Wiele razy w karierze słyszałem pytania czemu się czepiam użytkowników, czemu nie jestem zwolennikiem odblokowania portów USB, a raczej ograniczam dostęp do portów (bądź konkretnych modeli, zatwierdzonych korporacyjnie urządzeń pendrive.
Opowiadam wtedy o:
- łatwości infekcji
- łatwości utraty danych (razem z pendrive)
- trudnościach związanych z bezpiecznym kasowaniem (ze względu na slack space) oraz typowo zarządczych
- trudnościach w monitorowaniu co tak naprawdę jest kopiowane

Są różne sposoby zabezpieczeń, w tym momencie chciałbym przytoczyć informację z "Kopalni Wiedzy" w której opisano, potężny i skuteczny atak na Pentagon, właśnie przy pomocy "klipsu USB". Czy teraz już mi wszyscy wierzą, że bywa to niebezpieczne?
Bankier.pl opisał przygotowaną przez Sky News prowokację - dziennikarka postanowiła sprawdzić jak w rzeczywistości wyglądają czynności wykonywane przez serwisy komputerowe. Traf chciał, że trafiła na Polaka.

Można już się spodziewać, że nie zajmował się on jedynie naprawą sprzętu. Mogę też dodać, że już siedzi za kratkami.
Zainteresowani? - zapraszam na stronę z relacją. A tutaj znajduje się oryginalny tekst wraz z telewizyjną relacją.

To tylko pokazuje jak ważną kwestią jest bezpieczeństwo naszych informacji. Zasada ograniczonego zaufania obowiązuje również w cyberświecie!!!




hmmm, a tak przy okazji - oddawaliście ostatnio w swojej korporacji komputer do naprawy? Wiecie co się z nim działo?
Pewnie nic szczególnego....
Dlaczego tak sądzę?
Bo tak ufam wszystkim administratorom i informatykom pracującym w helpdesku?
Nie bardzo...

Chodzi o to, że oni wcale nie potrzebują fizycznego dostępu do komputera. Przecież wszystko i tak mogą przejrzeć zdalnie. Wiec za późno już kasować plik z hasłami - oni już go mają!
W ubiegłym tygodniu zamieściłem informację o wywiadzie jakiego udzielił Wojciech Wiewiórowski dotyczącym m.in. monitorowania pracowników.
Na stronie Dziennika Gazeta Prawna znalazłem jeszcze inny, trochę wcześniejszy artykuł na ten temat - Praca na podsłuchu

Autorzy zwracają tu uwagę na aspekt dóbr osobistych pracownika, piszą kiedy można tylko informować pracownika o stosowanych zabezpieczeniach, a kiedy należy uzyskać jego zgodę na ich zastosowanie
O tym jak ważne dla przedsiębiorstw jest bezpieczeństwo informacji piszę raczej na bieżąco. Jakiś czas temu na Interii p. Waldemar Podel opublikował artykuł "Ściśle tajne przez poufne" gromadzący prawne wymagania dotyczące ochrony informacji pracodawców.
Bardzo zachęcam do lektury - naprawdę pożyteczny opis. Brakuje mi w nim co prawda odniesień do innych, szczegółowych zagadnień (dane osobowe, informacje niejawne, różnego rodzaju tajemnice zawodowe (lekarska, adwokacka, dziennikarska...)) ale może pojawi się ciąg dalszy.
Inżynieria społeczna jest jednym z największych niebezpieczeństwa dla bezpieczeństwa informacji. Po co się włamywać - przecież wystarczy zapytać i może ktoś nam poda potrzebne dane - to główna myśl jaka przyświeca osobom korzystającym z tego narzędzia do popełniania oszustw.

Pracownicy firm zazwyczaj nie wiedzą jak się zachować gdy z drugiej strony słuchawki słyszą bezczelną, wygadaną i bystrą osobę mającą na dodatek sporo wiedzy o firmie. Pamiętajmy, że pracownicy:
- często są źle wyszkoleni z zakresu bezpieczeństwa
- są źle opłacani
- bywają przemęczeni, zdenerwowani
- gubią się w ilości wewnętrznych procedur firm
- nie wiedzą co tak naprawdę się dzieje w firmie
- pragną spokoju
- muszą być mili i pomocni ponieważ ich zadaniem jest troska o wizerunek.

Ostatnio znów na DevCon był tego typu konkurs. Zresztą polecam pobawić się youtube i po chwili będzie można znaleźć nagrania z poprzednich lat
Dziennik Gazeta Prawna umieścił w sieci rozmowę z Wojciechem Wiewiórowskim.
Szef GIODO opowiada w niej między innymi o dopuszczalnych i niedopuszczalnych sposobach kontrolowania pracowników.

