Bezpieczeństwo sprzętu poza siedzibą

Replies to This Discussion

Permalink Reply by Damian Wałęsa on June 5, 2010 at 2:59pm

To, że w dzisiejszych czasach pracownicy korzystają z przenośnych sprzętów jest rzeczą normalną. W razie gdyby dany pracownik nie był w stanie wykonać swojej pracy w firmie to wystarczy, że przeniesie dane na swojego laptopa i w spokoju, bez żadnego stresu dokończy to co zamierza. Jednak bardzo trudno jest zapobiec zabezpieczeniu tych informacji wynosząc je poza budynek firmy. Wszędzie możemy stać się ofiarą różnego rodzaju kradzieży. Celem bandytów jest wszystko co ofiara ma pod ręką wartościowego: biżuteria, portfel, kluczyki od samochodu, ale i również nośniki informacji, m.in. laptop, komórka. Takie urządzenie bardzo rzuca się w oczy, i same trzymanie go w walizce już pobudza bandziorów do zaatakowania.

Na pewno nie jesteśmy w stanie w pełni zabezpieczyć sprzętu poza siedzibą firmy i danych w nich zawartych. Możemy natomiast robić wszystko aby w jak największym stopniu zabezpieczyć dane znajdujące się w naszych rękach. Trzymanie danych na nośniku pen-drive jest pewnym sposobem, aby zmniejszyć ryzyko kradzieży. Takie urządzenie jest bardzo małe, i mniej warte od laptopów. Dodatkowo zabezpieczanie danych zawarte na takich dyskach powinno być objęte hasłem, aby nikt niepowołany nie mógł się dobrać do takich informacji. Popularnym urządzeniem pen-drive jest z dodatkowym czytnikiem linii papilarnych (http://www.pcformat.pl/index.php/news/nid/2349/t/bezpieczny-pendriv... ) . Dodatkowo takie urządzenia powinny być trzymane np. w zamkniętych na zamek biurkach.
I koniec dodatkowo ciekawa strona z zestawami chroniącymi przed kradzieżą (http://www.diament.pl/diament/pcguardian/hardware.html ).

Permalink Reply by Daniel Linka on January 14, 2011 at 12:57pm

Warto może wspomnieć, także o samym użytkowniku sprzętu poza siedzibą. Aby odpowiednio zabezpieczyć dane i zminimalizować ryzyko ich utraty, firmy powinny określić poziom ryzyka dla wszystkich krytycznych informacji. Organizacje powinny aktywnie rozwijać politykę ochrony danych oraz wdrażać odpowiednie technologie, które integrują aplikacje i procesy biznesowe przy jednoczesnym zachowaniu zgodności z wymogami bezpieczeństwa i odpowiednimi przepisami i regulacjami.
Trzeba pamiętać, że techniczne zabezpieczenia nie zapewniają całkowitej ochrony. W wielu przypadkach największym zagrożeniem jest sam użytkownik. Wszyscy pracownicy powinni znać zasady polityki bezpieczeństwa oraz przejść odpowiednie szkolenia. Szkolenia te zapewnią wiedzę na temat położenia i sposobów wykorzystania danych w dowolnym momencie. „Tak jak nie chodzi się na plażę bez kremu z filtrem przeciwsłonecznym, tak też nie należy wyruszać w podróż bez wcześniejszego zaplanowania sposobów ochrony komputera przenośnego” pod tym adresem znajdziemy kilka porad jak chronić nasze dane przenośne podczas podróży a mianowicie na lotnisku w hotelu i co zrobić w przypadku zagubienia lub kradzieży (http://windows.microsoft.com/pl-PL/windows7/Protecting-your-laptop-... ).
Zasady polityki bezpieczeństwa nie są statyczne, lecz wymagają ciągłego doskonalenia wraz z rozwojem przedsiębiorstwa, zmieniającymi się warunkami zewnętrznymi i wymaganiami prawnymi.

Permalink Reply by Weronika Cieślak on March 25, 2011 at 11:33pm

Zgadzam się z wypowiedziami kolegów. Dzisiejsze czasy i najbliższa przyszłość pokazują, że bez przenośnego sprzętu do przetwarzania i przechowywania informacji firmy i my sami nie potrafimy odpowiednio funkcjonować.

