Zabezpieczyć małą firmę

W wielu raportach dotyczących bezpieczeństwa najgorzej wypadają małe i średnie firmy. W odróżnieniu od wielkich korporacji z olbrzymim budżetem małe firmy nie zawsze mogą sobie pozwolić na rozwiązania z użyciem bardzo zaawansowanych technologii.

W wielu raportach dotyczących bezpieczeństwa najgorzej wypadają małe i średnie firmy. W odróżnieniu od wielkich korporacji z olbrzymim budżetem małe firmy nie zawsze mogą sobie pozwolić na rozwiązania z użyciem bardzo zaawansowanych technologii.

Należy jednak pamiętać, że bezpieczeństwo systemów teleinformatycznych jest jedynie wąskim podzbiorem bezpieczeństwa informacji. W wielu przypadkach nawet niewielkie nakłady mogą przynosić pożądane efekty, o ile środki zostaną racjonalnie wykorzystane.

Bardzo ważnym elementem bezpieczeństwa informacji jest jasny i skuteczny jej obieg. Schemat zależy od danej firmy, niemniej kluczową cechą takiego obiegu jest to, że każdy pracownik wie dokładnie od kogo jaką informację uzyska, a także komu ma ją przekazać. Należy dodać choćby najprostszą klasyfikację informacji - oddzielić informacje publicznie dostępne od tych poufnych. Te drugie należy odpowiednio oznaczać (choćby zapisując w stosownym katalogu przy użyciu dobranej nazwy pliku w wersji elektronicznej czy dodając adnotację na marginesie wydruku) i przechowywać według określonych zasad (np. zapisać z hasłem albo trzymać w osobnym segregatorze). Od razu widać, który dokument jest poufny, i właśnie o to chodzi. Dzięki takim regułom znacznie łatwiej doszkolić pracowników.

Kryteria, według których dokonuje się podziału, powinny być jasne i przejrzyste - istotą jest wyselekcjonowanie ważnych dla firmy dokumentów. Mogą to być: listy kontrahentów i informacje o współpracy z nimi, cenniki, receptury, dokumentacje produktów itp. Wbrew pozorom pojedyncze faktury nie muszą być specjalnie chronione, ponieważ raczej są danymi "niskiego poziomu" i dla oceny działania typowej firmy nie wystarczy przechwycenie jednej dowolnej faktury od jednego dowolnego kontrahenta. Tymczasem zestawienie kontrahentów wraz z ich obrotami jest bardzo wrażliwym dokumentem, gdyż daje łatwe rozeznanie dla konkurencji. To samo dotyczy cenników - oficjalnie dostępny cennik w firmie handlowej różni się znacząco od wewnętrznego, gdzie są podawane zakresy możliwych negocjacji cenowych oraz marże.

Ochrona informacji nie może się odbywać bez niszczenia niepotrzebnych dokumentów. Wśród szpiegów przemysłowych śmietnik nadal zajmuje dość wysoką pozycję. Aby móc temu zapobiec, w firmie musi znajdować się niszczarka dokumentów, zaś pracownicy muszą wyrobić sobie nawyk korzystania z niej. Nie może być miejsca na podejrzliwość wobec pracowników korzystających z niszczarki. Skoro niszczą niepotrzebne dokumenty w ten sposób zamiast wprost wyrzucić do kosza, to znaczy, że dbają o bezpieczeństwo firmy.

Należy przeszkolić pracowników, wpajając im zasadę ograniczonego zaufania do niektórych dokumentów, takich jak faksymile. Fałszerstwo faksu jest bardzo proste do wykonania, a dość trudne do wykrycia. Nie wiadomo dlaczego w wielu firmach nawet podejrzane dokumenty przesyłane faksem są przyjmowane bez mrugnięcia okiem, o ile są "wyposażone" w stosowną ilość pieczątek (mogą być bezkrytycznie przekopiowane z innego dokumentu i prosto wyedytowane za pomocą dowolnego programu do retuszu). Warto zwrócić uwagę, że nawet prymitywne przeróbki, od razu widoczne na kolorowym skanie dokumentu z przeciętną jakością Compact PDF, w przypadku faksu przechodzą bez pudła. Przyzwyczajenie do rzekomej władzy i mocy pieczątki panuje w wielu polskich firmach, z nieznanego mi powodu moc ta przechodzi nawet na fatalnej jakości faksymile. Należy koniecznie z tym zerwać - liczy się wiarygodność dokumentu i podpisu na dokumencie, a nie pieczątka. Tak samo nie można bezkrytycznie ufać poczcie elektronicznej bez podpisu certyfikatem lub za pomocą innych technik kryptograficznych. Można użyć choćby PGP (np. w realizacji GnuPG z narzędziem WinPT) albo bardzo dobrej usługi Ciphire Mail.

