Bezpieczeństwo także we własnym domu

Czas najwyższy zacząć stosować w swoim domu takie same zabezpieczenia jak w pracy.

Czas najwyższy zacząć stosować w swoim domu takie same zabezpieczenia jak w pracy.

Czy przeznaczasz swój czas i pieniądze na budowanie planu odtworzenia systemu po krachu, a w tym czasie nie tworzysz backupu danych na domowym PC?

Czy inwestujesz w strażników i kamery w biurze, a potem zostawiasz poufne dokumenty na domowym biurku, gdy wychodzisz do sklepu?

Czy ustawiasz system antywirusowy w komputerze w firmie tak, by pobierał automatycznie nowe wersje definicji wirusów codziennie, kiedy antywirus w twoim domowym komputerze jest już dawno nieaktualny, ponieważ żal wydać ci pieniądze na jego rejestrację, gdy wersja demonstracyjna wygasa?

Większość osób zajmujących się profesjonalnie bezpieczeństwem, które znam, dba o jego zapewnienie. Mają niszczarki w mieszkaniach i używają ich do kasowania wszystkich dokumentów zawierających jakiekolwiek dane. Montują alarmy i włączają wszelkie dostępne zabezpieczenia w swoich domowych sieci Wi-Fi. Zabezpieczają hasłami dostęp do plików w komputerach i na prywatnych stronach www. Jak mówią - tak po prostu trzeba, gdyż w innym wypadku CSO nie zasługują na swoją pensję.

Niektórzy CSO są autentycznie zaniepokojeni swoim bezpieczeństwem i ochroną prywatności. Uważają, że to samo tyczy się też osób zajmujących inne kierownicze stanowiska w firmie. Wiedzą bowiem doskonale, że bardzo dobrą drogą do przełamania barier dostępu do organizacji jest wzięcie na celownik domu i prywatnego życia jej dyrektora. Co gorsze, często może się to odbywać zgodnie z prawem.

Czy jest to możliwe? Tak, i to przez zwykłe niedbalstwo osoby, która jest pod obserwacją intruza. Pamiętać należy, że nikt nie może myśleć, iż zapewnił sobie bezpieczeństwo w momencie, gdy swoje dokumenty wyrzucił do śmietnika. Wielokrotnie można spotkać na lotniskach osoby podróżujące w sprawach służbowych, które po przeczytaniu różnych papierów wrzucają je zwyczajnie do kosza i odchodzą. Ponieważ miejsc, w których to czynią (restauracje itp.), nie ma zbyt wiele, łatwo więc wyobrazić sobie, ile potencjalnie cennych danych może trafić w niepowołane ręce. Osoba, która lekkomyślnie wyrzuciła taki kwit, może się bardzo rozczarować, jeśli zobaczy ten sam dokument w Internecie lub jeśli zostanie on sprzedany innej firmie.

Sytuacja wygląda jeszcze gorzej, gdy intruz zdecyduje się złamać prawo. Osoby zarządzające biznesem w krajach, w których kidnaping jest na porządku dziennym, dobrze to rozumieją. W Stanach Zjednoczonych i Europie takie sytuacje praktycznie się nie zdarzają lub występują na tyle rzadko, by dyrektorzy i prezesi o nich nie pamiętali i nie zwracali na nie uwagi. Dlatego też większość takich osób jest niestety bardzo naiwna. Wiele z nich jest szczere zaskoczonych w momencie, gdy dowiadują się, iż są śledzeni przez osoby działające na szkodę ich korporacji. W jednym przypadku złodziej był na tyle bezczelny, by ukraść laptop należący do CEO w trakcie konferencji, gdy ten opuścił swoje miejsce w celu wygłoszenia krótkiego wykładu. Zachowanie zimnej krwi opłaciło się złodziejowi. Mimo że sala była pełna, nikt nie zwrócił na niego uwagi, gdy spokojnie wychodził, niosąc skradziony laptop.

Tajne dane

Jednym z najbardziej spektakularnych przykładów kiepskiego zabezpieczenia domowego sprzętu, który naraził na szwank dobre imię całej organizacji, była sprawa Johna Deutcha, profesora z MIT (Massachusetts Institute of Technology), który w czasie prezydentury Clintona, od 10 maja 1995 do 14 grudnia 1996 r., pełnił funkcję dyrektora CIA. Kilka dni po tym, jak przestał sprawować swoje stanowisko, informacje o bardzo wysokim stopniu tajności zostały znalezione w rządowym komputerze, używanym w domu przez Deutcha. Co prawda Deutch miał tzw. poświadczenie bezpieczeństwa, co uprawniało go do pracy z tajnymi dokumentami, jednakże komputer nie był dopuszczony przez odpowiednie służby do przechowywania tajnych informacji.

Według raportu rządowego, dochodzenie wykazało, że Deutch przechowywał tajne materiały na co najmniej "pięciu rządowych komputerach Macintosh, skonfigurowanych do pracy tylko z materiałami jawnymi. Co najmniej cztery z nich były podłączone do modemów i bez żadnych zabezpieczeń łączono się za ich pomocą z Internetem, serwerami poczty e-mail i stronami bankowymi. W rezultacie tego tajne informacje przechowywane na tychże komputerach były narażone na możliwość pobrania ich stamtąd bądź też ich zmianę drogą elektroniczną".

