H ευρεία χρήση φορητών αποθηκευτικών μέσων όπως οι USB μνήμες και οι εξωτερικοί σκληροί δίσκοι, μπορεί να έχει διευκολύνει σε μεγάλο βαθμό αρκετές καθημερινές επιχειρησιακές ανάγκες, ελλοχεύει όμως και αρκετούς κινδύνους αν δεν λαμβάνονται τα σωστά μέτρα.
Η συνεχής πτώση των τιμών στις μνήμες τύπου flash που συνδέονται σε USB θύρα (τα λεγόμενα και ως USB sticks) αλλά και στους εξωτερικούς σκληρούς δίσκους, σε συνδυασμό με την εξέλιξη της τεχνολογίας που επιτρέπει μεγάλες αποθηκευτικές δυνατότητες, οι οποίες φτάνουν ακόμα και τα 500 GB !!! στους εξωτερικούς σκληρούς δίσκους ή 8 GB στα USB sticks, έχουν σαν αποτέλεσμα τα τελευταία χρόνια να παρατηρείται μια ευρύτατη διάδοση αυτών των φορητών μονάδων αποθήκευσης. Αν σε αυτά προσθέσουμε και τις κάρτες μνήμης για τα κινητά τηλέφωνα και τις ψηφιακές φωτογραφικές μηχανές, τότε αντιλαμβανόμαστε ότι πρακτικά, ένας τεράστιος όγκος δεδομένων μπορεί πλέον να βρίσκεται εκτεθειμένος σε δεκάδες κινδύνους του φυσικού περιβάλλοντος, αλλά παράλληλα και στον οποιονδήποτε κακόβουλο χρήστη των δεδομένων μας.
Ειδικά όσον αφορά επιχειρησιακά περιβάλλοντα, η αλόγιστη χρήση τέτοιων συσκευών έχει σαν αποτέλεσμα τον άμεσο κίνδυνο για τα εταιρικά δεδομένα, αφού πλέον δεν τηρούνται οι όποιες προαποφασισμένες διαδικασίες ασφαλούς τήρησης αντιγράφων ασφαλείας, κωδικοποίησης και προστασίας δεδομένων, αλλά και ακεραιότητας και διασφάλισης του απορρήτου. Οι κίνδυνοι δεν επεκτείνονται μόνον κατά τη μεταγραφή-μεταφορά των δεδομένων, αλλά και στην εν γένει λειτουργία του όλου δικτύου μιας εταιρείας ή ενός οργανισμού.
Φανταστείτε, για παράδειγμα, τι θα μπορούσε να συμβεί στα δεδομένα του εσωτερικού δικτύου (LAN) μιας εταιρείας, αν κάποιος κακόβουλος επισκέπτης, εκμεταλλευόμενος την ολιγόλεπτη απουσία ενός υπαλλήλου, συνέδεε ένα usb memory stick στον υπολογιστή του και αντί ν’ αντιγράψει κάποια από τα αρχεία, απλά μετέφερε ένα πρόγραμμα- ιό ή, ακόμα χειρότερα, ένα πρόγραμμα data-logger προς το εσωτερικό δίκτυο, που θα του έδινε την ευκαιρία από απόσταση να μάθει τα πλέον απόρρητα στοιχεία της εταιρείας. Κι όμως, περιπτώσεις σαν κι αυτές, έχουν συμβεί και στη χώρα μας, με πολύ άσχημες επιπτώσεις, τόσο όσον αφορά τα δεδομένα της εταιρείας, όσο και τη μετέπειτα επαγγελματική σταδιοδρομία του απρόσεκτου υπαλλήλου. Για τους λόγους αυτούς, πρέπει όλοι να συνειδητοποιήσουν τους κινδύνους που καιροφυλακτούν εξαιτίας της ύπαρξης και μόνον των συσκευών αυτών και να λάβουν μια σειρά μέτρων προστασίας, που θα μπορούσαν να κλιμακώνονται αναλόγως του Βαθμού Ασφαλείας των διακινούμενων δεδομένων.
Όσον αφορά την ασφάλεια των μεταφερόμενων δεδομένων, ο χρήστης έχει να επιλέξει αρχικά τη μέθοδο κωδικοποιημένης εγγραφής, έτσι ώστε σε περίπτωση απώλειας ή κλοπής του φορητού αποθηκευτικού μέσου – USB Memory Stick ή εξωτερικού Σκληρού Δίσκου – τα δεδομένα να μην είναι κατανοητά. Σε μια άλλα περίπτωση, η πρόσβαση στα δεδομένα μπορεί να γίνεται μέσω της χρήσης κάποιου κωδικού ή της χρήσης βιομετρικής τεχνολογίας και αναγνώρισης δακτυλικών αποτυπωμάτων. Αξίζει να επισημάνουμε ότι και στην ελληνική αγορά διατίθενται συστήματα που κάνουν χρήση κάποιας ή και όλων των μεθόδων προστασίας που προαναφέρθηκαν, οπότε ο χρήστης, σταθμίζοντας πολύ καλά τον κίνδυνο που διατρέχει από την ενδεχόμενη απώλεια-καταστροφή ή κλοπή των δεδομένων του, μπορεί να επιλέξει το καταλληλότερο σύστημα για την περίπτωσή του.
