Niebezpieczeństwo USB: Dlaczego w firmie należy blokować możliwość zapisu na USB?
Wiele nowych gadżetów używanych przez pracowników firm, wprowadza realne zagrożenie dla bezpieczeństwa informacji. Telefony komórkowe, przenośne komputery, zewnętrzne dyski, aparaty fotograficzne, odtwarzacze mp3 — wszystkie te urządzenia można połączyć z komputerem na przykład za pomocą portu USB.
1. USB… przecież to powszechne…
Jest to jak najbardziej normalne, a wręcz wskazane jeśli chodzi o zastosowania domowe — przecież nikt nie wyobraża sobie innej metody zgrywania zdjęć z wakacji, czy też tworzenia swojej ulubionej listy utworów na przenośnym odtwarzaczu. Jednak jeśli chcemy podłączyć jedno z takich urządzeń do naszego komputera w firmie, to wcześniej powinniśmy się nad tym poważnie zastanowić. Dla przykładu można tu wymienić mimowolne rozprzestrzenianie wirusów, robaków, koni trojańskich i wszelkiego rodzaju złośliwego oprogramowania. Jest to problem, z którego większość użytkowników komputerów zdaje sobie sprawę, dlatego też w niniejszym artykule szerzej omówię inne zagrożenie — wyciek informacji.
2. Wyciek informacji
Do przechwycenia, kopiowania i rozprzestrzeniania poufnych informacji mogą prowadzić trzy rodzaje działań:
- kradzież informacji „od wewnątrz”, przez pracowników, która może zostać wykonana przez lokalne zrobienie kopii dokumentów, czy przesyłanie ich elektronicznie,
- złośliwe oprogramowanie (malware) i kradzież informacji przez osoby zewnętrzne (na przykład przez konkurencję),
- nieumyślny przeciek informacji.
Wewnętrznej kradzieży nie jesteśmy praktycznie w stanie zapobiec w sposób techniczny, choćby ze względu na zbyt duże ograniczenia, jakie musiałyby zostać wprowadzone (w niewielu organizacjach jesteśmy w stanie zabronić dostępu naszym pracownikom do WWW, a tym samym dostępu do ich prywatnych „webmaili”, czy też moderować na bieżąco wiadomości przesyłane przez serwer poczty firmy), to w pozostałych dwóch przypadkach nie mamy związanych rąk.
Przyczyny kradzieży zewnętrznej, czy nieumyślnego przecieku informacji możemy ograniczać poprzez implementację odpowiednich systemów zabezpieczeń (firewall, IDS/IPS, systemy antywirusowe), czy wprowadzanie przemyślanych ograniczeń. Jednym z takich ograniczeń powinno być zablokowanie użytkownikom możliwości zapisu danych poprzez port USB. O ile nie jest to metoda zapobiegająca umyślnej kradzieży (jak wspomniano w powyższym paragrafie trudno ją zwalczyć w sposób techniczny), to powoduje ona ograniczenie ryzyka zarażenia naszych systemów informatycznych złośliwym oprogramowaniem oraz swego rodzaju „brak kuszenia losu”. Postarajmy się odpowiedzieć w jaki sposób uniemożliwienie zapisu poprzez port USB zwiększa bezpieczeństwo w naszej organizacji, we wspomnianym zakresie.
Sprawa złośliwego oprogramowania przedstawia się następująco: wielu użytkowników przy świadomości niemożności zapisu na własne urządzenia USB po prostu ograniczy korzystanie z nich na komputerach w pracy. Po co w końcu podłączać telefon komórkowy, skoro i tak nie wgramy nowo ściągniętej z internetu tapety? To spowoduje oczywisty spadek ryzyka przenoszenia się wszelkiego rodzaju wirusów i robaków, które mogą znajdować się na domowych komputerach pracowników naszej organizacji.
3. Lepiej nie „kusić losu”
Ale co oznacza użyty przeze mnie zwrot „braku kuszenia losu”? Tutaj wróćmy na chwilę do rozgraniczenia celowego oraz niecelowego wycieku informacji. Przy umyślnej kradzieży informacji, niekuszenie losu oznacza nic więcej jak po prostu nie wysyłanie otwartego zaproszenia do skopiowania danych na nasz przenośny nośnik, lecz zmuszenie nieuczciwego pracownika do zastosowania innej technologii, zapewne mniej wygodnej dla złodzieja (pamięci USB są małe, poręczne i pojemne), którą możliwe iż łatwiej będzie kontrolować naszym pracownikom technicznym (kontrola danych przesyłanych za pomocą portu USB jest trudna).
