Bezpieczeństwo technologii IT (część 4) – Jak chronić dane na komputerze i urządzeniach mobilnych
W kolejnej części cyklu poświęconego tematyce bezpieczeństwa systemów informatycznych w biznesie, przyszedł czas na aspekty dotyczące ochrony danych na komputerze i urządzeniach mobilnych.
Pisałem już o kopiach zapasowych oraz konieczności ich wykonywania według nawet najprostszej procedury (na dysk przechowywany w bezpiecznym miejscu lub serwis w „chmurze”) i jest to rzecz fundamentalnie ważna. Ochrona danych to również zabezpieczenie przed działaniem szkodliwego oprogramowania na naszym systemie poprzez instalację pakietu security (można wybrać jednego ze znanych producentów tego typu oprogramowania) koniecznie z wtyczką badającą reputację przeglądanych stron www (również na smartfonie i tablecie). Czas na kolejny krytycznie ważny czynnik – aktualizacje oprogramowania.
Aktualizuj system i wszystkie programy, jakie masz zainstalowane
O konieczności aktualizacji systemu w sposób dotkliwy i najprawdopodobniej biznesowo dość bolesny przekonali się użytkownicy systemu Windows w maju tego roku, kiedy ransomware o nazwie „WannaCry” zainfekował, jak dokumentuje Wikipedia (atak już przeszedł do historii), ponad 230 tys. komputerów w więcej niż 150
krajach świata.
O wirusach (otwartych z wiadomości pocztowych lub ze stron www), które szyfrują dane i żądają okupu dla złodziei (nazywanych najczęściej w mediach hakerami) wspominałem we wcześniejszych artykułach. Zdarza się nawet, że ktoś przyzna się, że taki okup zapłacił i dane odzyskał. Tym razem jednak było inaczej. Mechanizm, który wykorzystywał podatność serwisu plików najpopularniejszego na świecie systemu operacyjnego Windows, uruchamiał się zdalnie z innego komputera, który był w tej samej sieci (np. w biurze, w kawiarni, na lotnisku itd.). Luka została załatana już dwa miesiące wcześniej, w systemach wspieranych przez Microsoft (Windows 7, Windows Server 2008 i nowszych). Dlaczego zatem tak dużo komputerów padło ofiarą tego ataku?
Wiele firm nie aktualizuje systematycznie systemów, a co gorsza używa oprogramowania niewspieranego przez producenta, między innymi tak popularnego niedawno Windowsa XP, co jest biznesowym grzechem ciężkim. W czasach, w których możemy do firmy kupić np. komputer poleasingowy z systemem operacyjnym za kilkaset złotych, żaden przedsiębiorca w zasadzie nie może się tłumaczyć np. brakiem środków. Po prostu wielu z nich, niestety, zaniedbuje obszar bezpieczeństwa. A ciąg dalszy tej historii jest o tyle nieciekawy, że tym razem nie dało się zapłacić okupu. Krótko mówiąc, system wpłat był tak zorganizowany, że twórcy złośliwego kodu nie byli w stanie rozróżnić, kto im zapłacił, a kto nie. Jaki był zatem ich cel? Pokazanie swoich możliwości w zakresie masowej destabilizacji komputerów w licznych instytucjach…
Jeśli tak, to trzeba przypuszczać, że takie zagrożenia będą się pojawiały i nie było to ostatnie słowo twórców złośliwego kodu. Kolejna, nawet miniprocedura, powinna zatem dotyczyć aktualizacji systemów w Twojej firmie.
