Reputację firmy należy chronić – i to nie tylko przed cyberprzestępcami. Pracownikom, którzy wysyłają firmową korespondencję na swoją prywatną pocztę, pobierają nielegalną zawartość lub używają pirackiego oprogramowania na firmowych komputerach, nawet nie przyjdzie do głowy, że mogliby przyczynić się do zniszczenia reputacji swojej firmy.
Pewna firma była ofiarą incydentu, w którym ujawnione zostały ściśle tajne informacje. Specjaliści zajmujący się ochroną danych rozpoczęli swoje śledztwo, a po sprawdzeniu ujawnionych dokumentów byli zaskoczeni, że metadane zawierały ważne informacje – nazwę firmy, komputera, na którym dokument był przechowywany po raz ostatni, nazwę autora, adresy e-mail, numery telefonów itp. Przestępcy zazwyczaj usuwają te dane, aby ukryć źródło wycieku. W trakcie śledztwa eksperci odkryli, że kopie ujawnionych dokumentów były przechowywane na komputerach pięciu pracowników. Żaden z nich nie przyznał się do przekazania dokumentów osobom trzecim. Co więcej, gdy wezwani na rozmowę ze specjalistami ds. bezpieczeństwa usłyszeli o tej sytuacji, wszyscy byli szczerze zaskoczeni. Po przeanalizowaniu rejestru firmowego serwera proxy wyjaśniło się, że jeden z tych pięciu pracowników przesłał kopie ujawnionych plików na swoją pocztę.
Podczas drugiej rozmowy pracownik wyznał, że kilkakrotnie używał swojej osobistej skrzynki pocztowej do przechowywania firmowych dokumentów. Było to dla niego wygodne: jeśli nie starczyło mu czasu na dokończenie lub doczytanie dokumentu, wysyłał go na osobistą pocztę i kończył w domu. Pracownik poprosił o możliwość zdalnego dostępu do firmowej poczty, lecz nie poradził sobie z ustawieniami. Nie widział problemu w wykorzystaniu swojej poczty do pracy. Po uzyskaniu dostępu do jego osobistej skrzynki e-mail specjaliści ds. ochrony danych sprawdzili listę adresów IP wykorzystywanych do łączenia się ze wspomnianym kontem. Odkryto, że poza domowym i firmowym adresem IP widniało tam wiele innych adresów serwerów proxy z różnych krajów.
Sprawdzając komputer pracownika, specjaliści bezpieczeństwa ujawnili oprogramowanie typu spyware, które rejestrowało wszystkie dane do kont (loginy, hasła, numery kart) wprowadzane w różnych systemach – na stronach, portalach społecznościowych, skrzynkach pocztowych, serwisach bankowości online. Wykorzystując szkodliwy program do uzyskania dostępu do skrzynki pracownika, przestępcy mogli pobrać wiele firmowych dokumentów, które się tam znajdowały.
Pracownik został uznany za winnego i zwolniony. Utrata reputacji firmy wciąż daje o sobie znać.
Powszechnie wiadomo, że pobieranie pirackich treści jest łamaniem praw autorskich. Część ludzi pamięta, że podczas korzystania z internetu w pracy używany jest adres IP firmy. Oznacza to, że po ujawnieniu naruszenia praw konsekwencje poniesie firma.
Mała firma doświadczyła nieprzyjemnego incydentu. Pewnego razu zdarzył się bardzo odczuwalny spadek prędkości łącza internetowego. Statystyki ruchu sieciowego pokazały, że jeden komputer wykorzystuje 80% łącza, a komunikacja wychodząca i przychodząca nie mieściła się w skali. Administrator systemu przypuszczał, że jeden z komputerów jest wykorzystywany do współdzielenia plików w sieci typu P2P.
W opisanym wyżej przypadku – wyciek firmowych dokumentów oraz pobieranie nielegalnej treści za pośrednictwem sieci P2P – sieć firmowa była kanałem do wysyłania i odbierania danych. Firewall, IPS, HIPS i inne technologie umożliwiają administratorom oraz specjalistom ds. bezpieczeństwa IT ograniczanie lub blokowanie:
- dostępu do publicznych serwisów oraz ich serwerów – poczta, przechowywanie w chmurze, strony zawierające zabronioną treść itp.,
- używania portów i protokołów do współdzielenia plików za pośrednictwem P2P,
- wysyłania firmowych dokumentów poza sieć firmową.
