Odhalte nespolehlivého outsourcingového partnera

1. 1. 2016

Sdílet

 Autor: © badmanproduction - Fotolia.com
Dodavatel programovacích služeb nabízí skvělou cenu za kvalitní práci, ale zároveň možná krade firemní zdrojový kód.

Naše firma stále hledá způsoby, jak ušetřit peníze. Jeden z posledních manévrů – outsourcing vývoje softwarového modulu – se nám však málem vymstil.

Vybrali jsme dodavatele z jihovýchodní Asie nejen na základě jeho extrémně nízkých cen, ale také podle kvality, jíž se v minulosti prezentoval a která byla mnohem lepší než u jiných levných zahraničních lokalit.

Nedávno jsme se rozhodli snížit počet najatých inženýrů pracujících na zmíněném projektu a dodavatel následně jednoho z těchto pracovníků propustil. A ten nám vzápětí oznámil, že jeho zaměstnavatel používal náš zdrojový kód i k vytváření konkurenčního produktu.

Nemohl nebo nechtěl nám poskytnout více informací, ale řekl, že se náš zdrojový kód kopíruje na disky USB, abychom takovou aktivitu nezjistili, a poté se sdílí v rámci této dodavatelské společnosti.

Museli jsme tedy velmi rychle jednat, abychom toto obvinění ověřili a zastavili krádež dříve, než by došlo k uloupení veškerého našeho zdrojového kódu.

 

Ve slepé uličce

Zásady naší společnosti určují, že dodavatelé pracující ve sféře výzkumu a vývoje musejí používat námi poskytovaný hardware (přenosné počítače apod.). To je první dobrý krok, ale moje preference samozřejmě směřují k použití tohoto hardwaru pro implementaci opatření, která by chránila naše duševní vlastnictví. Bohužel s těmito notebooky neděláme nic zvláštního.

Také v této malé pobočce nemáme žádné monitorovací zařízení. Teď, když zoufale potřebujeme monitorovat její provoz, jsme se rozhodli ho tiše přesměrovat do Singapuru, kde máme hlavní centrum s nedávno nasazenou technologií prevence úniku dat (DLP).

Dále jsme v pobočce podezřelého dodavatele tajně nasadili agenty koncových bodů DLP do počítačů. Nyní máme plnou viditelnost, a to jak na síťové vrstvě, tak i v koncových bodech.

Už během několika hodin jsme zaznamenali problém. Dva softwaroví inženýři pracující na projektu kopírovali obrovské množství zdrojového kódu ze svých stolních počítačů (kde se ale vlastně žádný zdrojový kód neměl nacházet) na externí disky USB.

Chtěli jsme tato data zablokovat a znemožnit jejich přesun na disky USB. Zvažovali jsme možnost blokace pomocí systému BIOS, ale to se ukázalo jako obtížné. Náš technik by totiž musel zajet na místo a nakonfigurovat BIOS všech počítačů přímo na pobočce tohoto dodavatele.

Nejenže by to zabralo hodně času, ale vypnutím portů USB ze systému BIOS by zároveň přestala fungovat všechna potřebná legitimní zařízení jako USB myši, klávesnice či webové kamery.

Dále jsme zvažovali využít k blokaci disků USB agenta DLP koncového bodu, ale věděli jsme o chybě, která tomuto modulu brání v rozlišování mezi disky USB a druhým pevným diskem v notebooku. Náš dodavatel DLP pracuje na opravě tohoto problému, ale zatím ji bohužel nemáme.

Zkoumali jsme také použití objektů Microsoft GPO (Group Policy Objects). To může fungovat z dlouhodobého hlediska, ale my jsme potřebovali rychlou nápravu.

 

Nezbytné změny

Rychlé a nestandardní řešení, které jsme vybrali k blokování externích úložných zařízení, nakonec spočívalo ve změně konfigurace zásad našeho antivirového softwaru pro koncové body.

Nikdo nemusel cestovat na dotyčné místo a ani se nevyřadila zařízení, jako jsou myši a klávesnice. Kriticky důležité se ukázalo, že používáme zásadu, která uživatelům znemožňuje vypnout antivirovou ochranu.

Teď, když máme větší pocit bezpečí v souvislosti s děním na pobočce našeho zahraničního dodavatele, budeme spolupracovat s naším právním oddělením a s oddělením lidských zdrojů na podrobnějším vyšetřování úniků zdrojového kódu.

Zmíněná asijská firma pro nás už asi dlouho pracovat nebude. A já budu navíc prosazovat omezení využívání disků USB také na všech podnikových zařízeních používaných ke zpracování citlivých informací.

 

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

 

bitcoin školení listopad 24

Tento příspěvek vyšel v Computerworldu 5/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.