Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Polityka bezpieczeństwa: nieproduktywne wykorzystywanie zasobów

Dodany 10 sierpnia 2013, 10:07 CEST
Tagi:

W pierwszej części naszej opowieści o polityce bezpieczeństwa opisywałem ataki ukierunkowane oraz sposoby penetrowania sieci firmowych przez cyberprzestępców, atakowania komputerów pracowników, którzy używają swoich komputerów do odwiedzania portali społecznościowych, i innych czynności niezwiązanych z pracą.

Poza atakami ukierunkowanymi istnieją jeszcze inne zagrożenia. Celowo lub przez przypadek, pracownik może doprowadzić do ujawnienia poufnych danych lub złamania praw autorskich, a to może mieć konsekwencje prawne dla firmy.

W tym artykule opowiem o kilku incydentach związanych przechowywaniem i przesyłaniem firmowych dokumentów za pośrednictwem prywatnych kont pocztowych lub przy użyciu chmury, a także o wykorzystywaniu oprogramowania do współdzielenia plików przy użyciu sieci P2P. Wyjaśnię także, jak technologie bezpieczeństwa oraz polityka ochrony mogą pomóc administratorom systemu i specjalistom ds. IT w uniknięciu takich sytuacji.

Utrata reputacji

Reputację firmy należy chronić – i to nie tylko przed cyberprzestępcami. Pracownikom, którzy wysyłają firmową korespondencję na swoją prywatną pocztę, pobierają nielegalną zawartość lub używają pirackiego oprogramowania na firmowych komputerach, nawet nie przyjdzie do głowy, że mogliby przyczynić się do zniszczenia reputacji swojej firmy.

Ujawnienie poufnych danych

Pewna firma była ofiarą incydentu, w którym ujawnione zostały ściśle tajne informacje. Specjaliści zajmujący się ochroną danych rozpoczęli swoje śledztwo, a po sprawdzeniu ujawnionych dokumentów byli zaskoczeni, że metadane zawierały ważne informacje – nazwę firmy, komputera, na którym dokument był przechowywany po raz ostatni, nazwę autora, adresy e-mail, numery telefonów itp. Przestępcy zazwyczaj usuwają te dane, aby ukryć źródło wycieku. W trakcie śledztwa eksperci odkryli, że kopie ujawnionych dokumentów były przechowywane na komputerach pięciu pracowników. Żaden z nich nie przyznał się do przekazania dokumentów osobom trzecim. Co więcej, gdy wezwani na rozmowę ze specjalistami ds. bezpieczeństwa usłyszeli o tej sytuacji, wszyscy byli szczerze zaskoczeni. Po przeanalizowaniu rejestru firmowego serwera proxy wyjaśniło się, że jeden z tych pięciu pracowników przesłał kopie ujawnionych plików na swoją pocztę. 

Podczas drugiej rozmowy pracownik wyznał, że kilkakrotnie używał swojej osobistej skrzynki pocztowej do przechowywania firmowych dokumentów. Było to dla niego wygodne: jeśli nie starczyło mu czasu na dokończenie lub doczytanie dokumentu, wysyłał go na osobistą pocztę i kończył w domu. Pracownik poprosił o możliwość zdalnego dostępu do firmowej poczty, lecz nie poradził sobie z ustawieniami. Nie widział problemu w wykorzystaniu swojej poczty do pracy.

Po uzyskaniu dostępu do jego osobistej skrzynki e-mail specjaliści ds. ochrony danych sprawdzili listę adresów IP wykorzystywanych do łączenia się ze wspomnianym kontem. Odkryto, że poza domowym i firmowym adresem IP widniało tam wiele innych adresów serwerów proxy z różnych krajów.

Sprawdzając komputer pracownika, specjaliści bezpieczeństwa ujawnili oprogramowanie typu spyware, które rejestrowało wszystkie dane do kont (loginy, hasła, numery kart) wprowadzane w różnych systemach - na stronach, portalach społecznościowych, skrzynkach pocztowych, serwisach bankowości online. Wykorzystując szkodliwy program do uzyskania dostępu do skrzynki pracownika, przestępcy mogli pobrać wiele firmowych dokumentów, które się tam znajdowały.