Warto także przypomnieć, że do zapewnienia najwyższego poziomu bezpieczeństwa firmowej sieci nie wystarczy stosowanie jedynie kontroli ruchu sieciowego. Aby obejść politykę bezpieczeństwa, pracownicy mogą używać metod szyfrowania ruchu, łączyć się z kopiami (serwery lustrzane) blokowanych serwisów internetowych lub wykorzystywać serwery proxy i programy pomagające zachować anonimowość. Co więcej, wiele aplikacji może używać portów innych programów i umieszczać ich ruch w różnych protokołach. Kontrola ruchu sieciowego jest bardzo ważna i konieczna, ale musi ona współdziałać z kontrolą aplikacji i szyfrowaniem plików.
Używając kontroli aplikacji, administratorzy i specjaliści ds. ochrony danych powinni nie tylko zabraniać używania niechcianego oprogramowania – klientów torrentów, aplikacji serwisów społecznościowych, gier, pirackiego oprogramowania, odtwarzaczy mediów itp. Powinni także sprawdzać, jakich aplikacji używają pracownicy oraz kiedy i gdzie ich używają. Zabronienie całego pirackiego oprogramowania jest prawie niemożliwe, ponieważ może istnieć wiele różnych wersji aplikacji i mogą one być prawie identyczne. Zatem najbardziej efektywnym podejściem jest używanie kontroli aplikacji w trybie domyślnej odmowy – zapewni to wszystkim pracownikom dostęp jedynie do autoryzowanego oprogramowania.
Śledzenie, w jaki sposób pracownicy używają serwisów chmurowych i osobistych skrzynek pocztowych do przechowywania danych firmowych, które mogą zwierać poufne informacje, jest prawie niemożliwe. Wiele usług pocztowych oraz usług przechowywania danych szyfruje pliki przesyłane przez użytkownika, ale nie gwarantują one ochrony przed intruzami – zgubiony login i hasło umożliwią dostęp do danych.
Aby tego uniknąć, wiele serwisów online umożliwia połączenie tych kont z numerem telefonu. Przestępca posiadający dane konta będzie potrzebował jeszcze przechwycić jednorazowy kod potwierdzający, wysyłany do urządzenia mobilnego w celu autoryzacji. Należy zauważyć, że ta ochrona jest bezpieczna tylko wtedy, gdy na urządzeniu mobilnym nie jest zainstalowane szkodliwe oprogramowanie umożliwiające przestępcy zobaczenie kodu.
Na szczęście istnieje bezpieczniejszy sposób do zapewnienia bezpieczeństwa firmowym dokumentom przesyłanym za pośrednictwem sieci firmowej – szyfrowanie. Nawet jeśli intruz uzyska dostęp do skrzynki pocztowej lub dysku do przechowywania, na którym pracownik trzyma firmowe dokumenty, nie będzie mógł uzyskać dostępu do ich zawartości, ponieważ będą one zaszyfrowane przed wysłaniem na zewnętrzny serwer.
Kontrola ruchu sieciowego, kontrola aplikacji i szyfrowanie danych to ważne aspekty bezpieczeństwa, które mogą wykryć i automatycznie zapobiec wyciekowi danych, jak również ograniczyć wykorzystanie niechcianego oprogramowania w sieci firmowej. Wciąż bardzo ważne jest stosowanie polityki bezpieczeństwa i zwiększanie świadomości pracowników, ponieważ wielu z nich nie zdaje sobie sprawy, że ich działania mogą zagrażać firmie.
W przypadku powtarzanych naruszeń bezpieczeństwa, polityka ochrony powinna wymuszać poniesienie konsekwencji na tej osobie, łącznie z jej zwolnieniem.
Polityka ochrony powinna także określać działania, jakie będą podjęte, gdy zwalniany pracownik posiadał dostęp do poufnych informacji lub systemów krytycznej infrastruktury.
Incydenty takie jak wyciek poufnych danych lub wysyłanie nielegalnej zawartości przy użyciu firmowego adresu IP mogą przyczynić się do utraty firmowej reputacji.
Aby tego uniknąć, firmy powinny ograniczyć lub całkowicie zablokować pracownikom dostęp do zasobów online, które mogą stanowić zagrożenie dla firmy, a także ograniczyć lub zablokować używanie tych portów, protokołów transmisji danych i aplikacji, które nie są wymagane do pracy. Do zapewnienia poufności i integralności dokumentów firmowych powinny być wykorzystywane technologie szyfrowania plików.
Eksperci ds. bezpieczeństwa IT muszą także pamiętać, że poza wykrywaniem incydentów i ich zapobieganiem, powinni także zwracać uwagę na przestrzeganie zasad bezpieczeństwa. Użytkownicy powinni być świadomi, co jest dozwolone, a co zabronione przez politykę bezpieczeństwa. Pracownicy muszą mieć także świadomość konsekwencji ewentualnego naruszania zasad.
Źródło: Kaspersky Lab