Coraz częściej słyszymy o tym, że pracownik zgubił komputer czy dysk przenośny - co spowodowało ujawnienie danych klientów. Tymczasem zabezpieczenie danych na urządzeniach przenośnych nie jest trudne. Przedstawiamy cztery proste rady.

Ostatni rok to okres wyjątkowo złej passy związanej z wyciekiem danych firmowych. Z najnowszego raportu Top 20 SANS Institute dowiadujemy się, że w 2007 r. dane klientów gubiły m.in. Gap (800 tys. osób), New York City Financial Information Services Agency (280 tys.) czy TSA (100 tys.). I nie mówimy tu o efektach jakiś skomplikowanych włamań czy ataków informatycznych. Zwykle ich przyczyną jest zgubienie lub kradzież laptopa, dysku flash (pendrive) czy przenośnego dysku twardego.

Paradoksem jest, że firmy wydają miliony na odpowiednie zabezpieczenie infrastruktury informatycznej - firewalle czy antywirusy - a pracownik takiego przedsiębiorstwa kopiuje cenne dane na pendrive, który zostawia w tramwaju. Problem ten stał się na tyle poważny, że amerykańskie organizacje CERT i SANS Institute opublikowały - niezależnie od siebie - poradniki, mające ułatwić firmom zadbanie o bezpieczeństwo danych magazynowanych w urządzeniach przenośnych. Oto krótki spis zaleceń, do których powinny stosować się firmy chcące zminimalizować ryzyko utraty cennych danych.

1 Zasady, głupcze

Podstawowym środkiem jest stworzenie i wdrożenie w firmie pisemnego kodeksu postępowania z urządzeniami mobilnymi i wymiennymi nośnikami pamięci. Taki kodeks powinien powstać w drodze konsultacji z menedżerami oraz działem IT. Oczywiście, najlepiej byłoby, gdyby wprowadzał on zakaz wynoszenia poza firmę poufnych danych lub - jeśli to niemożliwe - obowiązek każdorazowego, silnego ich szyfrowania. Niezbędne jest również poinformowanie w takim dokumencie pracowników o tym, że wynoszenie poufnych danych poza teren firmy jest dozwolone tylko w ściśle określonych przypadkach. Kodeks powinien również zobowiązywać personel do stosowania odpowiednio skomplikowanych haseł oraz - co oczywiste - cyklicznego ich zmieniania.

2 Bez szyfru ani rusz

Optymalnym rozwiązaniem byłoby zastosowanie szyfrowania wszystkich danych na dysku komputera przenośnego. Jeśli z jakichś powodów nie jest to akceptowalne rozwiązanie, niezbędne jest zastosowanie programowego lub sprzętowego szyfrowania określonych plików czy nawet całych folderów. Podczas wdrażania takich technologii niezbędne jest jednak dokładne przeanalizowanie, jakie zasoby i informacje mają być szyfrowane. Specyfika niektórych systemów operacyjnych czy aplikacji sprawia bowiem, że podczas pracy z danymi - nawet przechowywanymi na zaszyfrowanej partycji - kopie plików są zapisywane tymczasowo w innych, niezaszyfrowanych lokalizacjach. Takie sytuacje powinny zostać przez nas uwzględnione. Wybór rozwiązań do szyfrowania danych czy całych dysków jest ogromny, warto wymienić choćby takie, jak: SecureDoc, PGP, FileVault, TrueCrypt czy BitLocker. Nie należy też zapominać, że na rynku jest coraz więcej urządzeń, np. dysków twardych, które oferują sprzętowe szyfrowanie.

3 Hasłanie dla wszystkich

Firma powinna starannie dobierać osoby, które będą znały hasła niezbędne do uzyskania dostępu do zaszyfrowanych danych. Ich liczba powinna być ograniczona, aczkolwiek niedopuszczalne jest, aby hasła znała tylko jedna osoba w firmie. W takiej sytuacji jej "utrata" byłaby praktycznie jednoznaczna z utraceniem danych. Koszt złamania szyfrów mógłby - w przypadku odpowiednio silnych zabezpieczeń - wielokrotnie przekroczyć wartość danych. Co ważne, wspomniany w punkcie pierwszym kodeks postępowania z cennymi danymi powinien również zawierać opis procedur i zasad przyznawania dostępu do zabezpieczonych informacji.

4 Inwigilacja i partnerzy

W firmie powinny zostać także wdrożone rozwiązania, które umożliwią każdorazowe informowanie pracowników działu IT o przypadkach kopiowania danych z zaszyfrowanej lokalizacji na wymienne nośniki pamięci. W ten sposób możliwe jest zminimalizowanie zagrożenia ze strony nieuczciwych pracowników, którzy mogą wykradać poufne firmowe dane, np. w momencie planowanego przejścia do konkurencji.

Warto również zastosować dodatkowe środki zapobiegawcze. Możliwe jest np. zablokowanie w systemie operacyjnym możliwości kopiowania danych na zewnętrzne nośniki. Oczywiście, to rozwiązanie nie może dotyczyć wszystkich pracowników, w przypadku niektórych korzystanie z takich nośników jest koniecznością.

Trzeba też pamiętać, że za wiele wycieków danych klientów odpowiedzialne są nie same firmy, lecz ich kontrahenci, np. firmy księgowe. Dlatego też bardzo ważny jest odpowiedni dobór podwykonawców i partnerów lub też wymaganie od nich wdrożenia tych samych procedur postępowania z poufnymi informacjami.