Pracownik został uznany za winnego i zwolniony. Utrata reputacji firmy wciąż daje o sobie znać.

Naruszenie praw autorskich

Powszechnie wiadomo, że pobieranie pirackich treści jest łamaniem praw autorskich. Część ludzi pamięta, że podczas korzystania z internetu w pracy używany jest adres IP firmy. Oznacza to, że po ujawnieniu naruszenia praw konsekwencje poniesie firma.

Mała firma doświadczyła nieprzyjemnego incydentu. Pewnego razu zdarzył się bardzo odczuwalny spadek prędkości łącza internetowego. Statystyki ruchu sieciowego pokazały, że jeden komputer wykorzystuje 80% łącza, a komunikacja wychodząca i przychodząca nie mieściła się w skali. Administrator systemu przypuszczał, że jeden z komputerów jest wykorzystywany do współdzielenia plików w sieci typu P2P.

Okazało się, że jeden z pracowników przyniósł swojego osobistego laptopa i połączył go z firmową siecią. Zainstalowany klient BitTorrent był tak ustawiony, aby uruchamiać się automatycznie po starcie systemu. Ale pracownik o tym zapomniał i program działający na laptopie przyczynił się do problemów z łączem internetowym.

Trzy miesiące później w biurze zjawiły się lokalne władze z nakazem przeszukania i zabrania wielu dysków twardych oraz dokumentów. Podejrzewano, że firma wykorzystywała pirackie oprogramowanie, łamiąc prawa autorskie. Ostatecznie firma musiała zapłacić grzywnę, a politykę bezpieczeństwa rozszerzono o większe zabezpieczenia przed używaniem pirackiego oprogramowania. Obecnie pracownicy są karani poważnymi sankcjami już za pierwsze wykroczenie, a po kolejnym tracą pracę. Ponadto, posiadanie nielegalnej zawartości (zhakowane oprogramowanie, materiały wideo, muzyka, e-booki itp.) jest zabronione, zarówno tej pobranej na firmowy komputer przez internet, jak i przyniesionej z domu.

Rozwiązanie

Opisałem jedynie dwa przypadki, w których złamanie firmowej polityki bezpieczeństwa przez pracowników doprowadziło do poważnych incydentów. W życiu codziennym istnieje znacznie więcej takich przypadków. Na szczęście, istnieje kilka prostych zasad, które wraz z polityką bezpieczeństwa mogą pomóc w uniknięciu większości incydentów.

Kontrola ruchu sieciowego

W opisanym wyżej przypadku – wyciek firmowych dokumentów oraz pobieranie nielegalnej treści za pośrednictwem sieci P2P – sieć firmowa była kanałem do wysyłania i odbierania danych. Firewall, IPS, HIPS i inne technologie umożliwiają administratorom oraz specjalistom ds. bezpieczeństwa IT ograniczanie lub blokowanie:

  • dostępu do publicznych serwisów oraz ich serwerów - poczta, przechowywanie w chmurze, strony zawierające zabronioną treść itp.,
  • używania portów i protokołów do współdzielenia plików za pośrednictwem P2P,
  • wysyłania firmowych dokumentów poza sieć firmową.

Warto także przypomnieć, że do zapewnienia najwyższego poziomu bezpieczeństwa firmowej sieci nie wystarczy stosowanie jedynie kontroli ruchu sieciowego. Aby obejść politykę bezpieczeństwa, pracownicy mogą używać metod szyfrowania ruchu, łączyć się z kopiami (serwery lustrzane) blokowanych serwisów internetowych lub wykorzystywać serwery proxy i programy pomagające zachować anonimowość. Co więcej, wiele aplikacji może używać portów innych programów i umieszczać ich ruch w różnych protokołach. Kontrola ruchu sieciowego jest bardzo ważna i konieczna, ale musi ona współdziałać z kontrolą aplikacji i szyfrowaniem plików.

