Na redakční otázky odpovídá Martin Ondráček, Product Director, SODATSW spol. s r.o.

1) Je zapotřebí bezpečnosti paměťových médií věnovat zvýšenou pozornost?

Rozhodně, zejména pro paměťové zařízení připojitelné pomocí USB portu. V dnešním době je cena takovýchto zařízení téměř nulová (častou jsou součástí „dárků“ v časopisech, od telefonních operátorů, nebo na benzínové stanici..) a zároveň jejich použitelnost díky technologii Plug&Play je obrovská. USB zařízení jsou jedním z důvodů, proč dnes již nestačí chránit perimetr organizace na úrovni serverů a připojení do internetu, ale je nutné se zabývat koncovými body a aktivitami uživatelů. Ti jsou pro organizaci největším přínosem, ale i rizikem. Často v dobré víře mohou způsobit zásadní bezpečnostní hrozby, ať už kopírováním citlivých informací na nezabezpečená média, nebo přinesením nežádoucích kódů a ohrožení sítě zevnitř.

2) Jak technicky zajistit bezpečnost paměťových médií?

Úroveň zabezpečení lze rozdělit do několika kroků. Prvním z nich by měl být monitoring, který bezpečnostnímu správci odhalí chování uživatelů a rozsah rizik. Na základě potřeb organizace a chování uživatelů je pak třeba přistoupit k omezení používání zařízení – tedy k restrikci, jejímž cílem je omezit nebezpečná chování na minimum. Typicky se jedná o definování whitelistu zařízení na úrovni typů nebo sériových čísel. Samozřejmě určitá skupina zaměstnanců potřebuje pro svou práci možnost využití výměnných zařízení. Tato je pak třeba šifrovat a chránit tak data, která opouštějí zabezpečený perimetr organizace. Tím zabráníme ztrátě citlivých dat při odcizení/ztrátě zařízení.

Samozřejmě i nadále je potřebné využívat monitoringu aktivit uživatelů, který zaznamená potenciální nebezpečné aktivity. V kombinaci s alertovým systémem pak může promtně informovat správce o riziku. Organizace tak dostává prostor k proaktivní ochraně před ztrátou dat.

Paměťová zařízení nejsou jediným zdrojem rizik pro data organizace (a data jsou to nejcennější, co máme). Proto je efektivní a účelné se při rozhodování o řešení zabezpečení paměťových zařízení zamyslet i nad dalšími riziky, a vybrat si takové řešení, které není jednoúčelové a umožní efektivnější správu a lepší návratnost investice.

3) Kde je nejslabší místo v oblasti paměťových médií? Na co bychom se měli soustředit?

Jak jsem popsal výše, jedná se rozhodně o zařízení typu USB a jejich masivní využívání uživateli. Pro správce je naprosto nezbytné získat informace o tom, jakým způsobem uživatelé zařízení využívají. O překvapení rozhodně nebude nouze a rozsah kopírování dat překvapí nejednoho zkušeného profesionála. Bez ohledu na to, zda má organizace papírově definovanou bezpečnostní politiku, bez restrikcí a následných kroků není možné dostat USB pod kontrolu.

4) Jak zakomponovat otázku bezpečnosti paměťových médií do bezpečnostní politiky?

Bezpečnostní politika samozřejmě musí pamatovat na všechny aspekty práce uživatele s ICT vybavením. Paměťová média jsou jedním z aktiv organizace a tudíž zacházení s nimi musí být přesně vymezeno. Nicméně ani libovolně přesně a účelně definovaná bezpečnostní politika bez reálné technické (softwarové) podpory není uživateli příliš respektována.

5) Jak nejlépe ochránit paměťová média před různými nepříjemnými příhodami? (Ztráta, selhání, nechtěné přepsání dat...)

Naše zkušenost ukazuje, že paměťová média nejsou typicky jediným nositelem dat – tedy, že na paměťové médium jsou kopírována data, která jsou standardně uložena na lokálním harddisku, na serveru nebo v databázi. Proto není třeba se zabývat tím, že při ztrátě, poškození nebo přepsání souborů jsou data nenávratně ztracena – máme je vlastně zálohována na jiném prostředku. Pro organizaci je tak důležité zejména to, aby v případě ztráty nebo zneužití zařízení neoprávněnou osobou, byla data organizace chráněna. A zde se jako spolehlivé řešení osvědčilo šifrování dat na USB, které může být navíc efektně kombinováno s šifrování notebooků nebo souborů na dalších úložištích – fileserver, lokální disk...

Bezpečnostní management | Lidský faktor | Přenosná paměťová média