Niektóre informacje przenoszone na takim sprzęcie nie powinny ujrzeć światła dziennego. Konsekwencje, które wynikają z ryzyka dostania się takich nośników w niepowołane ręce są niewyobrażalne. Tajne informacje mogą ujrzeć światło dzienne dzięki pracownikom, którzy odchodzą z pracy i zabierają ze sobą np. bazę klientów firmy. Taki pracownik może być skorumpowany i sprzedawać prywatne dane osobowe przestępcom. Przez takie intrygi mogą wystąpić sabotaże, wyłudzenia. Nawet w przypadku autoryzowanego kopiowania danych istnieje ryzyko zgubienia lub kradzieży nośnika.

Trudno zabezpieczyć dane przed tym, żeby nie dostały się w ręce nieodpowiednich osób.

Poszukując informacji na temat zabezpieczeń natknęłam się na ciekawą stronę: http://www.bezpieczniejwsieci.org/zapobiegaj-kradziezy-danych-przy-...

Znalazłam na niej zagrożenia związane z urządzeniami przenośnymi oraz informacje związane z zabezpieczaniem się przed kradzieżą danych. Jest to dość ciekawe, ponieważ ta sytuacja dotyczy nas samych i może również nas spotkać lub już spotkało. A ponieważ dotyczy to naszego kierunku, czyli chodzi o bezpieczeństwo, powinien być to nasz priorytet (chronić to co nasze!!!). Zachęcam do jej odwiedzenia.

Pozdrawiam

Permalink Reply by Edyta Bladocha on April 6, 2011 at 9:22pm

Ochrona sprzętu zawierającego ważne i często poufne informacje powinna być priorytetem dla dużych przedsiębiorstw. Ważne informacje, które dostają się w niepowołane ręce stanowią zagrożenie dla jej dalszego funkcjonowania. Dlatego właśnie tak bardzo istotne jest, by przestrzegać podstawowych zasad bezpieczeństwa. Niestety działania zapobiegające włamaniom lub też „wykradaniom” informacji często ograniczają się tylko do stosowania zabezpieczeń sieciowych.  Kupowane są systemy wykrywania włamań, oprogramowanie antywirusowe, tworzone są wirtualne sieci prywatne. W większości przypadków, oczywiście, poprawia to bezpieczeństwo, ale jedynie w warstwie sieciowej. Zapomina się jednak o podstawowym bezpieczeństwie fizycznym i środowisko­wym.

Na stronie http://www.emodus.pl/tresc/txt/media/artykuly/bezpieczenstwo-inform...  pojawił się ciekawy artykuł przedstawiający również inne, prócz sieciowych, zabezpieczenia.  Autor artykułu porusza w nim takie rozwiązania jak np. zastosowanie obszarów bezpiecznych, np. kilka pokoi stanowiących archiwum. Ważne, by była to wydzielona i chroniona przestrzeń. Barierami wyznaczającymi obszar bezpieczny mogą być: 

• ogrodzenie dookoła budynku;
• ściana, drzwi, zamki w drzwiach;
• brama wejściowa, otwierana za pomocą karty;
• recepcja obsługiwana przez człowieka;
• oświetlenie chronionego obszaru;
• kamery telewizji przemysłowej (CCTV);
• systemy alarmowe;
• pracownicy ochrony

Jednak sprzęt zawierający ważne informacje powinien być chroniony nie tylko wewnątrz, ale również poza siedzibą firmy.

„Przebadano 146 firm, z których 95% odpowiedziało, że „większość z nas niszczy, archiwizuje lub wysyła do centrali poufne dokumenty, zawierające istotne dane”. Następnie sprawdzono zawartość kilkuset worków na śmieci. Wnioski są co najmniej niepokojące:

• Mimo powszechnej świadomości potrzeby sto­sowania jakichkolwiek procedur chronienia da­nych i niszczenia zbędnych dokumentów, w 38% przejrzanych worków, znaleziono doku­menty, które zawierały dane personalne, faktu­ry VAT, rachunki, oferty przetargowe i umowy;
• Ankietowani pracownicy firm zadeklarowali, że ponad 80% zbędnej dokumentacji zosta­je zabezpieczone (nie upublicznione) – jest ona niszczona, archiwizowana, składowana. Mimo to 44% przeszukanych worków zawie­rało dokumenty, które w 52% przypadków, zawierały możliwe do odczytania dane i po­ufne informacje;
• Badania zostały przeprowadzone na stacji przeładunku śmieci, gdzie odpady są już w pewnym stopniu przetworzone. Dotarcie do śmieci, znajdujących się jeszcze w śmietniku, tuż przy biurze firmy może istotnie zwiększyć prawdopodobieństwo odczytania poufnych informacji.”

