Zabezpečení vzdálených poboček

Z pohledu informační bezpečnosti je pro mne naše strategie zaměřená na využití offshoringu noční můrou. Pozoruji m...


Z pohledu informační bezpečnosti je pro mne naše strategie zaměřená na využití
offshoringu noční můrou. Pozoruji mezi našimi partnery nízké povědomí o
požadavcích na informační bezpečnost a zaznamenal jsem i rozdíly v pohledu na
ochranu duševního vlastnictví dané kulturou příslušného národa. Ale navzdory
všemu špatnému, co mně osobně offshoring přináší, nemůžeme si dovolit se ho
vzdát. Takže jsem právě uprostřed své okružní cesty po světě minulý měsíc jsem
navštívil Čínu, Koreu, Singapur a Tchaj-wan, teď mířím do Indie a pak budu
pokračovat do Evropy a do Ruska.
Zaměstnance máme ve všech těchto zemích. Dělají pro nás velmi důležitou práci a
bez těchto partnerů bychom měli udržení své pozice na trhu mnohem složitější.
Naši konkurenti snižují náklady prostřednictvím offshoringu, a tak musíme dělat
to samé i my.
Mít tento fakt stále na mysli může být těžké, zvláště, když mi náš CIO a právní
oddělení stále volají kvůli tomu, aby mne informovali o podezřelém chování
našich zaměstnanců v uvedených vzdálených zemích a o obviněních ze zneužívání
duševního vlastnictví. Ty samé věci se samozřejmě mohou stát i našim
zaměstnancům v USA, avšak počet zpráv o takových aktivitách v těchto vzdálených
lokalitách povážlivě vzrostl. Zákony v uvedených zemích navíc nejsou v těchto
případech vždy jasné nebo dostatečně vymahatelné, takže i když někoho
přistihneme, není toho moc, co můžeme udělat tedy kromě výpovědi.
Tyto okružní cesty mi dávají příležitost seznámit se s bezpečnostními
opatřeními aplikovanými v různých lokalitách a také mohu naše zahraniční
zaměstnance poučit o vážných následcích, které plynou z jejich nerespektování.
Na cestě po východní Asii jsem navštívil některé nejvýznamnější zákazníky naší
společnosti. Ti pravidelně kontaktují naše servisní pracovníky, aby si tak
zajistili standardní údržbu na námi dodávaných zařízeních, která jsou velmi
citlivá na přesnost nastavení vyžadují tedy kalibraci velkého rozsahu
prováděnou na pravidelné bázi. Duševní vlastnictví
Už dříve jsem psal o hodnotě a významu duševního vlastnictví naší firmy, které
je obsaženo v servisních manuálech používaných našimi techniky, a také o svém
zájmu na aplikaci digitální správy autorských práv (Digital Rights Management,
DRM). Jak jsem se již zmínil v předchozích příspěvcích, prodej servisních
služeb představuje významný objem příjmů naší společnosti. Pokud by servisní
návody padly do nesprávných rukou, třetí strana nebo zaměstnanec se zlým
úmyslem by mohli našim zákazníkům nabídnout levnější služby, a my bychom tak
přišli o významné výnosy.
Jelikož jsem se postupně naučil, jak servisní technici skutečně pracují,
zjistil jsem, že pouhým zavedením DRM, bez uplatnění dalších opatření, naše
duševní vlastnictví neuchráníme. Ve většině případů si servisní technici pouze
vytisknou pár stránek manuálu, jenž je jim k dispozici ve formátu PDF, a ty si
pak donesou k zákazníkovi (ukazuje se, že spousta našich zákazníků zavedla pro
vnášení notebooků, CD-ROMů a dalších externích médií přísná opatření). Navíc do
tištěných kopií se dají velmi snadno dopisovat případné poznámky. Když to
shrnu, bezpečnostní požadavky narážejí na provozní potřeby našich techniků.
Dalším problémem je, že některé DRM technologie, o které jsem se zajímal,
vyžadují pro získání informací o nastavených pravidlech připojení k internetu,
jenže téměř všechna zákaznická místa, která jsem navštívil, internetový přístup
omezují.
Drobící se sušenka
Dalším mým krokem v uvedených pobočkách bylo školení o bezpečnosti. Z důvodu
značného vytížení tamějších zaměstnanců mi byla dána k dispozici pouze jediná
hodina, přičemž já sám bych o tomto problému mohl mluvit i šest hodin. Musel
jsem být tedy stručný, takže jsem v prvé řadě hovořil o duševním vlastnictví
naší firmy (musel jsem také překonat problém, že někteří lidé neuměli moc dobře
anglicky). Začal jsem se základními definicemi a pak přirovnal duševní
vlastnictví k čokoládové sušence. Každý má rád sušenky, řekl jsem, a každý má
svůj oblíbený druh. Ale co činí jiné chutnějšími než ty ostatní? Je to recept
suroviny, jejich množství a teplota pečení. Recept továrny na takové sušenky
musí být držen před konkurencí v tajnosti. To je duševní vlastnictví. V naší
společnosti je takovým receptem seznam materiálů (či jinými slovy specifikace
komponent), což je ze své povahy duševním vlastnictvím, jež nás odlišuje od
konkurentů. Zdálo se, že jsem se přes ten problém dostal, a tak jsem měl dost
času zabývat se alespoň základní zmínkou o ochraně před malwarem, problematice
sociálního inženýrství, o našich pravidlech přípustného chování či o
bezpečnosti bezdrátové komunikace.
V každé navštívené geografické lokalitě jsem provedl omezené vyhodnocení
zranitelností. Přivezl jsem si s sebou svůj notebook s Linuxem a Windows. Na
linuxovém oddíle jsem měl nejnovější verzi volně dostupného nástroje Nessus,
který jsem použil k různým skenováním místní sítě, a to včetně uživatelských
počítačů a serverů. Nessus objevil některé počítače, které by mohly být
napadeny škodlivými kódy (otevírají příslušný komunikační port a čekají na
vzdálené připojení). Připravil jsem o tom všem zprávu a prezentoval ji
tamějšímu IT pracovníkovi.
Vzal jsem si s sebou na cesty i svůj PDA iPaq od firmy Hewlett-Packard, na němž
mám nainstalován software Airmagnet, prostřednictvím kterého jsem získal
informace o nezabezpečených bezdrátových přístupových bodech připojených k síti
naší pobočky. Byli jsme schopni se dokonce dopátrat až k tomu, který uživatel
tyto body nainstaloval. Jak jsem předpokládal, přístupové body byly na místním
trhu dostupné za pár dolarů a zmiňovaný uživatel si myslel, že by mohlo být
příjemné procházet se po budově bez nutnosti připojení k pevnému síťovému
portu. Neuvědomil si ale možná bezpečnostní rizika instalace takovýchto doslova
pirátských přístupových bodů a také zřejmě nevzal v úvahu naše pravidla,
kterými jsme takové počínání zakázali. Pravděpodobně nebyly tyto postupy přesně
přeloženy do jazyka, kterému dotyčný pracovník rozumí.
Již po návštěvě čtyř zemí se moje cesta vyplatila. Předpokládám, že těm samým
problémům a výzvám budu čelit i na dalších svých cestách.(pal) 6 1564









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.