Bezpieczeństwo dokumentów i danych w środowiskach mobilnych

Smartfony i tablety otwierają przed firmami wiele nowych możliwości, ale jednocześnie powodują tyle samo obaw, jeśli chodzi o kwestie bezpieczeństwa. W dobie "elastycznych" granic firm potrzebny jest nowy paradygmat IT: "Dane i dokumenty nie powinny być zabezpieczane od zewnątrz, powinny same w sobie zawierać zabezpieczenia"!

Bastion bezpieczeństwa dla korporacyjnych danych dotychczas rozumiany jako granica sieci korporacyjnej należy już do przeszłości.Tak naprawdę mnóstwo danych opuszcza chronioną "enklawę IT" firmy np. na przenośnych pamięciach USB, zostając zapisana w chmurze albo na prywatnym lub służbowym tablecie czy smartfonie. Raport bezpieczeństwa z 2013 przeprowadzony przez firmę Check Point wśród specjalistów ds. bezpieczeństwa mówi sam za siebie: 80% firmy korzysta z usług współdzielenia danych opartych o publiczny Internet, a 93% pozwala na korzystanie ze smartfonów i tabletów do łączenia się ze służbowymi danymi.

W sektorze IT skończyły się czasy barykad i murów ochronnych. Mimo wszystko podejście "postawmy firewalla na wszystko a potem będziemy kombinować" jest wciąż mocno popularne w działach bezpieczeństwa IT. Iluzja w pełni bezpiecznego firewalla może nieść bardzo kosztowne konsekwencje - jak pokazuje raport, 24% badanych firm poniosło straty z powodu niekontrolowanego wycieku kodu źródłowego, 14% z powodu wycieku haseł, 29% miało problem z dopilnowaniem danych z kart kredytowych, a w przypadku 7% maile oznaczone jako poufne wpadły w niepowołane ręce. Wspomniane wyżej liczby bazują nie tylko na odpowiedziach udzielonych w ankietach, lecz również na analizie 120 000 godzin ruchu sieciowego wśród 900 przedsiębiorstw z całego świata.

Tradycyjne narzędzia bezpieczeństwa IT osiągnęły kres swoich możliwości

Poufne dane i dokumenty firmowe są niedostatecznie chronione przez tradycyjne mechanizmy bezpieczeństwa, ponieważ najczęściej informacje te znajdują się poza granicami firmy. Innymi słowy: polityki firmy pozwalające na używanie smartfonów i tabletów oraz korzystania z usług opartych o chmurę znacznie narusza bezpieczeństwo granic firmy. Z jednej strony wspomagany cyfrowo proces współpracy z partnerami w interesach znacznie zwiększa szanse na zysk, a z drugiej strony takie działanie nie może być chronione przez tradycyjne techniki bezpieczeństwa IT. Świat cyberprzestępstw się rozwija, w szczególności w obszarze słabo zabezpieczonych obszarów. Całkiem niedawno 30 000 klientów banku padło ofiarą najnowszej odmiany złośliwego oprogramowania Zeus, kradnącego dane do uwierzytelniające w systemie bankowości online. Za pomocą Zeus’a skradziono 36 milionów euro.

Jak już wspomniano wcześniej, tradycyjne metody bezpieczeństwa IT nie są w stanie zbyt wiele zdziałać w tym obszarze. Natomiast zablokowanie wszystkich aplikacji do udostępniania plików oraz wymuszenie, aby wszystkie urządzenia były pod ścisłą kontrolą administracji firmy, to z pewnością prosta droga do zablokowania funkcjonowania przedsiębiorstwa. Dodatkowo w środowiskach, gdzie korzystanie ze smartfonów i tabletów jest jawnie dozwolone, urządzenia nie są w stu procentach kontrolowane. W końcu wśród wielu danych i dokumentów, część jest prywatną własnością użytkowników a firma nie ma z nimi nic wspólnego. Ponadto właścicielem sprzętu jest pracownik.

Mechanizmy bezpieczeństwa w płynnych środowiskach IT

Trudne do okiełznania mobilne środowisko IT nie może być zabezpieczone w konwencjonalny sposób. Rozwiązanie tego problemu nie polega na tworzeniu w pełni kontrolowanego środowiska, tylko na dostosowaniu danych i dokumentów w taki sposób, aby można było z nich korzystać bez obaw o straty. Tak samo jak astronauta lecący na księżyc, mobilne dane potrzebują skafandra ochronnego. Taką ochroną może być na przykład szyfrowanie wszystkich danych przechowywanych na smartfonach, tabletach, pamięciach przenośnych USB oraz w chmurach. To, czy dane mają być szyfrowane nie powinno pozostawać w gestii użytkownika - szyfrowanie musi być wymuszane przez system. System powinien wyświetlać odpowiednie informacje na temat tego, dlaczego dane powinny zostać zabezpieczone kryptograficznie.

