Firmowe nośniki USB, czyli Urządzenia Stale Bagatelizowane

27 grudnia 2017 r.

Dziewięć na dziesięć. Tyle osób korzysta w pracy z przenośnych pamięci USB i tyle samo zgubiło taki nośnik przynajmniej raz, zatajając ten fakt przed swoją firmą. Przestrzegamy, że brak polityk bezpieczeństwa dotyczących USB i rozwiązań DLP może uderzyć w firmę równie szybko i gładko, jak między firmowymi dyskami krążą prywatne filmy pracowników.

Więc musisz udostępnić 8GB danych bez spowalniania dysku sieciowego, z którego korzystają ważne firmowe aplikacje? Żaden problem - odpinasz od kluczy brelok z USB i pliki za chwilę lądują na laptopie kolegi z działu. Prosto, szybko i bez wołania administratora. Nic dziwnego, że w najnowszej ankiecie firmy Apricorn aż 9 na 10 specjalistów IT potwierdza częste korzystanie z przenośnych pamięci flash w miejscu pracy. Naturalnie objętość danych krążących między setkami drobnych dysków nie musi iść w gigabajty, bo kluczowa jest ich zawartość. Wystarczy paczka skanów z umowami o pracę - niewielka, ale na tyle duża, by nie zmieściła się jako załącznik w firmowej poczcie. Jak wygląda bezpieczeństwo tysięcy podobnych transferów?

80% uczestników badania twierdzi, że ochrona danych stanowi dla nich "wysoki priorytet" i podobnie jest w miejscach ich zatrudnienia. Blisko 58% posiada adekwatne zabezpieczenia i procedury korzystania z pamięci flash, a 54% korzysta z rozwiązań DLP (data-leak-protection) wykrywających nieautoryzowane kopiowanie na USB poufnych danych. Połowa badanych firm wymaga zgłaszania utraty pamięci przenośnych, a 49% umożliwia pracownikom korzystanie wyłącznie z zaaprobowanych dysków. Tyle teorii, bo rzeczywistość już nieco skrzeczy.

Chociaż 50% badanych zobligowanych jest pytać o pozwolenie na użycie USB, realnie robi to tylko 15% z nich. Z kolei 8 na 10 pracowników używa w pracy zewnętrznych napędów otrzymanych np. jako gadżety reklamowe podczas branżowych eventów. Ilu poprosi administratora o sprawdzenie pamięci przed jej wpięciem w firmową infrastrukturę? Danych brak, ale można przypuszczać, że nie będzie ich wielu. Nieduża jest też grupa korzystająca z szyfrowania. Mimo, że to de facto podstawowy środek bezpieczeństwa przy przenoszeniu danych korzysta z niego tylko 20% badanych specjalistów.

Ktoś mógłby powiedzieć, że "statystyki nie są wprawdzie najlepsze, jednak dyski USB wcale nie gubią się tak często". Otóż gubią - aż 87% specjalistów biorących udział w badaniu ma za sobą przynajmniej jedną niezgłoszoną utratę pamięci flash z firmowymi danymi. Większość z nich zawierała prawdopodobnie statystyki i projekty, których utrata była co prawda kłopotliwa i kosztowna (również wizerunkowo)... ale nie zagroziła niczyjemu życiu tak, jak ostatnia wpadka służb bezpieczeństwa brytyjskiego lotniska Heathrow.

29 października na londyńskiej ulicy znaleziono niezaszyfrowany pendrive z poufnymi i wrażliwymi danymi o zabezpieczeniach lotniska i sposobach korzystania z niego przez brytyjską królową, ministrów i zagranicznych gości. Ani sam dysk, ani dane na nim zawarte nie były chronione nawet prostym hasłem. Nasi eksperci przypominają, że według statystyk z 2016 lotnisko codziennie odwiedza blisko 207 tysięcy osób. Jeśli mapy monitoringu i opisy systemów antyterrorystycznych z dysku trafiłyby do osoby o złych intencjach to potencjalna katastrofa czy planowany atak terrorystyczny byłyby praktycznie nie do wykrycia.

Przypominamy, że niezabezpieczone dyski stwarzają podwójne zagrożenie - wycieku danych, ale też niebezpiecznej infekcji szyfrującej lub innego ataku wirusowego. W przypadku portów USB częściowym rozwiązaniem jest ich blokada i dopuszczenie tylko nośników szyfrowanych. Warto też pamiętać o dodatkowym zabezpieczeniu w postaci dedykowanego rozwiązania DLP. Eksperci firmy przypominają, że firmy i organizacje powinny jak najdokładniej kontrolować przepływ swoich danych, zwłaszcza gdy te opuszczają firmę. W kontekście unijnego rozporządzenia o ochronie danych osobowych (RODO), które wejdzie w życie 25 maja 2018 r. tego zalecenia nie wolno dłużej traktować jako branżowej mantry. Należy je po prostu wdrożyć.