Jeden z e-mali otrzymanych przez Dutscha w czasie, gdy sprawował swoje stanowisko, jaki znaleziono w komputerze, został wysłany przez jego kolegę z Rosji. Naturalnie, jakiś e-mail mógł też dostarczyć tzw. konia trojańskiego, który dokładnie przeszukałby wszelkie tajne informacje w komputerze i przekazał swojemu autorowi. Zapisane przez komputerową przeglądarkę dane cookies wskazywały ponadto, że właściciel surfował po stronach sieci, na które wchodzenie uważane jest za ryzykowne.

Mało tego. Deutch, inaczej niż poprzedni dyrektorzy, odmawiał 24-godzinnej opieki strażników, gdyż uważał, że narusza ona jego prawo do prywatności. Jako kompromis, CIA i policja lokalna przyjęli zasadę, że okolice domu będą patrolowane w pewnych odstępach czasu, a także zamontowano system alarmowy w pomieszczeniu, w którym znajdował się sejf. Natomiast Deutch, bez pozwolenia agencji, udostępnił kod do alarmu swojej pokojówce, która nie miała przecież poświadczenia bezpieczeństwa. "Deutch stwierdził, że uważał, iż cała jego rezydencja jest bezpieczna" - czytamy w raporcie. "Po pewnym czasie stwierdził jednak, że jego przekonania nie miały solidnych podstaw".

Raport wskazywał, że Deutch powinien zostać ukarany grzywną lub skazany na 10 lat wiezienia, a najlepiej na obie te kary, za tak lekceważące podejście do tajnych informacji. Zamiast tego, prezydent Clinton ułaskawił go.

Domowe bezpieczeństwo nie jest jednak wyłącznie problemem sfer rządowych, próbujących zabezpieczyć klauzulowane informacje. Jest to także rzecz istotna w biznesie, który próbuje zabezpieczyć swe wewnętrzne sieci komputerowe. W październiku 2000 r. Microsoft ogłosił, że jego sieć komputerowa została spenetrowana przez hakerów. Program odpowiedzialny za ten atak to Troj.Qua.A, który został pobrany na komputer pracownika Microsoftu w domu, a następnie dostał się do wewnętrznej sieci Microsoft za pomocą połączenia VPN. Atak mógł zostać przeprowadzony dokładnie w momencie, kiedy laptop był poza zasięgiem działania firmowego firewalla lub przełączał się pomiędzy jedną a drugą jego stroną.

Bezpieczeństwo domowego komputera

Co więc powinien zrobić CSO? Zacznijmy od tego, że komputery w domu powinny być zabezpieczone równie dobrze jak te użytkowane w pracy. Kiedy negocjujesz zakup programu komputerowego, trzeba też pomyśleć o kilku dodatkowych kopiach dla domowych komputerów pracowników, którzy ze względu na charakter swojej pracy będą tego potrzebować. Nawet jeśli firma posiada zarządzany centralnie firewall, przyda się licencja na program przeznaczony specjalnie dla laptopów i domowych komputerów. Jeśli zaś systemem operacyjnym nie jest tylko Windows, to warto zabezpieczyć także te kilka procent osób, które używa produktów konkurencji.

Jeśli jeszcze tego nie zrobiłeś, dopilnuj, by każda osoba w twojej firmie lub organizacji miała dostęp do przyzwoitych niszczarek. Następnie wprowadź zarządzenie, by niszczono nimi każdy kawałek papieru tworzony przez firmę, który zawiera jej nazwę, dane klientów lub partnerów w biznesie. To prosta zasada, która jest łatwa zarówno do wdrożenia, jak i do kontroli. Główną wartością programu szkoleń na temat bezpieczeństwa będzie to, że czynności takie jak niszczenie zbędnych dokumentów wejdą pracownikom w nawyk i nie trzeba będzie im o nich przypominać. Gdy już oswoją się z tym i zaczną wykonywać to machinalnie, ułatw im zakup tanich niszczarek domowego użytku, tak aby żadne firmowe dane nie lądowały w osiedlowych śmietnikach.

Większość użytkowników komputerów nie ma, niestety, pojęcia o tym, jak ważne jest wykonywanie regularnych kopii cennych danych, nawet na domowym komputerze. Pomóż im więc. Przy obecnych cenach sprzętu (np. nagrywarki DVD czy dyski twarde podłączane przez port USB) nie jest to już niewykonalne i nie kosztuje majątku. Istnieje ryzyko, że zarchiwizowane zostaną także pirackie MP3 dziecka, niemniej jednak zawsze jest ono mniejsze niż to, że system padnie, gdy junior dobierze się do komputera, instalując programy "jak leci". I niech ci się nie wydaje, że uda się utrzymać firmowe pliki z dala od domowych komputerów twoich pracowników. Nawet pod groźbą kary 10 lat więzienia CIA nie była w stanie dopilnować profesora z MIT, który uważał, że wie lepiej, jakie zasady powinno się stosować.

Tłumaczenie: Jacek Wownysz

Szczegółowe informacje techniczne w "NetWorld":

Ochrona na końcu sieci - NW 1/2005

Zaufane punkty końcowe - NW 2/2005

Dod. Spec. - NW 5/2005

Punkty końcowe pod kontrolą - NW 11/2005

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200