Zatamować wyciek

Wyciek danych może być problemem nie tylko dużych korporacji, ale również małych i średnich firm, zwłaszcza przy wykorzystaniu coraz bardziej popularnych pamięci USB.

Wyciek danych może być problemem nie tylko dużych korporacji, ale również małych i średnich firm, zwłaszcza przy wykorzystaniu coraz bardziej popularnych pamięci USB.

Zewnętrzne pamięci USB, takie jak pendrive, łatwo ukryć. Są nieduże, mogą być wbudowane w breloczek, odtwarzacz MP3 czy zegarek. Mają pojemność od kilku do kilkudziesięciu gigabajtów i dużą prędkość transmisji, zatem z powodzeniem mogą posłużyć do wyniesienia danych z firmy. Najbardziej radykalnym rozwiązaniem przeciwdziałania jest odłączenie obsługi portu USB na wszystkich komputerach przez odpowiednią opcję w pamięci BIOS komputera, chronionym hasłem. Niestety uniemożliwia to również korzystanie z urządzeń, takich jak tanie skanery i drukarki USB, popularne w małych i średnich firmach. Ponadto nie da się użyć klawiatur ani myszy USB, a w niektórych komputerach nie ma już alternatywnych portów PS/2.

Dbanie o dane

Wielu administratorów ma tzw. swoje sposoby, ale czasami lepiej skorzystać z profesjonalnych produktów. Przykładem takiego programu jest Pointsec Protector firmy Check Point, który uniemożliwia użycie obcych nośników USB przy jednoczesnym zezwoleniu na korzystanie z konkretnych urządzeń, zatwierdzonych przez administratora. Można także zapewnić ochronę danych przenoszonych na nośnikach USB, dostępna jest również opcja separacji danych firmowych (szyfrowanych) od pozostałej, niedostępnej w firmie (ale dostępnej poza nią). Można także zezwolić na kontrolowane hasłem przenoszenie danych między strefami. Pointsec Protector, blokując obce pamięci, nie ogranicza korzystania z urządzeń, takich jak mysz czy klawiatura USB.

Wyłączenie obsługi pamięci USB w Windows 2000/XP

Oprócz różnych sztuczek administracyjnych - diaryproducts.net/about/operating_systems/windows/disable_usb_sticks - istnieje gotowe rozwiązanie: www.intelliadmin.com/blog/2007/01/disable-usb-flash-drives.html, które można pobrać ze strony: www.intelliadmin.com/downloads.htm Proste narzędzie shareware umożliwiające blokowanie hasłem obcych urządzeń USB - www.myusbonly.com/usb/index.php.

Dane mogą zostać skradzione z firmy także za pomocą skopiowania z dysku po uruchomieniu komputera z płytki startowej z obcym systemem operacyjnym. Aby temu przeciwdziałać, należy wdrożyć szyfrowanie zapisywanych danych. Do tego celu mogą posłużyć zarówno opcja EFS w Windows 2000/XP Professional/Vista, jak i Bitlocker w Windows Vista Business/Ultimate. Dostępne są też program Truecrypt rozwijany w modelu open source oraz cała gama rozwiązań komercyjnych. Tego typu zabezpieczenia były już opisywane w cyklu naszych artykułów poświęconych szyfrowaniu (np. w Computerworld 44/2007). Szyfrowanie danych składowanych na dyskach jest szczególnie ważne w dobie komputerów mobilnych, które można łatwo ukraść.

Informacje na wynos

Urządzenia przenośne - takie jak zaawansowane telefony komórkowe i PDA - są szczególnie trudne do ochrony. Powszechnie stosowana synchronizacja danych z kalendarzem na stacji roboczej lub serwerze pracy grupowej oraz przechowywanie kopii istotnych dokumentów na PDA sprawiają, że kradzież urządzeń przenośnych może być źródłem poufnych informacji. Czytniki biometryczne wbudowane w PDA to za mało, bowiem można odczytać zawartość pamięci Flash urządzenia nawet przy braku uwierzytelnienia. Na rynku są już programy przeznaczone do szyfrowania zawartości PDA czy telefonu. Najpopularniejsze z nich to: darmowy CompuSec Pocket (PocketPC), SafeGuard PDA (PocketPC) i Pointsec Mobile (PDA i Smartphone).

Małe firmy często korzystają z sieci bezprzewodowych, aby możliwie uprościć instalacje sieci przewodowych. Nie zawsze sieci te są dostatecznie zabezpieczone przed atakiem z zewnątrz i nadużyciem od wewnątrz. Warto wiedzieć, że włamanie poprzez sieć bezprzewodową nie pozostawia łatwych do wykorzystania śladów, dlatego należy zadbać o bezpieczeństwo.

Jeśli sieć bezprzewodowa jest stosowana, trzeba zapewnić jej dostateczną ochronę, czyli dostęp chroniony przez WPA i maksymalnie długie, losowe hasło. Warto wprowadzić też restrykcje dla adresów sprzętowych używanych w sieci. Bardzo dużo napisano na temat zabezpieczenia sieci bezprzewodowych, ale nadal poziom bezpieczeństwa wielu sieci WLAN jest niedostateczny.

Dane mogą opuścić firmę poprzez:

  • zewnętrzne urządzenie pamięci USB (pamięć, iPod, dysk przenośny);
  • kopię z dysku twardego przy wyłączonym systemie operacyjnym (w tym kradzież notebooka);
  • kopię z urządzeń przenośnych (telefon, PDA);
  • pocztę elektroniczną i inne media, zależnie od inwencji nieuczciwych użytkowników;
  • oprogramowanie szpiegujące (spyware).
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200