “CIA”, na który składają się: Confidentiality (poufność), Integrity (spójność) oraz Availability (dostępność). Oznacza to, że stosowane zabezpieczenia powinny trzymać poufne dane z dala od nieuprawnionych użytkowników i zapewnić, że dane w systemach są wiarygodne, a jednocześnie dostępne dla wszystkich pracowników, którzy potrzebują do nich dostępu.

Najczęściej występujące luki w zabezpieczeniach pamięci masowej

Phishingowy atak socjotechniczny to tylko jeden z wielu przykładów potencjalnych zagrożeń. Do najczęściej występujących luk w zabezpieczeniach pamięci masowej należą:

  • brak szyfrowania – choć niektóre urządzenia obsługują zaawansowane szyfrowanie, firmy najczęściej muszą instalować oddzielne oprogramowanie lub urządzenie szyfrujące
  • brak bezpieczeństwa fizycznego – ponieważ nośniki danych są zazwyczaj urządzeniami przenośnymi, nawet nieroztropne pozostawienie ich na biurku stwarza ryzyko kradzieży
  • przechowywanie w chmurze – jest ono często zdecydowanie bezpieczniejsze niż przechowywanie lokalne, jednak zwiększa złożoność środowisk pamięci masowej i wymaga wdrażania nowych procedur

Dobre praktyki zabezpieczania danych 

Urządzenia firmowe i nośniki danych zawsze będą obarczone choćby minimalnym ryzykiem związanym z atakami lub utratą danych. Warto jednak stosować najlepsze praktyki w zakresie ich zabezpieczenia:

  1. zasady bezpieczeństwa przechowywania danych – przedsiębiorca powinien mieć jasno spisany zakres korzystania z urządzeń, oprogramowania zewnętrznego, nośników danych itp. oraz egzekwować od pracowników znajomość i przestrzeganie tych zasad
  2. kontrola dostępu – warto kontrolować dostęp w oparciu o role użytkowników w systemie (podział na administratorów i użytkowników), dzięki czemu można zapobiec instalacji niezaufanego lub niezgodnego ze standardami firmy oprogramowania
  3. stosowanie haseł – dane powinny być szyfrowane zarówno podczas przesyłania, jak i w spoczynku, a pracowników warto zachęcać do stosowania silnych haseł oraz metody uwierzytelniania dwuskładnikowego, która gwarantuje znacznie wyższy poziom bezpieczeństwa niż okresowa zmiana haseł
  4. zapobieganie utracie danych – wielu ekspertów zaleca, aby firmy oprócz szyfrowania wdrażały również rozwiązania zapobiegające utracie danych (DLP – Data Loss Prevention), które mogą pomóc znaleźć i zatrzymać wszelkie trwające ataki
  5. bezpieczeństwo sieci – systemy pamięci masowej powinny być otoczone silnymi systemami zabezpieczenia sieciowego, takimi jak firewall, ochrona przed złośliwym oprogramowaniem itp.
  6. tworzenie i zabezpieczanie kopii zapasowych – niektórym atakom nie da się zapobiec, dlatego warto przechowywać najbardziej istotne dane w formie kopii zapasowych; można stosować tu zasadę „3, 2, 1” – dane powinny być przechowywane w trzech kopiach na dwóch typach nośników, w tym jeden z nich powinien być poza firmą, najlepiej w chmurze

Inwestycja w bezpieczeństwo zaprocentuje w momencie kryzysu

Nawet jeśli systemy zabezpieczeń okażą się kosztowne oraz czasochłonne w kontekście wdrażania, jest to inwestycja opłacalna. Przywracanie danych po ich utracie lub próby odzyskania reputacji firmy po ataku hakerskim i wycieku wrażliwych danych mogą okazać się zdecydowanie bardziej kosztowne. Warto także pamiętać, że wciąż popularna przenośna pamięć masowa, jeśli już używana, powinna nam posłużyć głównie do transferu danych, a nie ich długotrwałego przechowywania.