Załączam krotki cytat, po resztę zapraszam na stronę gazety.
Główną zasadą powinno być poinformowanie pracownika, jak jest kontrolowany. Jeśli firma wprowadzi np. wiele zakazów dotyczących użytkowania poczty, pracownicy muszą się z nimi zapoznać. Nie mogą one być przedstawiane dopiero w momencie korzystania z poczty. Obecnie większość firm domaga się, aby pracownicy korzystali ze służbowych skrzynek tylko do celów zawodowych. I słusznie, bo ochrania to interesy pracodawcy, a jednocześnie nie ogranicza znacząco praw pracownika.

Dostałem ostatnio od kolegi (dziękuje Marcin) interesującego linka - na wyspach działa już serwis "ubezpieczający" osoby prywatne przed zagrożeniami utraty tożsamości. Firma ProtectMyId oferuje monitorowanie tego co się dzieje z danymi obywateli wysp. Informuje gdy pojawią się dziwne kredyty czy zakupy, będzie reprezentować pracownika w sytuacji gdy trzeba będzie udowodnić, że padło się ofiarą oszustwa. Polecam szczególnie lekturę kilku przypadków.

Pomysł wydaje mi się bardzo ciekawy. Nie wiem czy w PL jest już odpowiednio dużo tego typu spraw by uruchamiać taki serwis, niemniej pewnie to się kiedyś zmieni. Zwiększenie kar jakich przy okazji można zażądać od firm, które niewłaściwie chronią nasze dane na pewno przyczyniłoby się do popularyzacji serwisu.
Wiem, że badania dotyczące USA niekoniecznie maja odzwierciedlenie w innych miejscach na świecie, niemniej trafiłem ostatnio na ciekawą stronę sporządzoną przez Internet Crime Compliant Center z zestawieniem strat powstałych w wyniku cyberprzestepczości.

Wyraźnie widać drastyczne zwiększenie wielkości strat w ostatnim czasie:
2009 - $559.7 milionów
2008 - $265 milionów
2007 - $239.09 milionów
2006 - $198.44 milionów
2005 - $183.12 milionów

Ciekawe jak to będzie w 2010. Spodziewam się kolejnego znacznego wzrostu.
W swoim najnowszym raporcie Cisco przedstawiło na str 27 artykuł wymieniający 5 sposobów na uszczelnienie bezpieczeństwa. Zamiast podkreślać konieczność inwestycji w technologię czytamy (swobodne tłumaczenie):
1. Pozamykaj niedociągnięcia w zakresie świadomości pracowników
2. Skoncentruj się na zamykaniu starych problemów i zrób to dobrze
3. Kształć pracowników w zakresie bezpieczeństwa, włączaj ich w proces ochrony
4. Zrozum, że jedna bariera bezpieczeństwa nie jest wystarczająca
5. Spójrz na bezpieczeństwo jak na wyróżnik Twojego biznesu

Czyli zero technologii, wyłącznie miękkie zarządzanie o którym piszę na tym blogu. Programy zwiększania świadomości, angażowanie pracowników, wiele warstw zabezpieczeń. Jak miło to czytać. Miód dla moich oczu :)
Kopalnia Wiedzy opublikował kilka dni temu bardzo ciekawy artykuł dotyczący przełamywania zabezpieczeń nowoczesnych - biometrycznych zamków.

Przytaczam fragment, po resztę równie ciekawych informacji zapraszam do źrodła.
"Ofiarą eksperta padł m.in. Biolock 333, który skanuje odciski palców i wpuszcza tylko autoryzowane osoby. Tobias otworzył go... kawałkiem papieru wepchniętym w szczelinę na klucz. Z kolei otwierany cyfrowym kodem Amsec EX1014 poddał się po wsunięciu z szczelinę drzwi cienkiego paska metalu i naciśnięciu nim znajdującego się wewnątrz zamka guzika resetującego kody."
Ostatnio znów powrócił temat korzystania z profili społecznościowych w pracy. Faktycznie jest szereg zagrożeń związanych z tym zagadnieniem, nie jest to jednak (moim zdaniem0 tak drastyczne naruszenie polityk bezpieczeństwa. Podstawową kwestią jaką musi rozważyć firma przy decyzjach czy zabraniać czy nie jest moim zdaniem najzwyklejsze uzasadnienie biznesowe "Czy naprawdę pracownicy muszą korzystać z tego typu rozrywek w czasie pracy"?
Badania pokazują, że na tego typu rozrywkę pracownicy tracą 30-60 minut dziennie. Przy założeniu, że korzysta z tego tylko 30% pracowników firmy liczącej 200 osób przy średniej pensji na poziomie 3500 pln wychodzi, że sama ta nieproduktywność kosztuje firmę prawie 550 pln dziennie czyli niemal 11 tysięcy miesięcznie (nie licząc utraconych korzyści). Firma wpierw musi sobie odpowiedzieć na pytanie czy warto...