Jeśli chodzi natomiast o nieumyślne rozpowszechnianie poufnych informacji to musimyzwrócić uwagę na kilka aspektów. Przede wszystkim na charakterystykę pamięci USB — w większości są to małe, przenośne urządzenia, które zabieramy ze sobą wszędzie. Powoduje to, iż narażone są one na kradzież, czy po prostu zagubienie. Przecież nigdy nie jest tak że mamy swoje urządzenie USB na oku prze 24 godziny na dobę. Przekazujemy je naszym przyjaciołom, kolegom, a nierzadko i nieznajomym osobom. A tak wielu z nas lubi mieć zawsze na swoim podręcznym centrum danych nagrane ważne informacje. Również czy dużo trzeba aby po prostu zapomnieć usunąć z niego poufne, tajne dokumenty czy dane, które nagraliśmy wcześniej aby przekazać koledze z biura? Moim zdaniem nie… ale jeśli nawet ktoś twierdzi, że zawsze szczególnie na to uważa, to spytam — ale po co kusić los? Mówiąc o kradzieży i zagubieniu tych jakże poręcznych nośników danych mowa, należy zwrócić jeszcze uwagę na kolejne niebezpieczeństwo. Co jeśli na owej pamięci USB przechowujemy jedyne kopie ważnych dokumentów? Już abstrahując od ich poufności, utrata dokumentów tworzonych przez długi okres czasu może być bardzo kosztowna. Dlatego większość specjalistów ds. bezpieczeństwa informacji jest zwolennikami blokady możliwości zapisu informacji na urządzeniach USB, zapobiegając w ten sposób dylematom użytkowników.
4. Miej świadomość
Niebezpieczeństwa świadomi powinni być zarówno „zwykli” pracownicy jak i specjaliści ds. bezpieczeństwa naszej organizacji. W końcu każdemu z nich powinno zależeć na dobru naszej firmy, któremu bezsprzecznie wyciek poufnych informacji może zagrozić. Jednak w świecie dzisiejszego biznesu okazuje się, że nawet połowa z firm nie czyni żadnych kroków w celu zabezpieczenia danych znajdujących się na nośnikach USB. Jedynie co dziesiąta firma szyfruje poufne dane przenoszone na tego typu urządzeniach (co jednak ciągle nie eliminuje przypadku nieumyślnego), a co trzecia zakazuje przenoszenia danych na zewnętrznych nośnikach, nie zabezpieczając się jednak przed tym na poziomie sprzętowym! Jak bardzo niebezpieczne może być przechowywanie poufnych, w tym przypadku nawet bardzo krytycznych, służbowych danych na przenośnych pamięciach, przekonało się między innymi wojsko Stanów Zjednoczonych. W jednym z artykułów L.A. Times, reporter Paul Watson opisał, jak to zakupił pamięć przenośną USB z danymi lokalnych agentów US Force… na placu w Afganistanie obok bazy lotniczej Bagram! „Memory stick” kosztował go jedyne $40, co może stanowić o nieświadomości zawartości przez sprzedającego (na szczęście).
Raport IDC i PriceWaterhouseCoopers przedstawia, iż już jedną trzecią wszelkich zagrożeń bezpieczeństwa organizacji, stanowią wycieki poufnych informacji. Według Amerykańskiego Stowarzyszenia Certyfikowanych Ekspertów od Wykrywania Oszustw (ang. US Association of Certified Fraud Examiners), gospodarka Stanów Zjednoczonych traci około 6% rocznych dochodów w wyniku wycieków poufnych danych. Dało to w samym 2003 roku straty blisko 660 mld USD.
Rok 2006 uznano za rok, w którym miało miejsce najwięcej przypadków wycieków informacji w historii. Ucierpiało nieco poniżej 50 milionów osób, jedynie przez 5 najgłośniejszych spraw:
- celowe zgromadzenie przez Gratis Internet Company danych osobowych 7 milionów amerykanów i odsprzedanie ich osobom trzecim,
- wyciek danych osobowych weteranów i żołnierzy amerykańskiej armii,
- wyciek danych osobowych klientów firmy Texas Guaranteed,
- wyciek danych osobowych 11 milionów członków towarzystwa National Building Society,
- wyciek danych osobowych pracowników firmy Affiliated Computer Services.
Jak widać, cztery z nich miały charakter przypadkowy i niecelowy, co jest jednym z tematów rozważań, na temat niebezpieczeństwa używania pamięci USB, w tym artykule.
5. Co robić?
Firmy muszą sobie radzić z bezpieczeństwem informacji i balansować jego poziom oraz funkcjonalność infrastruktury informatycznej. W przypadku omawianego niebezpieczeństwa przecieku informacji najbardziej efektywna metoda to nie jedynie kontrola dostępu do informacji, lecz również kontrola akcji jakie mogą być z tymi informacjami podjęte. Kontrolować należy więc nie tylko kto i do czego ma dostęp, ale również jakie ma możliwości ich skopiowania i rozpowszechnienia. Pytaniem jest tylko jaki jest stosunek ograniczeń związanych z zapewnianiem bezpieczeństwa do wniesionego poziomu zmniejszenia ryzyka. Moim zdaniem w przypadku blokady możliwości zapisu na urządzenia podłączone do portów USB jest on bardzo zadowalający… bo czy naprawdę nasza firma nie może się obejść bez przenośnych urządzeń USB?
Pamiętajmy jednak, iż porty USB to tylko jedno z wielu zagrożeń…