W przypadku systemu Windows w wyszukiwaniu programów wystarczy wpisać słowo Update, aby znaleźć Windows Update. Menu „Wyszukaj aktualizacje” pozwoli sprawdzić stan aktualizacji Twojego systemu. Oczywiście Windows i każdy inny system operacyjny (Linux, MAC OS X) powinny być tak skonfigurowane, aby cały proces był wykonywany automatycznie. Czasami to trochę przeszkadza, np. kiedy masz ważne spotkanie, a tu uruchamiają się aktualizacje… Nie radzę jednak tych mechanizmów pod żadnym pozorem wyłączać. Aktualizować należy również pozostałe oprogramowanie na komputerze, np. Java, Adobe Flash oraz inne programy, które z powodu braku aktualizacji, mogą być również wykorzystane przez złośliwy kod. Oczywiście pobierać „łatki” i wyposażać w oprogramowanie security należy również urządzenia przenośne: smartfony i tablety, które z punktu widzenia sytemu operacyjnego (a nie wyglądu czy wielkości obudowy) są również komputerami. Należy pamiętać, że wirus (złośliwe oprogramowanie) wykorzystujący podatności systemu operacyjnego pozbawionego aktualizacji może doprowadzić do wycieku danych z firmy i to bez Twojej wiedzy. Istnieją szkodliwe mechanizmy, które mogą działać w ukryciu bardzo długi okres. Skutkiem ich działania może być wyciek cennych danych lub wyciek danych osobowych klientów, które zgodnie z obowiązującym prawem przedsiębiorca jest zobowiązany chronić. Już niebawem w Polsce zaczną obowiązywać przepisy zwiększające odpowiedzialność firmy w tym zakresie. Będą one zgodne z dyrektywą UE (Rozporządzenie o Ochronie Danych Osobowych), ale to będzie tematem osobnego artykułu.
Szyfruj prewencyjnie nośniki danych
Kolejnym czynnikiem decydującym o bezpieczeństwie danych jest szyfrowanie nośników z danymi, które wraz z Tobą lub Twoimi pracownikami wędrują poza firmę. Ma to na celu uniemożliwić dostęp do danych osobie, która przejmie Twój komputer przenośny czy smartfon. Na firmowych komputerach przenośnych mamy często całą firmę (kompletne know-how): umowy, raporty, analizy finansowe, korespondencję e-mailową itd. Na smartfonie – cenne kontakty biznesowe, SMS-y, e-maile, czasami również część życia prywatnego, a może nawet prywatnych tajemnic… Nie chcemy, aby niepowołane osoby, które będą miały fizyczny dostęp do urządzenia, nawet na jakiś czas, np. w pokoju hotelowym podczas Twojej nieobecności (nie mówiąc już o kradzieży czy zgubieniu urządzenia), dokładnie zapoznały się z zawartością komputera lub smartfona.
Jakimi narzędziami posłużyć się, aby w praktyce zrealizować proces zabezpieczenia danych?
Jest to BitLocker. Umożliwia on, oprócz hasła (co wszyscy wiemy), wprowadzenie również kodu PIN, który trzeba podać przed startem systemu operacyjnego. System MAC OS X (dość popularny wśród przedsiębiorców) posiada również wbudowany mechanizm szyfrowania
danych FileVault. Do szyfrowania wybranych plików na dysku można użyć aplikacji innych producentów np. Cryptomator.org (wspiera różne platformy systemowe). Oczywiście zasady te dotyczą smartfonów i tabletów z cennymi danymi, te pod kontrolą systemu Android musimy sami zaszyfrować, wykorzystując mechanizmy, które są w systemie operacyjnym (w zależności od wersji procedura wygląda różnie, ale jest prosta). Warunkiem skutecznego zabezpieczenia urządzenia jest hasło (minimum 8 znaków), a nie inna metoda odblokowywania ekranu. IPhone od wersji iOS 8 ma domyślnie zaszyfrowaną pamięć.
Podsumowując, dwa ważne kolejne czynniki, które znacznie zwiększą bezpieczeństwo danych firmowych to aktualizacja systemów („łatanie” poprawkami wydanymi przez producenta) oraz prewencyjne szyfrowanie nośników z danymi, które są poza firmą nawet na chwilę.
Zapraszamy do zapoznania się z poprzednimi artykułami dotyczącymi bezpieczeństwa technologii IT w małej firmie autorstwa Marcina Pieleszka:
- Bezpieczeństwo technologii IT w małej firmie (część 1) – Jak chronić firmowe dane
- Bezpieczeństwo technologii IT (część 2) – Jak tworzyć kopie zapasowe danych
- Bezpieczeństwo technologii IT (część 3) – Jak chronić swoją pocztę elektroniczną i konta społecznościowe
- Bezpieczeństwo technologii IT (część 4) – Jak chronić dane na komputerze i urządzeniach mobilnych