A jakie zagrożenia poza utrata produktywności niosą za sobą sieci społecznościowe? Oto parę przykładów:
- możliwość zawirusowania sieci firmowej po kliknięciu na niewłaściwy link polecony przez "przyjaciela"
- psucie reputacji pracodawcy podczas dyskusji typu "mój szef idiota znów zlecił mi głupią pracę..." czy głosowań "kto się dziś nudzi w pracy..."
- zrobienie sobie "kuku" podczas dyskusji na temat ilości wypitego poprzedniej nocy alkoholu i przyznawania się publicznie, że wciąż jest się pijanym
- psucie reputacji firmy przez umieszczanie prywatnych zdjęć (na przykład z imprez alkoholowych o czym przekonał się pracownik banku z Suszu)
- niechętnie widzianą przez niektórych pracodawców większą możliwość znalezienia lepszej pracy

Jak można zaradzić kłopotom związanym z takimi zagadnieniami? Oczywiście sposobów jest parę:
- uświadomienie pracowników w zakresie właściwej pracy z tego typu portalami (instrukcje "internetowego BPH" o których jest mowa w linkowanym artykule wcale nie są złym pomysłem jeśli się je zrobi dobrze)
- oficjalne zablokowanie portali gdy tego typu zachowania zostaną uznane za niepożądane (lepsze to niż monitoring w stylu "wielkiego brata" i późniejsze wyciąganie konsekwencji)
- zarządzanie ilością czasu jaki można spędzać na tego typu stronach (od lat istnieją dobre systemy do kontrolujące surfowanie po sieci)

No i oczywiście:
- stworzenie takiej atmosfery pracy w której nie byłoby osób niezadowolonych
- takie zorganizowanie pracy by nie było czasu na tego typu zabawy
- prowadzenie działalności w taki sposób by nie można już sobie było bardziej zszargać opinii (jak ja dawno nie byłem złośliwy :-)
Zabezpieczając informacje często koncentrujemy się na najważniejszych z nich - bazach danych, krytycznych raportach i zestawieniach.
Równocześnie ignoruje się często drobne fragmenty informacji, które poskładane (niekiedy mozolnie) pozwalają uzyskać pełne informacje bez szczególnego wysiłku.
Walające się wydruki dotyczące sytuacji klienta, wyrzucane do kosza na śmieci notatki z rozmów telefonicznych, robocze wersje punktów audytowych, niewłaściwe uprawnienia do mniej ważnych systemów, nadmiar osób mających dostęp do teoretycznie nieważnych danych, niezamknięta szafka zawierająca wyłącznie wydruki bieżącej korespondencji z klientem, zbyt głośna rozmowa przy obiedzie, bez żadnych szczególnych tajemnic. Takie rzeczy to codzienność.
Pojedynczo te sytuacje nie stanowią większego zagrożenia, niemniej odpowiednio zebrane i przeanalizowane potrafią pokazać naszą sytuację (lub sytuację naszych partnerów czy klientów) w zupełnie inny świetle.

Przytoczę tu słowa Johna Stewarta - CSO w Cisco
Dlaczego hakerom się udaje? Mają szczęście, są cierpliwi, są błyskotliwi. Są również lepiej opłacani niż ty.
Czyli po pierwsze im się chce, po drugie mają czas a po trzecie mają dobry pomysły. Dzięki temu, oraz dzięki temu, że popełniasz te drobne błędy o których napisałem wcześniej to oni mają przewagę...
Pamiętaj - bezpieczeństwo informacji zależy od Ciebie!
Wczoraj na wikileaks.org (wszyscy już chyba wiedzą czym się zajmuje ta strona) pojawiło się coś baaaardzo interesującego. Powiedziałbym, ze to swoiste novum
W dziale dotyczącym wojny w Afganistanie pojawił się plik o nazwie "insurance.file". No i zaczęło się zastanawianie co takiego posiadają twórcy strony. Biorąc pod uwagę ostatnie oskarżenia, przesłuchania itp można zakładać, że jest to coś czym będą próbowali zaszantażować rząd USA. Teraz pewnie hakerzy (i dziennikarze) z całego świata będą próbować to sobie zaciągnąć i spróbować złamać zabezpieczenia.