Większość informacji narażonych na kradzież znajduje się na nośnikach pamięci. Jak więc je chronić? Oprócz systemów zabezpieczeń sieciowych opisanych we wcześniejszych postach powinniśmy też zwrócić uwagę na „fizyczną” ochronę sprzętu. Komputery przenośne powinny być przewożo­ne jako bagaż podręczny i jeżeli jest to możli­we, maskowane podczas podróży (standardo­we torby na laptopy rzucają się w oczy). Powinniśmy też zachować szczególną ostrożność i nie pozostawić np. laptopa w hotelach czy samochodach bez kontroli.

Permalink Reply by Martyna Chojnacka on April 9, 2011 at 11:31am

Łukasz Parysek przedstawił nam technologiczne rozwiązania zabezpieczeń, które mogą zostać wykorzystane w ochronie danych przedsiębiorstwa. Są one wynikiem szybkiego rozwoju technologicznego i dostosowywania zabezpieczeń do aktualnego stanu wiedzy. Pamiętajmy, że zabezpieczenie sprzed 5lat nie jest optymalne teraz (kiedyś wystarczyła szuflada zamykana na klucz, dziś zapewne musiałby być to sejf z dostępem na linie papilarne).

Coraz rzadziej, lecz jednak, spotyka się problem braku lub złego zabezpieczenia technicznego i osobowego przedsiębiorstw. Niewystarczające, nieprzemyślane czy niesprawne systemy zabezpieczenia w łatwy sposób narażają majątek firmy. A przecież potrzeba poczucia bezpieczeństwa stanowi jedną z zasadniczych potrzeb człowieka, jest wartością pierwotną i podstawową. W związku z tym, należy podkreślić, iż to właśnie bezpieczeństwo danych powinno stanowić przedmiot szczególnej uwagi w zarządzaniu przedsiębiorstwem. Na każdym poziomie jego zarządzania bezpieczeństwo informacji powinno stanowić priorytet, którego celem powinno być niedopuszczenie do ich ujawnienia.

Jednym z najistotniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa informacji przedsiębiorstwa jest naruszenie zasad chroniących cenne informacje przez osoby posiadające dostęp do tych informacji. Mam tu na myśli osoby nielojalne firmie, które za opłatą mogą wynieść informacje z firmy, bądź ustanowić do nich dostęp niepowołanej osobie.

Co do ochrony takich rzeczy jak laptop czy pen-drive należy pamiętać, że w dużej mierze ich ochrona zależy od właściciela, sposobu przechowywania, nawyków,  czy trudność używanych zabezpieczeń.

W każdym systemie to właśnie człowiek jest najsłabszym ogniwem, które pierwszorzędnie powinniśmy ulepszać i doskonalić.

Permalink Reply by Piotr Zieliński on May 29, 2011 at 5:13pm

Obecnie wielu pracowników wykorzystuje różnego rodzaju nośniki danych, aby dokończyć swoją prace w domowym zaciszu. W pełni zgadzam się z moimi poprzednikami, którzy wymieniają różne sposoby ochrony fizycznej naszych nośników czy laptopów. Wszystkie te metody w znaczny sposób utrudniają osobom niepowołanym dostęp do tajnych informacji, które wynosimy z firmy. Należy jednak wspomnieć, iż osoba która wynosi poza teren przedsiębiorstwa takie dane sama w sobie może być zagrożeniem. Załóżmy sytuację, w której dany pracownik kopiuje informacje z firmy na swój nośnik danych w celu dokończenia swojej pracy w domu, a tak naprawdę sprzedaje całą zawartość pen-driva konkurencyjnej firmie. W takiej sytuacji żadne zabezpieczenia przed kradzieżą, ochrona hasłami czy czytnik linii papilarnych nie są w stanie uchronić nas przed utratą zawartości nośnika. Tutaj należy zwrócić uwagę na uczciwość pracownika i zastanowić się w jaki sposób wyeliminować takie zjawisko.

