Promiskuitní synchronizace nová dimenze ohrožení

Handheldy a bezpečnost dat Zápletka příběhu je velmi prozaická: Handheldy jsou dnes už prostě všude a často obsahu...


Handheldy a bezpečnost dat
Zápletka příběhu je velmi prozaická: Handheldy jsou dnes už prostě všude a
často obsahují množství citlivých firemních dat, která není příjemné ztratit,
resp. způsobit jejich únik. Tím pádem vyvstává otázka, jak jejich úniku
zamezit? Opatrností? Pomocí hesel? Firemní politikou?
Podle odhadů GartnerGroup bude v roce 2003 vlastnit zařízení s bezdrátovým
připojením 1 miliarda uživatelů, z čehož 600 milionů jich takto bude mít
přístup k Webu. A samozřejmě čím jich bude více, tím větší může být i počet
majitelů, kterým kromě užitku přinesou i starosti.
V poslední době se stále více dostává na výsluní zájmu IT manažerů pojem
"promiscuous synchronizing", tedy volně přeloženo nekontrolovaná, volná
synchronizace. I Charles Novak si s ním pomalu začíná dělat starosti. Co však
dělat? I přes varování bezpečnostních expertů neustále odkládá rozhodnutí, zda
doporučit či umožnit tělesné prohlídky zaměstnanců, u nichž hrozí podezření, že
citlivá data přenášejí v kapesních počítačích nebo telefonech.
Jeho situace je nezáviděníhodná, neboť společnost Westinghouse Savannah River,
v níž je zaměstnán, zpracovává plutonium pro federální vládu. Možné zneužití
firemních dat by tady mohlo mít nedozírné následky bezpečnost je proto
pochopitelně na 1. místě. Handheldy a mobilní telefony jsou zcela jiná
kategorie než např. notebooky, u nichž bylo podobnou situaci nutné taktéž
vyřešit. Je tedy nezbytné stanovit pro tuto kategorii zařízení trochu jinou
politiku při jejich použití.
Příliš mnoho rizik?
"Připojení čehokoliv do sítě přináší určité riziko," říká David Gerstenlauer,
ředitel pro vývoj sítí ve firmě Ikon Office Solutions. "A co se týká různých
PDA, mobilních telefonů nebo pagerů, zakrátko budou k sítím připojeny všechny."
Nejen analytikové, ale i samotní manažeři mají obavy z toho, že nezodpovědný
zaměstnanec nebo dokonce nějaký vyzvědač může velmi rychle stáhnout data do
přístroje s pamětí až 128 MB. Nikdo se o tom dokonce ani nemusí dovědět.
Částečně proto, že synchronizace handheldů je velmi jednoduchá, takže je
odborníky označována jako promiskuitní, nekontrolovaná. Navíc některé přístroje
mají tak malé rozměry, že není těžké je dobře schovat. Spousta jich už dnes
umožňuje také posílat pakety dat bezdrátově, či prostřednictvím infračerveného
portu.
Ač to zní poněkud primitivně, je logické, že největší riziko plyne ze ztráty
přístroje. Zvláště jestliže nemá přístup dostatečně zablokován heslem. Stále se
množí případy, kdy např. lékař ztratí PDA s údaji o svých pacientech. Pravda,
taková data budou většině nálezců k ničemu, ale ztratíte--li takto seznam svých
hesel pro on-line obchodování, zřejmě vám úsměv zamrzne na rtech.
Je přirozenou vlastností manažerů, že dříve, než se definitivně rozhodnou pro
drahá protipatření, chtějí si ověřit, že riziko úniku dat je opravdu tak velké.
Samozřejmě ne pro každého má ochrana firemních dat stejnou důležitost. V
současné době jsou tato rizika zatím ještě stále podceňována, ale podle
analytiků GartnerGroup by se to v příštím roce mělo změnit.
Bezpečnostní problémy spojené s užíváním handheldů vyžadují legální,
administrativní a technická opatření. Ani zdánlivě jednoduché kroky nelze
podceňovat. Za přístroje by měla zaplatit firma, nikoliv jednotliví zaměstnanci
jinými slovy, handheldy by měly být vlastnictvím podniku. Dále by měl být
synchronizační software nainstalován na server a své udělá i zvýšení standardů
pro použití hesel a šifrování (jestliže jsou zařízení připojena k bezdrátové či
jiné síti).
Např. zmíněný Westinghou
se připravuje pro svých 15 000 zaměstnanců dohodu o použití handheldů. Bude
podobná dohodě o laptopech, která zde už platí. Dohoda především požaduje
ochotu vzdát se dat v handheldu i v případě, že se jedná o osobní vlastnictví.
Politika společnosti ohledně notebooků je stanovena tak, že pokud má úředník
oprávněný ke kontrole jakékoliv podezření, může jednoduše vrátit zaměstnanci
notebook minus harddisk. Novak si ale stále není jistý, jakým způsobem provést
"vyčistění" ROM paměti v PDA, aby pak mohl být vrácen uživateli.
