Zaposleni nisu svesni koliko je lako izgubiti poverljive podatke na prenosivoj memoriji

Čini se da zaposleni danas nisu ni svesni koliko je lako zagubiti poverljive podatke uskladištene na prenosivoj memoriji. Bilo da fleš disk ispadne iz džepa ili na sedištu taksija, ili ga zajedno sa jaknom damo na hemijsko čišćenje (začudićete se koliko je ovo čest slučaj) informacije su izgubljene zauvek.

Na temu GDPR regulative, sigurnosti podataka u pokretu i korišćnjenju enkriptovanih fleš diskova razgovarali smo sa Dejanom Škuletićem, menadžerom za razvoj poslovanja kompanije Kingston za područje Srbije, Crne Gore, Bosne i Hercegovine, Hrvatske i Makedonije.

Kao kompanija koja se bavi osiguravanjem podataka u pokretu, imate li informaciju koliko često preduzeća zaista izgube podatke i da li i dalje vlada masovna upotreba USB fleš diskova u preduzećima širom Evrope?

Nedavno sprovedena istraživanja potvrđuju da ljudi zaista često gube svoje USB prenosive memorije. Prema istraživanjima sprovedenim u Velikoj Britaniji, više od 22,000 USB fleš diskova završi na hemijskom čišćenju tako što su ostali u džepu od pantalona ili jakne. Samo polovina njih bude vraćena nazad vlasnicima. Takođe, u 2016. jedan od zaposlenih Barclay banke izgubio je fleš disk sa poverljivim podacima 13.000 njihovih korisnika. Iz tog razloga važno je razumeti da nije bitno da li se fleš disk koristi svakodnevno ili veoma retko, da li je za potrebe posla ili u privatne svrhe, bilo da se zaposleni, korisnik ili posetilac priključi na kompanijsku
komjutersku mrežu koristeći USB prenosivu memoriju koja nije enkriptovana, organizacija je izložena riziku. Neoprezno rukovanje može veoma lako imati negativne posledice. Ne toliko davno IBM je, ne znajući, podelio zaražene USB fleš diskove učesnicima na konferenciji o bezbednosti u Australiji. To nije jedini mogući scenario. Uzmimo kao primer momka koji radi u prodajnom sektoru neke kompanije i recimo da je on kupio jefini fleš disk u lokalnoj prodavnici malih kućnih aparata. On odluči da jednog petka popodne podatke svojih klijenata ponese kući kako bi imao više vremena da ih pregleda. Međutim, recimo da mu, na primer, prenosiva memorija ispadne iz jakne u baru tokom nakon posla. Ili u taxiju na putu ka kući. Da ga izgubi na takvom nekom mestu, USB mu najverovatnije nikada ne bi bio vraćen, a sa njim bi u ko zna
čije ruke dospeli lični, poverljivi podaci njegovih klijenata. Dakle, USB fleš diskovi mogu i najčešće i predstavljaju bezbednosni rizik. To se odnosi kako na mala, tako i da srednja i velika preduzeća, na sve sektore, bilo gde na svetu.

Kako je usvajanje GDPR regulative sve bliže, šta po Vašem mišljenju moraju da učine kompanije kako bi njihovo poslovanje bilo u skladu sa GDPR-om?

Smatram da kompanije moraju da razmišljaju unapred i da smanje rizike rukovodeći opasnostima. Mislim da postoji 5 glavnih oblasti o kojima treba razmišljati kako biste bili sigurni da poslujete u skladu sa GDPR regulatiom. Te oblasti zahtevaju sledeće korake: postaviti administratora za čuvanje podataka, uspostaviti program cyber zaštite, garantovati sigurnost u obradi podataka, osigurati dokumentovanje i praćenje odgovornosti i razumeti šta znači poslovati u skladu sa regulativom.
Da bi poslovale u skladu sa regulativom kompanije bi trebalo pre svega da izvrše samoevaluaciju. Svakoj kompaniji koja ima više od 250 zaposlenih neophodna je osoba koja bi se bavila isključivo bezbednošću podataka. Preduzeća takođe moraju izvršiti unutrašnju reviziju rukovanja ličnim identifikacionim podacima zaposlenih i njihovih klijenata. Tada, poslodavci treba da dokumentuju kako interne tako i eksterne uređaje koji skladište podatke i izvrše analizu inventara, što znači evaluaciju ukupnog broja ličnih podataka. Nakon toga, potrebno je eliminisati arhivu nepotrenih ličnih indentifikacionih podataka, a zatim i proceniti rizike sa kojima
se mogu suočiti i izvršiti procenu mogućeg uticaja. Na kraju, preduzeća moraju implementirati potrebne zaštitne mere, tehničke standarde i polise, kao što je enkripcija ličnih podataka, u cilju smanjenja neusklađenosti sa regulativom. Ovo će biti od velike važnosti preduzećima u narednom periodu donošenjem polisa koje će biti obavezne nakon maja 2018. Postoji nekoliko opcija koje bi mogle da pomognu firmama da njeni poverljivi podaci ostanu poverljivi i da budu u skladu sa novom GDPR regulativom, dok enkriptovani fleš diskovi mogu pomoći u opcijama za enkripciju. Enkripcija podataka mora biti razmatrana zajedno sa nizom različitih tehničkih i
organizacionih mera bezbednosti. Najbolje vreme za razvitak plana u vezi sa enkripcijom USB fleš diskova jeste pre nego što morate i dokazati da vam je isti potreban – na taj način se usklađuju enkriptovane prenosive memorije i polise u bezbednosnu strategiju celokupnog preduzeća.