Permalink Reply by Joanna Mikołajczyk on June 10, 2011 at 11:39pm

Każdemu pracownikowi zabierającemu pracę z biura do domu zależy, a przynajmniej powinno zależeć na odpowiednim zabezpieczeniu materiałów wynoszonych z biura. Po pierwsze dlatego, że poświęcił swój czas pracując nad nimi, jest to jego wysiłek i oczywiste jest, że nie chce aby jego praca się zmarnowała, a po drugie dlatego, że materiały wynoszone z przedsiębiorstwa nie powinny dostać się w niepowołane ręce.

Głównymi niebezpieczeństwami czyhającymi na takie dane są:
- kradzież,
- zniszczenie
urządzenia na którym te dane są przenoszone.

Najlepszym sposobem na zapobieganie jednemu i drugiemu jest uwaga pracownika i odpowiedzialne zachowanie, np. nie zostawianie laptopa w samochodzie w widocznym miejscu, przechowywanie nośników pamięci w miejscach w których nie grozi im zalanie.

Szukając w internecie informacji na temat zabezpieczania laptopa znalazłam stronę http://wawak.pl/pl/content/5-zasad-zabezpieczenia-laptopa na której przedstawione jest 5 prostych zasad mówiących jak zabezpieczyć laptopa.

Dodatkowo pracownik ma do dyspozycji szereg rozwiązań technologicznych o których wspominali moi przedmówcy. Ja dorzuciłabym jeszcze ważne fizyczne zabezpieczanie tych urządzeń, ponieważ transportowane lub przechowywane w nieodpowiedni sposób mogą ulec zniszczeniu. Np. noszenie i przechowywanie laptopów w odpowiednich torbach, a nośników pamięci np. płyt CD w odpowiednich opakowaniach.

Permalink Reply by Arkadiusz Zwirblis on June 12, 2011 at 7:37pm

Po zapoznaniu się z punktem 9.2.5 normy PN – ISO/IEC 17799:2007 odnoszącym się do bezpieczeństwa sprzętu poza siedzibą odniosłem wrażenie, że autorzy wskazówek nie wyczerpali odpowiednio tematu. Na myśli mam sytuacje związane głównie z budownictwem gdzie pracownicy często wykonują swoją pracę w tzw. barakach. Jakby nie patrzeć wszystkie dokumenty a przede wszystkim sprzęt znajduję się wciąż w niebezpieczeństwie. Często na takich budowach jest wielu wykonawców. W normie w ogóle nie poruszono tego wątku a wydaje mi się być bardzo istotnym.

 

Pracownicy często zabierają ze sobą komputery osobiste na budowę gdzie nie raz opuszczają go w celu np. zmierzenia czy innych czynności. A przecież wszędzie kręcą się pracownicy innych wykonawców, którzy np. mogą wówczas uzyskać poufne dane ich interesujące.

 

Innym zagrożeniem może być zwykłe zawarcie nowej znajomości z pracownikiem innej firmy, który zostaje wpuszczony do naszych tymczasowych biur na terenie budowy. Będąc kiedyś w takim miejscu spostrzegłem, że ochrona i bezpieczeństwo danych jest na bardzo niskim poziomie. Nie ma żadnej ochrony, która weryfikuje i sprawdza osoby wchodzące do baraku. Wystarczy, że pracownicy pójdą na budowę a biuro pozostaje praktycznie puste.

 

Chciałbym jednak zaznaczyć, że autorzy zaznaczyli aby przy doborze zabezpieczeń zwrócić uwagę na miejsce pracy. Jednakże uważam, że istnieje tyle możliwości wycieku informacji w miejscach pracy tego typu aby wyróżnić ten problem.

Permalink Reply by Klaudia Kamińska on June 12, 2011 at 8:49pm

W swojej wypowiedzi chciałabym przytoczyć dokładne wytyczne podane w normie PN-ISO/IEC 17799:2007. Punkt 9.2.5. mówi nam, że:

Zaleca się ochronę sprzętu pozostającego poza siedzibą przy uwzględnieniu różnych ryzyk związanych z pracą poza siedzibą organizacji.