Kontrola aplikacji

Używając kontroli aplikacji, administratorzy i specjaliści ds. ochrony danych powinni nie tylko zabraniać używania niechcianego oprogramowania – klientów torrentów, aplikacji serwisów społecznościowych, gier, pirackiego oprogramowania, odtwarzaczy mediów itp. Powinni także sprawdzać, jakich aplikacji używają pracownicy oraz kiedy i gdzie ich używają. Zabronienie całego pirackiego oprogramowania jest prawie niemożliwe, ponieważ może istnieć wiele różnych wersji aplikacji i mogą one być prawie identyczne. Zatem najbardziej efektywnym podejściem jest używanie kontroli aplikacji w trybie domyślnej odmowy – zapewni to wszystkim pracownikom dostęp jedynie do autoryzowanego oprogramowania.

Szyfrowanie plików

Śledzenie, w jaki sposób pracownicy używają serwisów chmurowych i osobistych skrzynek pocztowych do przechowywania danych firmowych, które mogą zwierać poufne informacje, jest prawie niemożliwe. Wiele usług pocztowych oraz usług przechowywania danych szyfruje pliki przesyłane przez użytkownika, ale nie gwarantują one ochrony przed intruzami – zgubiony login i hasło umożliwią dostęp do danych.

Aby tego uniknąć, wiele serwisów online umożliwia połączenie tych kont z numerem telefonu. Przestępca posiadający dane konta będzie potrzebował jeszcze przechwycić jednorazowy kod potwierdzający, wysyłany do urządzenia mobilnego w celu autoryzacji. Należy zauważyć, że ta ochrona jest bezpieczna tylko wtedy, gdy na urządzeniu mobilnym nie jest zainstalowane szkodliwe oprogramowanie umożliwiające przestępcy zobaczenie kodu.

Na szczęście istnieje bezpieczniejszy sposób do zapewnienia bezpieczeństwa firmowym dokumentom przesyłanym za pośrednictwem sieci firmowej – szyfrowanie. Nawet jeśli intruz uzyska dostęp do skrzynki pocztowej lub dysku do przechowywania, na którym pracownik trzyma firmowe dokumenty, nie będzie mógł uzyskać dostępu do ich zawartości, ponieważ będą one zaszyfrowane przed wysłaniem na zewnętrzny serwer.

Polityki bezpieczeństwa

Kontrola ruchu sieciowego, kontrola aplikacji i szyfrowanie danych to ważne aspekty bezpieczeństwa, które mogą wykryć i automatycznie zapobiec wyciekowi danych, jak również ograniczyć wykorzystanie niechcianego oprogramowania w sieci firmowej. Wciąż bardzo ważne jest stosowanie polityki bezpieczeństwa i zwiększanie świadomości pracowników, ponieważ wielu z nich nie zdaje sobie sprawy, że ich działania mogą zagrażać firmie.

W przypadku powtarzanych naruszeń bezpieczeństwa, polityka ochrony powinna wymuszać poniesienie konsekwencji na tej osobie, łącznie z jej zwolnieniem.

Polityka ochrony powinna także określać działania, jakie będą podjęte, gdy zwalniany pracownik posiadał dostęp do poufnych informacji lub systemów krytycznej infrastruktury.

Konkluzja

Incydenty takie jak wyciek poufnych danych lub wysyłanie nielegalnej zawartości przy użyciu firmowego adresu IP mogą przyczynić się do utraty firmowej reputacji.

Aby tego uniknąć, firmy powinny ograniczyć lub całkowicie zablokować pracownikom dostęp do zasobów online, które mogą stanowić zagrożenie dla firmy, a także ograniczyć lub zablokować używanie tych portów, protokołów transmisji danych i aplikacji, które nie są wymagane do pracy. Do zapewnienia poufności i integralności dokumentów firmowych powinny być wykorzystywane technologie szyfrowania plików.

Eksperci ds. bezpieczeństwa IT muszą także pamiętać, że poza wykrywaniem incydentów i ich zapobieganiem, powinni także zwracać uwagę na przestrzeganie zasad bezpieczeństwa. Użytkownicy powinni być świadomi, co jest dozwolone, a co zabronione przez politykę bezpieczeństwa. Pracownicy muszą mieć także świadomość konsekwencji ewentualnego naruszania zasad.