Ασφαλή USB Memory Sticks
Όσο εύχρηστα και αν είναι τα usb sticks, αφού διευκολύνουν τη μεταφορά δεδομένων από τον ένα υπολογιστή στον άλλον σε μια επιχείρηση, άλλο τόσο επικίνδυνα μπορούν να γίνουν στην περίπτωση που χαθούν ή κλαπούν! Δεκάδες είναι οι αναφορές που γίνονται γνωστές από τα ΜΜΕ για παρόμοια περιστατικά, με απρόβλεπτες συνέπειες (π.χ. πρόσφατα στη Βρετανία και στις ΗΠΑ, με πιο χαρακτηριστική την περίπτωση όπου ένα usb memory stick με απόρρητες στρατιωτικές πληροφορίες των Αμερικανών που είχε χαθεί, βρέθηκε τελικά να πωλείται σε παζάρι στο Αφγανιστάν !!!).
Στα πλαίσια λοιπόν της δημιουργίας συνθηκών για ασφαλή διαχείριση των μνημών USB, ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων Υπολογιστών & Πληροφοριών ή αλλιώς ENISA όπως είναι ευρύτερα γνωστός, με έδρα το Ηράκλειο Κρήτης, εκπόνησε πρόσφατα σχετική μελέτη με αποκαρδιωτικά αποτελέσματα! Έρευνα που διεξήχθη μεταξύ επαγγελματιών Πληροφορικής, είχε σαν αποτέλεσμα ότι πάνω από το 60% πιστεύουν ότι είναι πολύ πιθανή η απώλεια ευαίσθητων πληροφοριών των επιχειρήσεών τους, λόγω κάποιας τυχαίας απώλειας ενός φορητού αποθηκευτικού μέσου.
Λόγω του μικρού τους μεγέθους και της ευελιξίας που προσφέρει η χρήση τους, είναι πολύ εύκολο για κάποιο usb memory stick ή φορητό σκληρό δίσκο (σε μέγεθος πακέτου τσιγάρων) να ξεχαστεί οπουδήποτε και να χαθεί ή να κλαπεί. Επίσης, λόγω της ευχρηστίας τους, πολλές φορές χρησιμοποιούνται μεταξύ πολλών υπολογιστικών συστημάτων, κάνοντας έτσι πανεύκολη τη μετάδοση πιθανών προγραμμάτων ιών και ουσιαστικά ακυρώνουν την όποια πολιτική ασφαλείας πληροφοριών της Επιχείρησης ή του Οργανισμού μπορεί να ισχύει «στα χαρτιά».
Πρακτικά, η καλύτερη μέθοδος προστασίας είναι αυτή της χρήσης κάποιας εφαρμογής κρυπτογράφησης των πληροφοριών που μεταφέρονται μέσω κάποιου φορητού μέσου αποθήκευσης, σε συνδυασμό με κάποιο πρόγραμμα πρόσβασης μέσω κωδικού ή ακόμα καλύτερα βιομετρικού ανιχνευτή αποτυπώματος. Θα πρέπει εδώ να γίνει ειδική μνεία για τους ανωτέρω κινδύνους από τη χρήση αυτών των συστημάτων και οπωσδήποτε, σε περίπτωση απώλειας ή κλοπής ν’ αναφέρεται στη Δ/νση Μηχανογράφησης / Ασφάλειας της Επιχείρησης/Οργανισμού, για τη λήψη των αναγκαίων μέτρων (άμεση αλλαγή κωδικών πρόσβασης, έλεγχος τύπου των αποθηκευμένων πληροφοριών που χάθηκαν/κλάπηκαν και πιθανές επιπτώσεις).