Zaleca się, aby korzystanie ze środków przetwarzania informacji poza siedzibą organizacji było autoryzowane przez kierownictwo, niezależnie od tego, kto jest ich właścicielem.

Kolejnym punktem dotyczącym tego tematu jest punkt 11.7.1:

Zaleca się wprowadzenie formalnej polityki oraz zastosowanie odpowiednich zabezpieczeń w celu ochrony przed ryzykiem wynikającym z użycia przetwarzania mobilnego i środków komunikacji mobilnej.

Wiele firm ignoruje problem zawarty w temacie tej dyskusji a wystarczyłoby zastosować się do wymagań normy co spowodowałoby zdecydowany wzrost poziomu bezpieczeństwa sprzętu a co za tym idzie bezpieczeństwa przechowywanych danych.

Permalink Reply by Anna Szudera on March 2, 2012 at 5:42pm

Obecnie praca na sprzęcie, opisanym w normie  PN-ISO/IEC 17799  w punkcie 9.2.5 jako obejmujący wszelkie formy komputerów osobistych, organizerów, telefonów przenośnych, kart procesowych, papierów i innych rodzajów nośników informacji, które są wynoszone do pracy w domu lub wynoszone poza normalne miejsce pracy, jest czymś spotykanym powszechnie. Niemal w każdym przedsiębiorstwie istnieją pracownicy, którzy mają dostęp do takiego sprzętu, a bez możliwości noszenia go ze sobą (wynoszenia poza firmę) ich  praca byłaby trudna, bądź nawet niemożliwa.

W związku z tym czymś normalnym jest opracowywanie coraz to nowych technologii  oraz wynajdowanie coraz to nowych sposobów na odpowiednią ochronę tych urządzeń zarówno ze względu na jego fizyczną wartość (często jest to drogi, profesjonalny sprzęt) jak również i przede wszystkim ze względu na ważność informacji, które się na nich znajdują. Jak już wcześniej wspomniano, głównie jeśli chodzi o komputery typu notebooki i nośniki danych typu pendrive, sprzęt ten narażony jest na kradzież ze względu na wartość jak i dane tam zawarte oraz wszelkiego rodzaju zniszczenia bądź po prostu użycie przez niepowołane osoby. Dlatego tak ważne jest zapobieganie tego typu zagrożeniom. Wobec tego nic dziwnego nie ma w tym, że obecnie firmy produkujące taki sprzęt jak również inne firmy niemal prześcigają się w coraz to nowych sposobach zabezpieczeń. Oprócz zalecania stosowania haseł wprowadzają aplikacje uniemożliwiające użycie komputera przez osoby niepowołane, jak np.  Face Recognition , czyli program rozpoznający twarze (oczywiście wykorzystany może być tylko w urządzeniach wyposażonych w kamerkę), czy inne sposoby (więcej przykładowych informacji można znaleźć na stronie internetowej jednego z producentów http://ce.computers.toshibaeurope.com/innovation/pl/generic/easygua...). Dodatkowo pojawiają się programy umożliwiające lokalizacje skradzionych urządzeń, a nawet podjęcie próby ich zablokowania czy usunięcia ważnych danych. (np. Prey Project http://preyproject.com/, czy  LoJack http://www.absolute.com/en/lojackforlaptops/technology.aspx,  (oraz artykuł w języku  angielskim http://www.notebookreview.com/default.asp?newsID=3736)). Te programy działają po instalacji w ukryciu, przesyłając dane co jakiś czas o lokalizacji komputera na odpowiedni serwer, dzięki temu po ewentualnej kradzieży możemy go zlokalizować i odzyskać zgłaszając sprawę na policję, bądź co z punktu widzenia bezpieczeństwa informacji ważniejsze przy próbie włączenia zablokować dostępu do danych lub je usunąć.