Co więcej, dostęp do danych i dokumentów powinien być zabezpieczony za pomocą metod uwierzytelniania i autoryzacji, oraz gdy istnieje taka potrzeba, powinno zdefiniować się możliwość przydzielania praw dostępu dla użytkowników. Przykładowo dział księgowy powinien mieć dostęp do niektórych danych finansowych za pośrednictwem urządzeń mobilnych, podczas gdy pracownicy innych działów tego dostępu mieć nie powinni. Oznacza to, że dostęp powinien być ustalony jedynie do odczytu, bez możliwości kopiowania, edycji lub przekazywania dalej. Z drugiej strony, należy uniemożliwić działowi księgowemu przechowywania wrażliwych danych w systemach współdzielenia plików takich jak Dropbox. W przypadku pewnych operacji, do których nie można jednoznacznie określić praw w systemie, rozwiązanie bezpieczeństwa nie powinno blokować dostępu, natomiast powinno zarejestrować fakt wykonania danej czynności. System powinien wyświetlić wtedy informację o zarejestrowaniu w dzienniku operacji wraz z przyczyną rejestracji. Informacja powinna być oznajmiająca bądź dająca możliwość anulowania wykonania operacji. Blokowanie i rejestrowanie czynności jest najlepszą metodą ochrony przed niechcianymi wyciekami danych. W środowiskach z "nieostrymi" granicami składowania danych, rozwiązanie Data Loss Prevention (DLP) powinno dbać o to, by dane sklasyfikowane jako poufne lub tajne nie wypłynęły poza obszar wyznaczony przez wysyłającego wiadomość.

Interakcja pomiędzy mechanizmami ochrony sieci i stacji roboczych

Mając na uwadze pokaźną liczbę ataków na niekontrolowane środowisko oraz ich ogromną różnorodność, zabezpieczenie dla danych i dokumentów musi składać się z kilku warstw. Konieczne jest bezpieczne oddzielenie danych prywatnych i służbowych przechowywanych na urządzeniu przenośnym. Co więcej, niezbędne jest również zadbanie o to, by dokumenty, np. te zawarte na Sharepoint lub załączniki do maili, mogły być otwierane i przekazywane jedynie w jasno określonych warunkach. Przepływ danych powinien być w odpowiednich przypadkach blokowany lub rejestrowany. W dodatku wszystkie dokumenty i dane powinny być szyfrowane zarówno na urządzeniach końcowych jak i w momencie transmisji.

Zrealizowanie tych wszystkich zadań nie jest proste i wymaga interakcji między wieloma komponentami bezpieczeństwa i sieci, takich jak systemy bezpieczeństwa dedykowane na urządzenia końcowe oraz systemy kontroli dostępu do sieci (NAC). System NAC zapewnia, że tylko właściwe ("zarejestrowane") urządzenia łączą się do sieci, a dodatkowe metody uwierzytelniania (np. rejestracja w portalu samoobsługowym) wymuszane przez system bezpieczeństwa urządzenia końcowego sprawiają, że informacje dotyczące praw dostępu do zasobów na podstawie polityki bezpieczeństwa są kompletne. Na przykładzie szpitala, można zdefiniować konkretne przypisanie praw dostępu do danych pacjenta lub metodę zapobiegania publikacji poufnych danych medycznych w systemach współdzielenia plików w chmurze.

Bardzo istotnym zagadnieniem w środowiskach IT nie posiadających ścisłych granic sieci jest mechanizm zarządzania i kontroli aplikacji, który pozwala na wyraźne i dokładne oddzielenie aplikacji biznesowych od prywatnych i który uniemożliwia komunikację między tymi dwoma światami.

Nowe możliwości - nowe zagrożenia

Dane i dokumenty nie mogą być dostępne poza tradycyjnie  wyznaczonymi granicami. Jednak ochrona tych danych nie tkwi w szczelnym zamknięciu tych danych, lecz w ich przystosowaniu do mobilnego świata, co oferuje przedsiębiorstwom wiele nowych możliwości, lecz jednocześnie w tych możliwościach może kryć się również wiele nowych zagrożeń.

Autorem materiału jest Krzysztof Wójtowicz, dyrektor zarządzający Check Point Software Technologies Polska.