Rozumiem intencje, niemniej uważam,że wolność słowa powinna mieć swoje granice. Informacja naprawdę może wyrządzić bardzo rzeczywiste szkody. A szantażu szczególnie nie lubię.
Wyborcza.biz opisała dziś zagadnienie porad medycznych na telefon. Autorzy opisywali jak wygodniejsze życie mogą mieć pacjenci gdy zostaną wprowadzone tego typu usługi.

Niestety w życiu często tak to bywa, że jeśli coś jest wygodniejsze to często jest mniej bezpieczne (pamiętacie system operacyjny DOS i brak wielowątkowości - żaden dzisiejszy trojan by tego nie obszedł)

Czytając artykuł od razu wyobrażałem sobie różnego rodzaju zagrożenia związane z telemedycyną:
- gdyby już nie tylko monitorować serce ale i być w stanie zdalnie na nie wpłynąć (kwestia czasu jak zakładam) to można by przechwycić sygnał i zdalnie kogoś uśmiercić;
- przechwyconą transmisję z serca dotyczącą poważnych kłopotów można zagłuszyć i zmodyfikować na "wszystko OK" czym doprowadzi się do śmierci;
- przy zdalnych konsultacjach jeszcze wygodniejsze byłoby wyłudzanie lekarstw na recepty;
- wyobraźmy sobie sytuację podszywania się pod centrum medyczne i udzielania porad medycznych "dla jaj";
- teoretycznie rozszerzony dostęp do wiedzy medycznej można łatwo spożytkować do np. wyciągania informacji o alergiach i uczuleniach (celem uśmiercenia);
- szerszy dostęp to więcej szans na nieautoryzowaną modyfikację danych (na przykład grupy krwi), co może się skończyć w wiadomy sposób;
- no i pomyślmy o firmach oferujących ubezpieczenia na życie - wszystkie informacje mieliby dostępne online (tu na przykład mogłaby im przyjść z pomocą socjotechnika).
Może w przyszłości faktycznie będziemy się leczyć online. Ja jednak byłbym tu ostrożny. Bardzo ostrożny!
Cisco właśnie opublikował najnowszy raport bezpieczeństwa.
Ponieważ jakoś przeoczyłem poprzedni tym chętniej zabrałem się do lektury.
W tym momencie tylko sygnalizuję,że istnieje ta pożyteczna lektura, w najbliższych dniach napiszę o niej coś więcej.
Rafał Rudnicki opublikował na blogu kolejny artykuł na temat ryzyka.
Miedzy innymi zajmuje się tematyką różnicy między ryzykiem a szansą.
Te zagadnienia są sobie szczególnie bliskie.
Trzeba ryzykować by osiągnąć korzyść, wybić się przed konkurencję, wprowadzić nowe usługi itp. Jeżeli nam się uda to wspaniale - wygrywamy. Jeżeli nie to ponosimy stratę. Przytaczając Paula Hopkina zwraca uwagę na 2 rodzaje sytuacji, które zawsze są negatywne, które nie mogą zamienić się w korzyści:
Ryzyka hazardowe (ogień, powódź, kradzież, utrata klienta) mogą być wyłącznie negatywne (akademicy nazwaliby je ryzykami czystymi). Pojęcie tego ryzyka pojawiło się już dawno - jeszcze przed latami 80-tymi. Menedżer ryzyka będzie się starał zmniejszyć możliwą do wystąpienia stratę.
Jest jeszcze "ryzyko kontroli" lub po prostu ryzyko niepewności czy też ryzyko spekulacyjne - to pojęcie pojawiło się w latach 90-tych. Podobnie jak w ryzykach hazardowych możemy mieć do czynienia jedynie z bilansem ujemnym, ale ma on nieco inne podłoże. Ryzyko kontroli dotyczy zjawisk które z natury obarczone są niepewnością, a do wyników których chcemy mieć jak najwyższą pewność (np wynik prowadzonych projektów). Bilans ujemny to niekoniecznie wynik działania samego ryzyka, ale nakłady jakie jesteśmy skłonni ponieść na kontrolowanie tego typu ryzyk - sprowadzenie wszystkich możliwych scenariuszy i wyników do jak najwęższego zakresu; to jest zwykle zadanie risk managera.
Zachęcam do lektury całego artykułu.