Przenieś się w chmurę…
Już masz dość tego, że z awarią laptopa tracisz swoje pliki? Trzymaj je w chmurze – Twoje dane będą przechowywane i obrabiane w potężnej farmie komputerowej. Swoje zdjęcia powierzysz google i wrzucisz na Picassę. To samo zrobisz z dokumentami – od dziś to będą Twoje google docs. A może usługi z bezpieczeństwem danych – możesz wykorzystać np. myEndpoint Protector. Genialne, prawda? Cloud computing to przyszłość, nie tylko dla Ciebie, ale także dla Twojej firmy. Read more
Bezpieczeństwo informacji nie jest priorytetem w UK
Chociaż top management doskonale zdaje sobie sprawę z ważności bezpieczeństwa informacji, większość firm ze Zjednoczonego Królestwa planuje zmniejszyć wydatki na te kwestie. To nie jest tylko plotka. PricewaterhouseCoopers opublikowało badanie, które mówi, iż zwiększenie wydatków na bezpieczeństwo informacji jest priorytetem dla 31% firm. W skali światowej, deklaruje to 52%.
To, jak ważne jest podejście strategiczne, do ochrony informacji, jest powszechnie znane wśród najważniejszych osób w firmie. Odpowiedni poziom inwestycji utrzymywał się w tej kwestii nawet mimo ograniczonych budżetów i redukcji kosztów. William Beer, szef OneSecurity, sekcji w PwC, wskazuje na fakt, że każde zdarzenie w tym obszarze po prostu kosztuje bardzo dużo. £2.3m, które zapłaciło Zurich Insurance pomogło przejrzeć na oczy firmom.
“Plany wydatków w UK po prostu odzwierciedlają wszechobecny pesymizm w ekonomii”
Firmy w UK muszą przemyśleć wszystkie elementy swoich strategii bezpieczeństwa, także udział pracowników w całym procesie i technologię, której używają. Ważna jest struktura odpowiedzialności. Przed kim powinien odpowiadać manager, który zajmuje się bezpieczeństwem. CIO? CFO? A może bezposrednio przed radą nadzorczą?
Pentagon: Tak, to było najwieksze cyberzagrożenie w historii USA.
Pentagon w końcu potwierdził, wyciek danych, który zdarzył się w 2008 roku, który jeden z ich najwyższych przedstawicieli nazwał „najbardziej znaczącym przełamaniem zabezpieczeń w historii wojskowych komputerów w USA”. Atak został przeprowadzony przez agenta obcego wywiadu, który użył pendrive’a, żeby zainfekować wojskowe komputery. Między innymi te, które były w centrum dowodzenia, odpowiedzialnym za operacje w Iraku i Afganistanie.
„przyczółkiem, z którego dane mogłyby być transferowane na serwery będące pod kontrolą innych państw” – mówi William J. Lynn 3d, zastępca sekretarza bezpieczeństwa dla the New York Times. „Każdy administrator nabardziej boi się właśnie takiego scenariusza: niebezpieczny program, który po cichu opanowuje sieć, stworzony aby dostarczyć plany operacyjne w ręce nieznanych przeciwników,” dodaje Lynn.
Sprawca całego zamieszania, pendrive wielkości zapalniczki, który został podłączony do wojskowego laptopa w bazie na Bliskim Wschodzie, stął się
Top management nie docenia bezpieczeństwa
Jeśli chodzi o „najważniejszych w firmie”, zasady gry są inne. W kwestii bezpieczeństwa, wymagają wyjątkowych uprawnień, tylnych drzwi do systemu, a najlepiej zupełnie innych zasad niż dla zwykłych pracowników. I potem to oni sami sa zagrożeniem dla bezpieczeństwa firmy.
Według Jaysona Street, CIO i jednego z partnerów w Stratagem 1 Solutions, top management często chce omijać zasady i polityki bezpeiczeństwa żeby spełniać swoje wszystkie zachcianki, kosztem właśnie działania ochrony. To właśnie wykorzystują cyberprzestępcy – wykorzystując przywileje osób zarządzających, ułatwiają sobie drogę. Dlatego właśnie, dzięki specjalnym przywilejom, top managerowie stają się idealnymi obiektami ataków.
Haker nie potrzebuje poziomu uprawnień dyrektora oddziału banku, bo on ma zablokowany dostęp do portów USB i ograniczenia w poruszaniu się po panelu wirtualnym. Jayson Street, wykorzystując informacje o właścicielu zebrane przez serwis LinkedIn i Twitter, a potem podając się za jednego z wykonawców sieci, dostał się do pomieszczenia z serwerem w pewnym hotelu. Pracownik hotelu, który wpuścił go, powiedział, że po prostu nie powinno się odmawiać szefowi. Nigdy.
Oczywiście, można uniknąć takich sytuacji. Po pierwsze – eksperci od Bezpieczeństwa IT, zamiast pozwalać na coraz większą somowolę swoich szefów, powinni wyjaśnić im, jak bardzo są narażeni na kradzież tożsamości. Niżsi rangą pracownicy powinni zawsze zgłaszać niepokojące sytuacje, a ponadto każdy użytkownik komputera powinien wiedzieć jak podszywanie się po kogoś, wykorzystywanie socjotechnik i inne zmory bezpiecznej sieci mogą być rozpoznane.
Co się stanie jak zgubię pamięć masową?
