Foresterovo istraživanje iz 2014. godine (Forrester’s Business Technographics Global Telecom and Mobility Workforce Survey) pokazalo je da 52% današnje radne snage barem nekoliko puta mesečno radi van kancelarije. Jedan od glavnih rizika mobilnosti je opasnost od gubitka ili krađe računara. Ako računar dospe u pogrešne ruke, a podaci nisu zaštićeni, napadač ima pristup svemu što postoji na tom računaru. Kako bi se zaštitile od gubitka poslovnih podataka, koji može da uzrokuje ne samo finansijsku štetu već i kompromitovanje reputacije, kompanije moraju da implementiraju neki od sistema zaštite podataka.
U vreme kada sve veći broj zaposlenih radi van prostora svoje kompanije, zaštita podataka postaje sve važnija
Bilo koji operativni sistem može biti podešen za autorizaciju korisnika pri startovanju, ali ova mera ne pruža adekvatan nivo zaštite. Da bismo lakše razumeli problem, koristićemo primer pokretanja računara sa Windows operativnim sistemom (slika 1).
Operativni sistem prikazuje početni ekran za autentifikaciju korisnika. Windows potvrđuje korisnika i nastavlja proces pokretanja, prikazujući desktop i startujući aplikacije. Iako proces autentifikacije može da spreči neovlašćene osobe da koriste računar, on ne štiti same podatke od neovlašćenog pristupa. Široko dostupnim metodama napadač danas može vrlo lako zaobići Windows autorizaciju. Takođe, on može i fizički da ukloni hard‑disk i pristupi mu sa drugog računara.
Najefikasniji način da se korisnički podaci na računaru zaista zaštite jeste šifrovanje, koje onemogućava njihovo čitanje od strane neovlašćenog korisnika. Postoje dva glavna tipa šifrovanja podataka: šifrovanje fajlova i foldera (file/folder encryption) i šifrovanje celog diska (full‑disk encryption – FDE).
Šifrovanje fajlova i foldera
Ovaj metod podrazumeva šifrovanje samo određenih fajlova i foldera. Rezultat je zaštita samo određenih podataka (slika 2), a svi nešifrovani podaci su i dalje podložni pristupu neovlašćenih korisnika.
Pri instaliranju i podešavanju sistema šifrovanja korisnik obično precizira koje vrste fajlova i foldera želi da zaštiti. Kada program za šifrovanje radi, svi podaci sačuvani u predefinisanom tipu fajla ili foldera biće automatski šifrovani. Međutim, pošto ovi programi šifruju podatke selektivno, dve glavne slabosti koje pokazuju jesu oslanjanje na korisničko znanje i nesposobnost da garantuju zaštitu kritičnih datoteka, kao što su operativni sistem i fajlovi sa sačuvanim šiframa.
Sistem šifrovanja fajlova i foldera se u zaštiti osetljivih podataka oslanja na same korisnike, tako je sam po sebi podložan ljudskim greškama. Primeri nekih od korisničkih grešaka jesu nečuvanje podataka u folderu ili tipu fajla koji je podešen za šifrovanje, slučajno kopiranje podataka u nezaštićene foldere i slično.
Da bi se obezbedila potpuna sigurnost, neophodno je da se pored korisničkih podataka zaštite i sistemske datoteke, kao i datoteke koje sadrže korisničke lozinke. Ako takve datoteke prilikom postavljanja sistema nisu eksplicitno uključene u spisak fajlova koji se šifruju, one su podložne pristupu od strane neovlašćenog korisnika. Na primer, neovlašćeni korisnik koji je u stanju da dobije lokalnu lozinku za VPN klijent može da dobije pristup i kompanijskoj VPN mreži, što bi moglo da ugrozi ceo kompanijski sistem.
Šifrovanje celog diska
Upotrebom ovog sistema disk je potpuno šifrovan, uključujući sve datoteke operativnog sistema, pa čak i privremene datoteke kreirane u određenim aplikacijama. Ovo rešenje zahteva autorizaciju korisnika pre nego što dozvoli uređaju da se pokrene (slika 3). Bez autorizacije, informacije korisnika su neupotrebljive.
Koristeći active directory (AD) sinhronizaciju, FDE ima mogućnost da prikaže korisniku samo jedan ekran za autorizaciju, što može dosta da olakša svakodnevni rad sa sistemom. Za verifikaciju korisnika FDE može da koristi jedan od tri načina: šifra, pametna kartica ili token. Moguća je i upotreba bilo koje kombinacije navedenih načina verifikacije, radi podizanja nivoa sigurnosti. Takođe, moguće je definisati različite tipove verifikacije za različite korisnike. Bez obzira koja metoda autorizacije se odabere, FDE mora u svakom trenutku da omogući administratorski pristup zaštićenim podacima.
Slika 1: Microsoft Windows procedura se sastoji od 5 koraka
Slika 2: Sistem šifrovanja fajlova i foldera
Slika 3: Sistem šifrovanja celog diska
FDE sistemi su jednostavni za implementaciju, bez obzira na broj korisnika. Sama implementacija sistema obično se odvija u četiri faze. Provera kompatibilnosti je faza u kojoj obučeno osoblje proverava korisnički sistem, kako bi se osiguralo da neće biti problema sa kompatibilnošću prilikom implementacije samog rešenja. Sledi faza podešavanja alata,koja obuhvata instalaciju alata potrebnih za upravljanje FDE sistemom, implementaciju sistema podrške i obuku osoblja za pružanje pomoći u najčešćim korisničkim problemima, kao što je npr. resetovanje korisničkih lozinki.
Sledi faza testiranja, u kojoj se FDE instalira na određeni broj kompanijskih računara. Tipična testna faza obuhvata 10 do 50 računara. Nakon inicijalnog aktiviranja, FDE instalira drajver za šifrovanje/dešifrovanje, koji deluje kao filter između operativnog sistema i hard‑diska, kako bi se osiguralo da se svi podaci koji se na njemu nalaze, kao i oni koji se čitaju i upisuju, šifruju/dešifruju u hodu. Pri poslednjem koraku instalacije FDE automatski počinje proces šifrovanja hard‑diska. Tokom ovog procesa podaci se šifruju brzinom od oko 20‑30 GB na sat, a šifrovanje nije osetljivo na nestanke struje ili isključivanje računara. Ako računar izgubi napajanje ili se isključi tokom inicijalnog šifrovanja, FDE jednostavno nastavlja šifrovanje kada se računar sledeći put uključi. Proces inicijalnog šifrovanja u potpunosti radi u pozadini, tako da korisnici mogu pokretati i druge aplikacije, odnosno nastaviti neometan rad na računaru.
Na kraju, prelazi se na etapu pune implementacije, koja podrazumeva instalaciju FDE sistema na sve kompanijske računare. Zahvaljujući visokom nivou automatizacije prilikom implementacije, moguće je instalirati FDE sistem i na nekoliko stotina računara nedeljno.
Bezbednosni rizici u poslovanju uvek su postojali. Međutim, sa razvojem koncepta mobilnosti u radu i sve masovnijim korišćenjem privatnih uređaja u poslovne svrhe (BYOD), uređaji i podaci na njima postaju sve izloženiji rizičnom okruženju. To od kompanija zahteva promene, prvenstveno na polju sigurnosnih procedura, kako bi se održala kontrola i sigurnost kompanijskih podataka, a u isto vreme podstakla povećana produktivnost koju novi trendovi mobilnosti donose.
Aleksandar Stanojević
0 komentara