Da li GDPR zahteva određeni nivo enkripcije na uređajima ili je bilo kakva enkripcija dovoljna za poslovanje u skladu sa GDPR regulativom?

Nivo enkripcije je važan, ali ono što je još važnije je da kompanije obezbede efikasnu upotrebu rešenja. Kada pominje enkripciju podataka, GDPR kaže da je implementacija odgovarajućih tehničkih i organizacionih mera u cilju osiguravanja određenog nivoa zaštite u skladu sa mogućim rizikom…što uključuje i enkripciju privatnih podataka. Kingston nudi opcije enkripcije koje obuhvataju širok spektar zaštite, od najnižeg do nivoa vojne bezbednosti. Na kompaniji je da razume sopstvene potrebe i preduzme odgovarajuće bezbednosne mere.

Koliko je teško kompanijama da primene rešenja koja podrazumavaju enkriptovane fleš diskove i utiče li to na zaposlene i njihov proces rada? Da li je enkriptovana USB prenosiva memorija komlikovanija za upotrebu od običnih fleš diskova?

Postoji nekoliko taktika koje IT profesionalci usvajaju u ciljlu da smanje rizik upotrebe  USB uređaja. Naravno, neke opcije su efikasnije od drugih, ali nisu odgovarajuće za određen tip organizacije. Neke kompanije možda, na primer, ograničavaju upotrebu USB fleš diskova u određenim sektorima. Druge organizacije autorizuju enkriptovane USB memorije i drže na računarima alate koji automatski unište sve druge fleš diskove, ili čak možda potpuno uklone USB konektore sa računara. Kada su polise komplikovane za impl ementaciju, ali je i potpuna zabrana USB fleš diskova nepraktična, enkriptovana prenosiva memorija može biti jednostavno, ali idealno rešenje. Na primer, Kingstonov IronKey USB uređaj nudi XTS enripciju i FIPS sertifikat. Bilo da je USB fleš disk ukraden ili izgubljen, da je zaboravljen u restoranu ili dat u ruke korporativnom špijunu, tajne neće biti otkrivene. Neovlašćeni korisnici neće moći samo da ubace fleš disk u računar i da pogledaju informacije koje su sačuvane na njemu. Enkriptovane USB prenosive memorije danas imaju različite kapacitete i nude poboljšano rukovođenje i bezbednosne mere, što ih čini još moćnijim u borbi protiv rizika koji nosi upotreba USB fleš diskova. Na primer, određeni Kingston IronKey modeli nude zaštite anti-virus programom i kopleksnom šifrom, kao i tehnologiju koja ostavlja tragove ukoliko neko pokuša da otvori sam disk. Neki modeli takođe imaju mogućnost administracije iz daleka (ne morate biti u fizičkomkontaktu sa USB fleš diskom) putem softvera koji dozvoljava IT administratorima da obnoveaktivnost datoteka, resetuju šifru, sprovedu polise, čak i da onemoguće fleš diskove u potpunosti, zaključavajući ih u slučaju krađe ili gubitka. Kompanije takođe mogu da koriste druge tipove softvera za rukovođenje kako bi određenih diskova stavili na listu dozvoljenih, pomažući u sprečavanju neovlašćenih uređaja da pristupe mreži. Ovi napredne karakteriste enkriptovanih fleš diskova mogu da pomognu u kreiranju moćne barijere protiv bezbednosnih pretnji koje mogu biti prouzrokovane korišćenjem USB fleš diskova.