Manažer bezpečnosti: Rizikové nezamčené obrazovky Windows

26. 12. 2010

Sdílet

Nová zásada bránící uživatelům vypnout uzamykání obrazovky heslem ve skutečnosti sníží u některých z nich úroveň zabezpečení.

Je děsivé si uvědomit, kolik citlivých a cenných informací lze ukrást z nehlídaného počítače, i když si jeho uživatel jen na chvíli někam odběhl. Patří to do kategorie oblastí, ze kterých mají manažeři bezpečnosti obavy, ale zbytek světa je téměř neregistruje.

Je to jeden z důvodů, proč začínám zavádět skupinovou zásadu k vynucení uzamykání obrazovky heslem na každém zařízení, které se přihlašuje do domény naší firmy. Velmi silným podnětem pro zavedení této zásady byla krádež notebooků, o které jsem před nedávnem psal, ale nejpřesvědčivější pro mne byl přechod na uspořádání našich pracovišť do otevřeného pracovního prostoru (open space).

CSO možná vidí zranitelnosti všude, kam se ohlédnou, ale otevřený pracovní prostor je pro mne jako noční můra. Již jsem viděl příliš mnoho zaměstnanců jen tak odejít od svých počítačů na takovém pracovišti s tím, že nechali na své obrazovce otevřené e-maily, pracovní dokumenty i osobní informace.

V souvislosti s touto změnou nebudou uživatelé už schopni změnit žádná nastavení spojená se zámkem monitoru chráněným heslem – budou si jen smět vybrat spořič obrazovky. Rozhodli jsme se nastavit časovač zámku na 15 minut, což podle mého názoru zvýší celkové zabezpečení v naší firmě, protože dosud mohli uživatelé zámek vypnout úplně – a někteří to také udělali.

Vím to, protože jsme nedávno provedli průzkum počítačů připojených do naší domény, abychom zjistili, jak je nakonfigurován popisovaný zámek. Objevili jsme, že více než 70 procent z našich cca 6 tisíc uživatelů vypnulo nejen požadavek na heslo, ale dokonce i samotný spořič obrazovky.

Tento průzkum však přinesl dilema. Zjistili jsme totiž zároveň, že přibližně 1 500 uživatelů zásadu uzamykání posílilo snížením časového limitu na méně než deset minut, které jsme použili v původní základní konfiguraci. Naše nové zásady tedy budou pro těchto 1 500 uživatelů představovat nastavení slabšího zabezpečení, protože už nebudou moci stanovit čas, který by byl kratší, než 15 minut.

Dělá mi však také starosti, co máme těmto zaměstnancům sdělit. Prokázali pochopení problémů zabezpečení, které se pokouším všem pracovníkům vysvětlovat, a my nyní zavádíme pravidlo, které jako by říkalo, že jejich svědomité plnění bylo zbytečné. Budeme muset nějak zajistit, že je toto sdělení neodvrátí od správného směru.

Když jsem navrhl změnu zásad uzamykání našemu řediteli informačních technologií, chtěl po mně zjistit, jak to dělají ostatní firmy v našem oboru. Mám celkem slušnou řadu kolegů, které znám, takže jsem se jich zeptal, zda vynucují uzamykání obrazovky, jaký u toho používají časový limit, a pokud tak nečiní, jaké v této oblasti používají zásady.

Výsledkem jsem byl překvapen: Jen jedna z 20 firem v mém průzkumu zámek obrazovky požaduje. To nebyl výsledek, který jsem očekával, a zcela jistě jsem nebyl nadšen z jeho prezentace našemu řediteli IT. Nakonec se mnou však souhlasil, že je to jedna z oblastí, kde se vyplatí vybočovat z oborových zvyklostí.

Postupujeme tedy kupředu, i když jsem souhlasil s povolením určitých výjimek. Zaměstnanci oprávnění k nezávaznému nasazení pravidla zahrnují vývojáře a uživatele, kteří často prezentují nebo se účastní on-line konferencí. Výjimky budou realizovány umístěním těchto uživatelů do separátní skupiny Active Directory, která nemá použitou zásadu uzamykání obrazovky.

Mezitím bude pokračovat mé úsilí ve vzdělávání personálu. Navážu na zavedení pravidel rozmístěním poutačů upozorňujících uživatele, že i když se jejich obrazovky nyní automaticky zamknou po 15 minutách nečinnosti, měli by stále používat ruční zamykání obrazovek při opouštění svých počítačů.