Από τα δεκάδες USB Memory Sticks που κυκλοφορούν και μπορούν να προστατεύσουν την πρόσβαση στα αποθηκευμένα δεδομένα σας με τη χρήση κάποιου password, μπορούμε να ξεχωρίσουμε ορισμένα, όπως:
Το CORSAIR CMF USB PADLOCK – 4GB, με ενσωματωμένο μικρό πληκτρολόγιο, που προσφέρει τη δυνατότητα κλειδώματος της συσκευής με ένα κωδικό PIN της επιλογής του χρήστη. Μέχρι να εισαχθεί ο κωδικός PIN, η μνήμη παραμένει αδιόρατη από το σύστημα, αποτρέποντας όχι μόνο την εγγραφή ή την αποθήκευση αλλαγών, αλλά ακόμη και την ανάγνωση. Επίσης, η σειρά Micro Vault της SONY, που κάνει χρήση βιομετρικής τεχνολογίας κι ενσωματώνει επάνω στο memory stick αναγνώστη δακτυλικού αποτυπώματος, μπορεί να χρησιμοποιηθεί σε μια πλειάδα περιπτώσεων, κλειδώνοντας με το δακτυλικό αποτύπωμα κάποια συγκεκριμένα αρχεία. Αξιοσημείωτο χαρακτηριστικό είναι ότι η κωδικοποίηση πραγματοποιείται σε επίπεδο hardware, αφού το usb memory stick διαθέτει ενσωματωμένο chip κρυπτογράφησης. Το Anti-Virus Biometrics usb memory stick της LG, με χωρητικότητες από 512 MB έως 4 GB, ενσωματώνει εκτός από ανιχνευτή βιομετρικών αποτυπωμάτων μέχρι και 10 διαφορετικών χρηστών, εφαρμογή anti-virus και malware protection, με αυτόματες ενημερώσεις, κάθε φορά που συνδέεται online! Ιδιαίτερα αξιόλογο είναι και το εξαιρετικής κατασκευής, για πολύ σκληρή χρήση σε αντίξοο περιβάλλον, usb memory Stick Ironkey. Υποστηρίζει ισχυρή δυνατότητα κρυπτογράφησης των δεδομένων [AES CBC-Mode Encryption], ενώ διαθέτει ισχυρό μεταλλικό περίβλημα για να μην καταστρέφεται, όπου, αν κάποιος προσπαθήσει να παρακάμψει την κωδικοποίησή του και βάλει 10 φορές λάθος password, αυτοδιαγράφει αυτόματα τα αποθηκευμένα δεδομένα (συνολικής χωρητικότητας 4 GB). Το μοναδικό «πρόβλημα» είναι στη σχετική δυσκολία απόκτησής του, αφού εξαιτίας της κρυπτογράφησης που χρησιμοποιεί, δεν εξάγεται επίσημα στην Ευρώπη, αλλά μπορεί να το προμηθευτεί ο οποιοσδήποτε ελεύθερα, από την αμερικανική Αγορά! Ιδιαίτερη μνεία αξίζει να γίνει στο Ironkey, το μοναδικό εμπορικά διαθέσιμο προϊόν, το οποίο έχει χρησιμοποιηθεί ακόμη και σε εμπόλεμη ζώνη, αφού έγινε εκτενής χρήση του στον πόλεμο του Αφγανιστάν.
Εξωτερικοί σκληροί δίσκοι
Όσον αφορά τους εξωτερικούς σκληρούς δίσκους, πέραν των μεθόδων προστασίας των δεδομένων που μπορεί να επιλέξει ο ίδιος ο χρήστης (π.χ. μέσω κάποιου προγράμματος κρυπτογράφησης της επιλογής του), η πρόσβαση μπορεί να περιοριστεί με τη χρήση κάποιου κωδικού ή/και μέσω ενσωματωμένου στο σκληρό δίσκο βιομετρικού ανιχνευτή δακτυλικού αποτυπώματος, που είναι διαθέσιμος σε ελάχιστα μοντέλα και με επιπλέον κόστος. Αν θέλουμε να διακρίνουμε κάποια μοντέλα, θα πρέπει να αναφερθούμε στον Toshiba SecuRed, που αποτελεί ένα νέο σκληρό δίσκο χωρητικότητας 200 GB και υποστηρίζει μια σειρά από εξελιγμένες δυνατότητες προστασίας και ασφάλειας. Εκτός από το αδιάβροχο περίβλημα, ο SecuRed διαθέτει έναν ενσωματωμένο αισθητήρα ελεύθερης πτώσης, που εντοπίζει τις ελεύθερες πτώσεις, τα χτυπήματα ή τις δονήσεις σε όλες τις κατευθύνσεις. Σε τέτοιες περιπτώσεις, η συσκευή μετακινεί άμεσα την κεφαλή του σκληρού δίσκου ανάμεσα στις μεταλλικές πλάκες (platters) και προετοιμάζεται για την πρόσκρουση, προστατεύοντας έτσι τα πολύτιμα δεδομένα. Μετά το συμβάν της πρόσκρουσης ή της πτώσης, ο χρήστης έχει τη δυνατότητα να συνδεθεί ξανά στο σκληρό δίσκο και να αποκτήσει πρόσβαση σε όλα τα δεδομένα που περιέχει, χωρίς κανένα πρόβλημα. Όσον αφορά την προστασία των αποθηκευμένων δεδομένων από μη εξουσιοδοτημένη χρήση, ο ενσωματωμένος αισθητήρας δακτυλικών αποτυπωμάτων επιτρέπει την πρόσβαση στα δεδομένα και τα αρχεία που είναι αποθηκευμένα στο σκληρό δίσκο, μόνο από εξουσιοδοτημένα άτομα. Ο έλεγχος ταυτότητας κωδικού πρόσβασης, που βασίζεται σε έναν ισχυρό αλγόριθμο AES-256 και σε έναν ενσωματωμένο μηχανισμό λογισμικού, ο οποίος υποστηρίζει την κρυπτογράφηση σκληρού δίσκου, καθιστά δυνατή την ισχυρή προστασία των δεδομένων. Παρόμοιων δυνατοτήτων και σε διάφορες χωρητικότητες (από 160 – 500 GB) είναι ο Lacie SAFE Mobile Hard Drive, που κρατά ασφαλή τα δεδομένα σας, μόνο κατόπιν ταυτοποίησης μέσω δακτυλικού αποτυπώματος.