Dalším problémem, se kterým se setkal, je nemožnost spolehlivé identifikace
některých handheldů. Např. zjistil, že PDA společnosti Handspring nemají žádné
identifikační číslo ROM, což znemožňuje zjistit, zda zaměstnanec vešel do
budovy s tímtéž přístrojem, se kterým vešel.
Podobné problémy by se podstatně zjednodušily tím, kdyby společnost mohla
vyžadovat, aby veškerá firemní data byla přenášena pouze na přístrojích, které
jsou v jejím vlastnictví. Náklady lze minimalizovat např. omezením nákupu na
několik vybraných druhů produktů.
Dalším krokem je omezení na firmou schválené druhy synchronizačního softwaru
instalovaného na podnikovém serveru namísto různých programů, které jsou
dodávány s každým přístrojem. Jenom tak je možné monitorovat, kdo firemní data
stahuje.
Bezpečné transakce
Některé firmy, které se snaží prosadit na trhu prodeje produktů či služeb
prostřednictvím handheldů a Webu, argumentují, že bezpečnost nutně musí být
jejich prioritním zájmem. Jinak zkrátka zákazníky nezískají.
Joseph Ferra, viceprezident společnosti Fidelity Investment, s tím naprosto
souhlasí. Tvrdí, že jejich firma neuvede aplikaci, dokud není její bezpečnost
zaručena. Fidelity zprovoznila už v roce 1998 službu InstantBroker, která
umožňuje obchodování s akciemi přes pagery a bezdrátové handheldy. Firma
pracuje na zajištění bezpečnosti digitálních certifikátů, aby mohla nabízet
bezdrátovou službu pro bezdrátové on-line vypisování šeků. Pro veškeré
transakce je standardem 128bitové šifrování.
Podle analytiků GartnerGroup nebyly jejich dřívější zkušenosti s bezdrátovými
transakcemi zcela uspokojivé. Pescatore uvádí, že spolu se svým kolegou se v
prosinci minulého roku pokusili objednat knihu z Amazon.com prostřednictvím
mobilního telefonu Sprint PCS Group. Zjistili, že telefon umožnil zadat jméno a
heslo již zaregistrovaného uživatele. Ovšem heslo v tomto případě na displeji
nebylo nahrazeno písmeny "X", jak jste zvyklí u PC. Už tady tedy dochází k
určitému porušení běžných bezpečnostních opatření.
Důvod je jednoduchý: Firma Sprint PCS se pro toto řešení rozhodla z toho
důvodu, že heslo musí být viditelné na displeji pro kontrolu, neboť je psáno na
malé klávesnici s pouhými 10 klávesami.
Co je však horší, celá transakce proběhla tak, že Amazon automaticky vyúčtoval
nákup na jednu z Pescatoreho starší kreditní kartu bez jeho autorizace. To by
se rozhodně stát nemělo. Alespoň jedno zástupci Sprint PCS přiznávají otevřeně:
To, že telefon si cachuje heslo takovéto transakce do své paměti, by se asi v
budoucnu stávat nemělo.
Nejde však jen o finanční transakce jako takové. Před zneužitím je třeba
ochránit i např. osobní data klientů pojišťovny. I ta mohou být zneužita, a
pokud by se tak stalo, určitě by to nepřispělo k dobré pověsti dané
společnosti. Alan Reiter, analytik firmy Wireless Internet And Mobile
Computing, k tomu říká: "Nejde jen o samotnou bezpečnost, poskytovatelé
podobných služeb by si měli uvědomit, že je musí zajímat i zajištění soukromí
zákazníků."
Hrozba má jméno LAN
Analytikové se však přesto příliš neobávají krádeže dat při bezdrátovém přenosu
v dálkové síti společnosti (WAN). Největší starosti jim dělají naopak
konstantně připojená PC v bezdrátové síti LAN. Pokud se hackerovi podaří najít
bezdrátový LAN router, je pravděpodobnost, že se do ní dostane, mnohem vyšší.
Výrobci jsou si však tohoto nebezpečí vědomi a pracují na způsobu, jak
bezdrátový LAN před nebezpečím hacku ochránit.
Jednoduchým a levným způsobem, jak redukovat rizika spojená s handheldy, jsou
požadavky na hesla: Jejich délka by měla být alespoň 6-8 znaků, a to s využitím
velkých a malých písmen nebo interpunkčních znamének. Hesla mohou být
přidělována manažerem a obměňována např. každý měsíc.
Pokud vám dělala starosti bezpečnost dat v souvislosti s používáním notebooků,
pak vězte, že u handheldů to bude jen horší. Jsou jednodušší a menší, čímž se
zvyšuje riziko ztráty nebo krádeže. Vše, co z hlediska bezpečnosti
představovalo problém u laptopů, bude (nebo vlastně už je) u PDA problémem
mnohem citlivějším. Většina uživatelů má totiž přirozeně tendence si do nich
ukládat firemní data, aniž by si uvědomovala, že takto mohou způsobit
nepříjemný únik informací.
0 1662 / wepn









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.