Warto zastosować nawet te bardzo oczywiste zabezpieczenia systemu teleinformatycznego - takie jak logowanie z okresowo zmienianym hasłem o pewnych wymaganiach co do złożoności. Jeśli jest to możliwe, należy rozważać użycie centralnego uwierzytelnienia. Dzięki temu będzie możliwy audyt wszystkich działań. Należy ustawić reguły nietypowych zachowań powodujące alarm. Trzeba nauczyć pracowników, by nie zapisywali hasła w typowych miejscach (na kartkach na stole i itp.) i by stosowali takie hasła, które są mocne, łatwe do zapamiętania, a jednocześnie trudne do odgadnięcia przez intruza. Trzeba włączyć wygaszacz ekranu i ustawić blokowanie hasłem. Należy wpoić pracownikom nawyk blokowania komputera przy odejściu od niego, nawet na chwilkę. Bardzo dobrym pomysłem jest ograniczenie godzin logowania do rzeczywistych godzin pracy pracowników w firmie, a także restrykcje co do komputerów - które z nich mogą się do serwera łączyć i z których gniazd - to utrudnia włamanie przy użyciu laptopa ukradkiem podłączonego do sieci.

Bardzo ważna jest ochrona sieci bezprzewodowej. Jestem zdania, że w większości polskich firm nie ma potrzeby korzystania z Wi-Fi. Konfiguracja zapewniająca dobre bezpieczeństwo wymaga prawidłowego ustawienia uwierzytelnienia, regularnych uaktualnień firmware w urządzeniach, a także dobrej konfiguracji zabezpieczeń wszystkich klientów korzystających z Wi-Fi. To nie jest ani proste, ani tanie. Należy także pamiętać, że przy użyciu dobrej anteny do punktu dostępowego można się zalogować ze znacznej odległości spoza firmy. Jeśli już trzeba korzystać z sieci bezprzewodowych, warto maksymalnie ograniczyć dostęp, kreując osobną podsieć dla klientów tych sieci i chronić połączenie odpowiednią zaporą.

Należy zadbać o zabezpieczenie sieci zaporą sieciową. Podstawowa ochrona połączenia z Internetem jest stosunkowo prosta - do tego celu wystarczy dobre i niedrogie urządzenie UTM, które przy poprawnej konfiguracji sprawuje się bardzo dobrze. Po włączeniu na zaporze ochrony antywirusowej oraz odpowiednich reguł filtrowania ruchu i zasad prewencyjnych, można osiągnąć zadowalający poziom zabezpieczenia. Przeważająca większość firm w ogóle nie potrzebuje dostępu z zewnątrz do sieci firmowej. Dzięki temu można odrzucać wszystkie połączenia przychodzące kierowane do sieci firmy z zewnątrz. Tak proste filtrowanie zrealizuje każde, nawet najtańsze urządzenie UTM. Na pewno będzie to lepsze od udostępniania połączenia internetowego za pomocą usługi w systemie Microsoft Windows. Jeśli firma korzysta z outsourcingu obsługi poczty elektronicznej i strony WWW, raczej nie ma potrzeby przekazywania jakiegokolwiek masowego ruchu przychodzącego. Jeśli jest potrzeba udostępnienia jakiejś usługi, dostęp do niej powinien odbywać się w zabezpieczonym kanale wirtualnych sieci prywatnych. Rozwiązaniem z wyboru jest IPSec.

Standardem w dzisiejszych firmach, powszechnie wykorzystujących systemy Microsoft Windows, jest program antywirusowy. Przestój (a także możliwa utrata danych) spowodowany atakiem wirusa powoduje bez wątpienia większe straty niż koszt programu w kilkuletnim horyzoncie czasowym.

Należy koniecznie skonfigurować aktualizacje systemu i aplikacji. Nieaktualny system jest luką w bezpieczeństwie - obojętnie czy jest to Windows, Linux czy Mac OS.

Gdy mowa o niezawodności systemów, warto pamiętać, że firma jako całość jest tylko tak bezpieczna, jak jej najsłabsze ogniwo. Jeśli systemy teleinformatyczne posiadają elementy, których uszkodzenie powoduje przestój całego przedsiębiorstwa, należy przygotować i przećwiczyć plany awaryjne polegające na odzyskaniu sprawności firmy w razie awarii właśnie tych obiektów. Klasycznym przykładem jest awaria dysków we współdzielonej przez klaster macierzy dyskowej albo zniszczenie głównego routera. Jeśli finanse na to pozwalają, warto dla takich krytycznych urządzeń posiadać sprzęt rezerwowy, możliwy do użycia w krótkim czasie (tzw. zimna rezerwa).