Επιπλέον μέτρα ασφαλείας:
Όσον αφορά το μηχανογραφικό περιβάλλον μιας επιχείρησης και ανάλογα φυσικά με το είδος και την αξία των αποθηκευμένων – διακινούμενων δεδομένων, πέραν της επιλογής όποιας από τις 3 προαναφερόμενες τεχνολογίες προστασίας (κρυπτογράφησης δεδομένων – πρόσβασης μέσω κωδικού ή/και βιομετρικού αναγνώστη) συνιστάται να ληφθούν μια σειρά μέτρα κλιμακούμενης προστασίας/περιορισμού πρόσβασης στο εσωτερικό πλέον Δίκτυο της Εταιρείας/Οργανισμού, ως εξής:
- Απαγόρευση χρήσης/αδυναμία σύνδεσης usb memory sticks ή εξωτερικών σκληρών δίσκων (φυσικά αυτό προϋποθέτει και γενικότερες προγραμματιστικές ρυθμίσεις, έτσι ώστε να είναι αδύνατη και η εγγραφή cd/dvd) χωρίς το ανάλογο επίπεδο πρόσβασης και σε κάθε περίπτωση εγγραφή/διατήρηση λεπτομερών log files.
- Χρήση Τερματικών (αποτελούμενα μόνον από οθόνη+πληκτρολόγιο) αντί συστημάτων PC, ώστε ν’ αποκλείεται η οποιαδήποτε δυνατότητα χρήσης επιπλέον H/W (usb memory sticks και γενικότερα memory card readers, σκληρών δίσκων ή και cd/dvd writers).
- Σε περιβάλλοντα όπου διακινούνται ΥΠΕΡ-ΕΥΑΙΣΘΗΤΑ δεδομένα (υψηλού Βαθμού Ασφαλείας «EYES-ONLY»), επιπλέον της χρήσης αποκλειστικά τερματικών συσκευών, οι οθόνες τους να έχουν ειδική επικάλυψη (μέσω μεμβράνης προστασίας), που κάνει αδύνατη τη θέαση υπό γωνία, ακόμα και τη φωτογράφησή τους!
- Επίσης, χρήση τερματικών τύπου TEMPEST με χαμηλή ακτινοβολία, ώστε να αποφεύγεται η διαρροή πληροφοριών μέσω ανεπιθύμητης ακτινοβολίας των συσκευών.
- Πέραν των ανωτέρω, υπάρχει δυνατότητα ο χώρος εργασίας να επιτηρείται όλο το 24ωρο με σύστημα κλειστού κυκλώματος τηλεόρασης – CCTV – οπότε η οποιαδήποτε ενέργεια καταγράφεται εκτός από τα log files και σε mp4 video files.
- Παρόλους λοιπόν τους κινδύνους που διατρέχουν τα ευαίσθητα δεδομένα μας, στην αγορά διατίθενται για άμεση χρήση και από το ευρύ κοινό, πολλές λύσεις που εξασφαλίζουν αφενός την ακεραιότητα των πληροφοριών μας και αφετέρου τη βεβαιότητα ότι ο κάτοχός τους και μόνο θα έχει πρόσβαση σ’ αυτά !
Του Δημήτρη Γκανασούλη,
Συμβούλου Ασφαλείας & Μηχανογράφησης.