Sprzęt służący do pracy poza firmą jest transportowany wobec tego trzeba uwzględnić zapewnienie odpowiedniego obchodzenia się z nim (wcześniej wspomniane w innym komentarzu)  jak również uwzględnić jego bezpieczeństwo gdy znajduje się na terenie przedsiębiorstwa np. odpowiednie linki zabezpieczające umożliwiające wyniesienie sprzętu tylko osobie do tego powołanej za zgodą szefostwa. (ok. 40% kradzieży laptopów ma miejsce w biurze)

Dodatkowo podczas pracy w podróży lub miejscach publicznych należy zapewnić ochronę  przed dostępem do informacji osób postronnych w tym celu można stosować specjalne osłony na ekran zapewniające prywatność, umożliwiające dobry widok ekranu tylko osobie znajdującej się bezpośrednio przed nim (np. http://www.kensington.com/kensington/pl/pl/s/1394/os%C5%82ony-zapew...). Należy również uniemożliwić skopiowanie danych np. poprzez blokady portów USB(http://www.kensington.com/kensington/pl/pl/p/1645/K67718US/clicksaf...)Jeśli chodzi o prace w domu to nie należy udostępniać bez kontroli sprzętu firmowego np. dzieciom bądź innym domownikom, mogliby oni niechcąco wysłać czy skopiować bądź nawet usunąć cenne dane.

                Kolejną metodą zabezpieczania danych przed osobami niepowołanymi jest stosowanie kluczy typu HASP, umożliwiających szerokie zabezpieczenia (Klucze USB do zabezpieczania HAK2 http://www.hak2.pl/zastosowanie)

Pomimo coraz to nowocześniejszych możliwości ochrony danych  na przenośnym sprzęcie najważniejsze pozostaje stosowanie szeregu trudnych haseł zabezpieczających je. Ważne jest aby przy rozpowszechnianiu pracy na tego typu urządzeniach firmy pamiętały o odpowiednich zabezpieczeniach. 

Permalink Reply by Natalia Kożuch on March 2, 2012 at 11:12pm

Należy zaznaczyć, że wszystkie rozwiązania technologiczne zaproponowane przez moich przedmówców są dobrym sposobem ochrony sprzętu poza siedzibą firmy. Jednak moim zdaniem zastosowanie ich jest tylko połową sukcesu ponieważ najważniejszym czynnikiem jest tutaj człowiek. W mojej wypowiedzi chciałabym wziąć pod uwagę nie tylko drogi sprzęt (laptopy, notebooki) jako dobro materialne, ale głównie cenne informacje na nim zapisane, których wartości nie można liczbowo zdefiniować. To głównie od człowieka zależy czy dane będące poufnymi informacjami firmy nie ujrzą światła dziennego. Uważam, że osoba wynosząca sprzęt z danymi poza siedzibę przedsiębiorstwa powinna być kompetentna, bardzo odpowiedzialna i świadoma czyhających niebezpieczeństw, ponadto osobiście powinno jej zależeć na zachowaniu ich w tajemnicy. Mam tu na myśli przypadkowe, niezamierzone czynności mogące doprowadzić do ujawnienia informacji np. pozostawienie w domu włączonego komputera, brak odpowiedniej ochrony pen-drive z danymi lub pożyczanie go komukolwiek.

Po dokładnym zastanowieniu się nad tematem „bezpieczeństwa sprzętu poza siedzibą” stwierdzić mogę, że stosując nie wiadomo jakie najlepsze rozwiązania technologiczne, firma wydając zezwolenie na wyniesienie danych poza jej teren równocześnie stwarza potencjalne zagrożenie. Wszyscy dobrze wiemy, że człowiek jest zdolny do wszystkiego. Równocześnie z tworzeniem zabezpieczeń istnieje działalność związana z możliwością łamania ich (np. łamanie haseł, włamywanie się do cudzych komputerów). Niestety taki już jest świat, w którym żyjemy i nikt nie jest w stanie temu zapobiec.

Dlatego też uważam, że w przypadku wynoszenia sprzętu poza siedzibę trudno mówić tu o jakimkolwiek bezpieczeństwie, ponieważ jest to tylko kolejny czynnik zagrażający tajności danych. Może rozwiązanie takie przyjazne jest pracownikowi, który może dokończyć pracę w domu jednak priorytetem powinno być dobro przedsiębiorstwa. Dlatego uważam, że ryzyko związane z pracą na danych firmowych poza siedzibą przedsiębiorstwa powinno być ograniczone do minimum.