Do uzyskania dostępu do danych przechowywanych w sieci firmowej wykorzystuje się komputery. I to wcale nie te znajdujące się daleko od firmy, ale często te pracujące w niej bezpośrednio. Włamywacz może często bez problemu dostać się do firmy i użyć komputera nie wykorzystywanego w danej chwili przez pracownika. Osobnym problemem są kradzieże komputerów przenośnych - często w celu pozyskania przechowywanych w nich informacji.

Stosowanie firewalli, oprogramowania antywirusowego, pracującego na serwerach, i systemu monitoringu sieci nie zwalnia z konieczności zabezpieczenia komputerów wykorzystywanych w firmie przed nie autoryzowanym użyciem. Włączony komputer, którego użytkownik zrobił sobie przerwę na kawę, może być wykorzystany nie tylko przez zewnętrznego włamywacza dostającego się niepostrzeżenie do firmy, lecz także przez współpracownika, który chcąc zrobić dowcip, podszywa się pod użytkownika, wysyłając pocztę elektroniczną z jego konta, jak również do spenetrowania danych znajdujących się na dysku lokalnym lub sieciowym, do których nie ma normalnie dostępu.

Zabezpieczyć komputer

Administrator odpowiadający za wdrożenie polityki bezpieczeństwa musi sobie odpowiedzieć na pytanie, na ile chce i może ograniczyć swobodę użytkowników sieci, aby podnieść bezpieczeństwo korporacyjnych danych. Pole do popisu jest bardzo duże.

Oprogramowanie systemowe zainstalowane na stacji roboczej może automatycznie blokować stację roboczą, wymagając podania hasła, jeśli będzie ona nie używana dłużej niż określoną liczbę minut. Może również dostarczać użytkownikowi dostęp wyłącznie do niezbędnych do jego pracy aplikacji, uniemożliwiając mu uruchamianie jakichkolwiek plików EXE i COM, które nie znalazły się na liście plików wykonywalnych, dozwolonych przez administratora.

Informatycy mogą również "na sztywno" określić środowisko pracy użytkownika, uniemożliwiając mu np. wgranie własnego wygaszacza ekranu, zmianę konfiguracji systemu, modyfikację ustawień drukarek sieciowych (co jest bardzo uzasadnione, gdyż dane przetwarzane w konkretnym dziale nie powinny być drukowane na drukarkach znajdujących się w innych miejscach w firmie) itp. W przypadku stosowania takich rygorystycznych zabezpieczeń nie należy również zapominać o zablokowaniu możliwości korzystania z płyt CD-ROM i dyskietek (co zapobiegnie kopiowaniu na nie danych), a w szczególności uruchamianiu komputera z wykorzystaniem tych nośników. Włamywacz może bowiem próbować wystartować specjalnie spreparowaną wersję systemu operacyjnego z CD-ROM-u lub dyskietki, dającą mu dostęp do narzędzi pozwalających obejrzeć zawartość lokalnego dysku twardego. Konieczne jest również w takich przypadkach założenie hasła na BIOS komputera, aby nikt nie mógł samodzielnie zmodyfikować ustawień podstawowych parametrów pracy komputera.

Czy to wystarczy? Z pewnością nie. Równolegle z zabezpieczaniem komputerów muszą być przeprowadzone szkolenia pracowników dotyczące nowego sposobu korzystania z sieci. Pracownicy nie powinni bowiem na lokalnych dyskach twardych przechowywać informacji. Powinny być one odczytywane zdalnie z serwera i zapisywane również na nim. Można również pokusić się o realizację systemu, w którym po każdym wylogowaniu użytkownika ewentualne dane przygotowane przez niego podczas pracy są automatycznie kopiowane do odpowiedniej lokalizacji na serwerze.

Dodatkowym utrudnieniem dla włamywaczy wkradających się bezpośrednio do firmy będzie przypisanie w systemie informatycznym konkretnych użytkowników konkretnym komputerom. Wtedy, nawet jeśli włamywacz pozna hasło jednego z użytkowników, nie będzie mógł z niego skorzystać na dowolnym komputerze - serwer nie dopuści bowiem jego zalogowania w sieci z innej stacji roboczej niż ta, która przypisana została feralnemu użytkownikowi. Rozwiązanie to można zastosować jednak wyłącznie w tych firmach, w których komputery nie są współdzielone i w których każdy pracownik ma własną stację roboczą.

Użytkownik cyfrowy

Zabezpieczenie dostępu do sieci za pośrednictwem hasła nie jest rozwiązaniem uznawanym już za bezpieczne. Podstawą działania włamywaczy jest założenie, że użytkownicy korporacyjni w zdecydowanej większości wykorzystują proste hasła: numery telefonów, imiona swoich bliskich itp. Wykorzystują oni narzędzia, które - stosując tzw. atak słownikowy - sprawdzają wszelkie możliwe kombinacje wyrazów znajdujących się w dołączonym do programu słowniku. Dlatego też ważne jest, aby system informatyczny firmy nie dopuszczał stosowania haseł łatwych do odgadnięcia. Powinien wymuszać w miarę częstą zmianę haseł (np. co półtora miesiąca) oraz stosowanie złożonych haseł składających się nie tylko z liter, lecz także z cyfr i znaków interpunkcyjnych.