Oprócz programów antywirusowych, firma nie może się obyć bez kopii bezpieczeństwa. Nagrywarki CD/DVD są tanie, proste w użyciu, nośniki są powszechnie dostępne, zaś technologia sprawdzona. Wadami kopii na płytach jest ich ograniczona trwałość oraz trudna automatyzacja. Lepszym rozwiązaniem jest zastosowanie streamera, niemniej wymaga to pewnych nakładów finansowych. Najlepszym pomysłem jest dobrze przemyślana, centralizowana polityka wykonywania kopii bezpieczeństwa. Jej istotnym punktem jest plan odzyskiwania danych z kopii w razie utraty urządzeń. Kopia bezpieczeństwa jest bezużyteczna, jeśli nie można jej odtworzyć.

Nośniki z kopią bezpieczeństwa należy przechowywać w innym pomieszczeniu niż komputery - najlepiej poza budynkami biura. To założenie ocaliło niejedną firmę, bowiem pożar (lub złodziej) spowoduje utratę sprzętu, ale rzadko kiedy zniszczy przechowywane gdzie indziej kasetki lub płyty. W przypadku kilkuoddziałowej firmy jedna z filii może z powodzeniem pełnić rolę archiwum kopii bezpieczeństwa. Po wyposażeniu w stosowny ogniotrwały i magnetoodporny sejf kopie w tej odległej lokalizacji będą dodatkowym zabezpieczeniem na wypadek poważnych zdarzeń losowych (pożar, powódź, katastrofa budowlana). Kopie, wysyłane regularnie w zapieczętowanych kopertach z biura centrali firmy, są wtedy ostatnią deską ratunku.

Należy zadbać o ochronę nośników z kopią przed kradzieżą, gdyż dane zapisane w kopiach są niejednokrotnie łatwiejsze do uzyskania od tych znajdujących się na dyskach. Wielokrotnie wykorzystanych taśm czy płytek R/W nie należy nikomu udostępniać, gdyż nawet skasowane nośniki wielokrotnie zapisywalne zawierają poprzednie dane i możliwe jest ich odzyskanie. Po zużyciu trzeba je zniszczyć i to samo dotyczy płytek zawierających kopie już po okresie ich przechowywania. Należy ponadto przewidzieć zasady utylizacji używanych dysków twardych i nośników (także pamięci Flash). Proste sformatowanie nie wystarczy, taki nośnik trzeba całkowicie zniszczyć.

Ataki socjotechniczne kierowane przeciw małym firmom są trudne do realizacji, niemniej są możliwe. Podszywanie się pod pracownika firmy jest bardzo trudne, gdy wszyscy się znają po głosie i nawykach, ale udawanie mniej ważnego kontrahenta jest jak najbardziej wykonalne. Należy zatem wpoić pracownikom zasadę ograniczonego zaufania do ludzi z zewnątrz. Warto też zastosować prosty zabieg - gromadzenie bazy o numerach telefonów, by móc oddzwonić pod numer z tego wykazu w razie wątpliwości. Nawet tak typowa usługa jak identyfikacja numeru dzwoniącego jest bardzo pomocna, chociaż nie można jej wierzyć bezkrytycznie.

Nie wolno zapominać o jednej z podstawowych metod ochrony - ochronie fizycznej. Pomieszczenia muszą być zamykane, by uniknąć kradzieży. Solidne drzwi, zabezpieczenia okien, stosowne zamki oraz system alarmowy z powiadomieniem jest absolutnym minimum. Dostęp do newralgicznych miejsc (archiwum, serwerownia) powinien być osobno chroniony trudnymi do podrobienia kluczami, najlepiej z dodatkowym użyciem szyfrowego zamka elektronicznego.

Bezpieczeństwo dokumentów w firmie

Kluczem do podwyższenia poziomu bezpieczeństwa w firmie jest dobre zaplanowanie działań, które muszą być podjęte. Są nimi:

  1. Dobry obieg informacji i jej jasna klasyfikacja.
  2. Zasada ograniczonego zaufania do kopii dokumentów.
  3. Stosowanie zasad ochrony dokumentów (w każdej ich formie).
  4. Kopia bezpieczeństwa.
  5. Zabezpieczenie komputerów i sieci lokalnej.
  6. Zabezpieczenia pomieszczeń.

Warto dzielić dokumenty tak, by klasyfikowane dokumenty zapisywać z hasłem chroniącym przed otwarciem. Taka metoda skutecznie odrzuci tych, którzy w prosty sposób chcieliby podejrzeć zawartość dokumentów. Specjaliści i tak sobie dadzą radę ze złamaniem hasła, ale nie będzie to natychmiastowa operacja, taka jak polecenie Plik->Otwórz. Nie da się tego zrobić w kilkanaście sekund na obcym komputerze.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200