Tego pytania na pewno nie zadali sobie pracownicy duńskiej grupy ISS. Oczywiście, błędy mogą się zdarzyć każdemu. Niektóre z nich mogą poprowadzić do wycieku danych tysięcy osób. Ale ten jest wyjątkowy. Otóż przedstawiciele dirmy, przypadkiem wysłali pocztą urządzenie pamięci masowej, na któym były dane 9500 pracowników… zamiast kartki świątecznej. Dobra wiadomośc to ta, że nie była to ich cała baza danych, bo 2000 osoób uniknęło zaszczytu bycia narażonymi na kradzież ich tożsamości.
Oczywiście wszyscy zainteresowani zostali już poinformowani, ale firma nie dzieli się szczegółami, ze względu na prowadzone śledztwo.
Najgorsz jest to, że można było łatwo ten problem uniknąć. Uważaj, gidze trzymasz dane pracowników. Najlepiej niech to będzie zabezpieczona sieć komputerowa. Każde przenoszone dane, szyfruj, bo tkaie gadżety łatwo gidześ zgubić.
Uważaj na urządzenia USB które dostajesz w prezencie.
Miło jest dostawać prezenty. Szkoda tylko, że czasem jeżeli coś dostajesz ma to w sobie w haczyk. Tak jak podaje Sunday Times, MI5 przestrzega kadrę zarządzającą przedsiębiorstw przed rzeczami, które mogą dostać w prezencie.
Podczas konferencji i wizyt w firmach w Chinach, możecie otrzymać Państwo urządzenia USB lub aparaty cyfrowe. Zdarzały się przypadki, że takie „prezenty” zawierały Trojany i inne typy malware.”
Jeżeli podłączysz specjalnie przygotowaną pamięć USB do swojego komputera, bez odpowiednich zabezpieczeń (np. Endpoint Protector 2009), malware nie tylko zainfekuje Twój system, ale także otworzy drogę do zdalnej kradzieży danych w ciągu kilku sekund. Żeby poradzić sobie z takim zagrożeniem, Twój antywirus potrzebuje kilku minut, jeśli nie godzin. Także wygląda na to, że najlepszym zabezpieczniem jest kontrola urzadzeń przenośnych w sieci i ich blokowanie w razie niepewnego pochodzenia.
Cała historia jest tutaj. Przyznaj, żę brzmi lepiej niż powieści Iana Fleminga.
Kto może ucierpieć na kradzieży jednego laptopa?
AvMed Health Plans (dostarczyciel usług medycznych w USA) właśnie stara się „posprzątać” po utracie danych. Otóż na początku grudnia, z biura firmy w Gainsville skradziono 2 firmowe laptopy. Najgorsze jest to, że złodzieje zyskali dostęp do informacji osobistych 200 000 obecnych i byłych klientów i członków ich rodzin – poinformowała firma na łamach Gainesville.com.
Co zawierały te 2 laptopy? Nazwiska, adresy, numery telefonów, numery ubezpieczenia społecznego i informacje o zdrowiu pacjentów. Z drugiej strony, firma informuje, że ryzko kradzieży tożsamości jest dość niskie, ze wzgledu na to, że dane były zapisane bez szczególnej kolejności. Szkoda tylko, że 12 dni po zdarzeniu, firma odkryła, że dane na jednym z dwóch laptopów nie były odpowiednio szyfrowane.
AvMed informuje, że na razie nie było żadnych informacji o kradzieży tożsamości, a oni sami mają o wiele lepszą perspektywę na cała sytuację, od czasu gdy klienci zaczęli przystępować do programu ochrony tożsamości, zapewnionego przez firmę na najbliższe 24 miesiące.
Endpoint Security – bądź sprytny!
Ile ostatnio pojawiło się newsów o skradzionym sprzęcie z ważnymi danymi, włamaniach na serwery, a przede wszystkim o tym, że każdy nowy gadżet przynosi ze sobą wbudowane zagrożenie. I jak widzicie, możena mieć wrażenie, że jedyne na czym się skupiają firmy od bezpieczeństwa danych, to zabranianie używania wszystkich tych cudnownych gadżetów i grożenie każdemu użytkownikowi. Także czytając tego bloga, może cie odnieść wrażenie, że bezpieczeństwo IT to inna nazwa dwugłowego potwora, chcącego zabić przyjemność płynącą z używania nowych technologii.
A to wcale nieprawda. Żeby się bronić efektywnie, wystarczy spojrzeć na to z innej strony. Analizować i przewidywać, co może być zagrożeniem. A potem bronić przed tymi zagrożeniami, jednocześnie dając innym swobodę. To właśnie jest cel ochrony. Szczególnie ochrony danych i stacji końcowych. Pamięci USB w kształcie sushi, iPady, netbooki, smartphony, aparaty cyfrowe – to wszystko się przydaje, tak długo jak albo pomaga Ci w praca, albo ułatwia Twoje życie. Wszędzie tam, gdzie są potrzebne – w domu, biurze, w podróży, mogą też stwarzać zagrożenie. Także podstawą jest to, żeby wiedzieć co może się stać i jak tego uniknąć.
Eksperci od bezpieczeństwa mają tendecję do skupiania się na wszystkich możliwych zagrożeniach. Po prostu – jeżeli my i nasze fimy nie będziemy świadomi konsekwencji – zignorujemy ryzyko. Mantra „Mi się to nie stanie” nie jest specjalnie efektywną tarczą przed utratą danych. Dlatego właśnie eksperci często pokazuję najgorsze scenariusze. Sztuka w tym, żeby pamiętać, że ochrona danych ma ułatwiać życie.