Alternatywą dla hasła lub też dodatkowym zabezpieczeniem stosowanym równolegle z nim mogą być dodatkowe czytniki instalowane przy każdym komputerze i umożliwiające, w zależności od przyjętej metody i możliwości urządzenia, logowanie z wykorzystaniem karty procesorowej, odcisku palca czy też rozpoznawania głosu. Chociaż stosowanie tego rodzaju zabezpieczeń jest jeszcze dosyć egzotyczne, to w ciągu kilku najbliższych lat ma ono szansę bardzo się spopularyzować.

Komputery przenośne

Potencjalnie największym zagrożeniem dla korporacyjnych danych są komputery przenośne, które ze względu na swoją specyfikę wykorzystywane są zarówno w siedzibie firmy, jak i poza nią. Zastosowanie notebooka zawsze wiąże się z możliwością wyniesienia części informacji korporacyjnych poza firmę. Jedyne, co może zrobić użytkownik takiego komputera i jego administrator, to dążyć do minimalizacji niebezpieczeństwa bezprawnego wykorzystania tych informacji, poprzez stosowanie odpowiednich zabezpieczeń komputera przenośnego. Ochrony w przypadku notebooka wymaga zarówno jego zdalna komunikacja z firmą (ochrona przesyłanych danych), jak i znajdujące się na nim dane, które mogą być wykorzystane w przypadku kradzieży sprzętu.

Ze względu na to, że komputer przenośny pracujący poza firmą i korzystający najczęściej z połączenia modemowego z Internetem nie jest chroniony przez wymyślne zabezpieczenia stosowane w firmie (firewalle, oprogramowanie antywirusowe pracujące na serwerach), zalecana jest instalacja na nim pakietu antywirusowego, który monitorowałby cały czas wszystkie wykonywane przez użytkownika operacje, ściągane dokumenty i strony internetowe. Ponadto warto wzbogacić notebooka o oprogramowanie firewall, pracujące bezpośrednio na nim. Podobnie jak tradycyjny firewall, pozwala ono wybrać jakie rodzaje transmisji będą mogły być realizowane przez użytkowników internetowych, próbujących skorzystać zdalnie z lokalnych zasobów komputera. Standardowo najlepiej jest uniemożliwiać wszelką tego typu komunikację, pozwalając wyłącznie na odbieranie przez komputer tych transmisji, które inicjowane są przez jego użytkownika (np. odpowiedź na prośbę wyświetlenia konkretnej strony internetowej). Rozwiązaniami oferującymi taką funkcjonalność są m.in. pakiety Norton Internet Security 2000 i ConSeal PC Firewall.

Istotne jest również, aby komunikacja użytkownika komputera przenośnego z siecią komputerową firmy odbywała się w pełni bezpieczny sposób. W takich przypadkach stosowane są dwa rozwiązania: użytkownik wykonuje połączenie modemowe bezpośrednio do serwera dostępowego w sieci lokalnej (co może być bardzo kosztowne w przypadku, gdy realizowane są połączenia międzynarodowe) lub też łączy się z lokalnym dostawcą usług internetowych i już za pośrednictwem Internetu dostaje się do firmowych serwerów. W drugim przypadku istotne jest zastosowanie oprogramowania umożliwiającego zestawienie pomiędzy firewallem firmowym a komputerem użytkownika połączenia VPN, w ramach którego transmisje danych są szyfrowane, a więc ich przechwycenie w Internecie nie będzie opłacalne dla "podsłuchującej" je osoby.

W celu zabezpieczenia przed skutkami kradzieży komputery przenośne powinny być wzbogacone o rozwiązanie umożliwiające przechowywanie ważnych dokumentów na dysku w formie zaszyfrowanej (poza plikami systemu operacyjnego i aplikacji). Zagwarantuje to, że nawet po kradzieży takiego komputera dane nie będą mogły być wykorzystane bez znajomości hasła powodującego ich odszyfrowanie. Istotne jest tu zwrócenie uwagi na to, aby oprogramowanie szyfrujące umożliwiało przechowywanie dokumentów na dysku w formie zaszyfrowanej przez cały czas ich wykorzystania. Niektóre aplikacje dokonują bowiem tymczasowego odszyfrowywania dokumentów podczas ich edycji i tymczasową kopię przechowują na dysku w formie odszyfrowanej.

Wymyślne zabezpieczenia

Skradzione komputery przenośne nie zawsze są bezpowrotnie stracone. Istnieje już kilka firm (m.in. CompuTrace i CyberAngel) specjalizujących się w odszukiwaniu skradzionego sprzętu komputerowego. Oferują one specjalne oprogramowanie instalowane na komputerze przenośnym i niewidoczne dla użytkownika, które po wprowadzeniu błędnego hasła, jeśli tylko komputer włączony jest do sieci, automatycznie i bez wiedzy użytkownika kontaktuje się z internetowym centrum monitoringu zbierającym informacje o skradzionym sprzęcie. Taki komputer przesyła informację o aktualnie wykorzystywanym numerze IP lub numerze telefonu, z którego nawiązane zostało połączenie modemowe. Istnieją różne warianty tego rozwiązania. Niektóre z nich automatycznie np. co tydzień próbują nawiązywać połączenie modemowe, jeśli tylko podłączone są do linii telefonicznej, i informować centrum monitoringu skąd dzwonią (przy założeniu, że centrala telefoniczna dysponuje funkcją udostępniania numeru, z którego wykonano połączenie). Robią to niezauważalnie dla użytkownika.

Oprogramowanie instalowane na komputerze działa podobnie jak niektóre wirusy - jego usunięcie nie przynosi skutku, gdyż program ponownie pojawia się na dysku.