Najsłabsze ogniwo IT - źli użytkownicy!
27 grudnia 2007 11:52
NetWorld
Szefowie departamentów IT kilku dużych organizacji w USA opowiadają o zachowaniach użytkowników przyprawiających często o wielki ból głowy. Część z nich w pełni świadomie zamienia życie działu IT w koszmar!
Bret Moeller pełni funkcję szefa departamentu IT na jednej z wyższych uczelni (Bunker Hill Community College). Jest świadomy tego, że studenci kierunków informatycznych często eksperymentują z technologią. Z drugiej jednak strony, na pewno wolałby, żeby ich doświadczenia nie sprowadzały się do ataków na sieć akademicką.
"Zdarzają się studenci, którzy odkrywają, że ich jedynym powołaniem jest złamanie szkolnej sieci. Robią to zasadniczo z dwóch powodów: chcą uzyskać dostęp do zabronionej dla nich informacji lub po prostu udowodnić, że są w stanie spowodować awarie sieci." - twierdzi Moeller.
Człowiek jest największym zagrożeniem bezpieczeństwa
Większość firm twierdzi, że posiada wdrożoną politykę bezpieczeństwa. Nadal jednak zdarzają się wycieki informacji. Zdaniem ekspertów winny jest brak edukacji użytkowników i wymuszenie postępowania zgodnego z zasadami bezpieczeństwa.
Użytkownicy albo nie znają obowiązujących reguł, albo nie boją się konsekwencji ich nie przestrzegania.
"Możemy wykryć skanowanie w naszej sieci. Próbujemy wszystko maksymalnie zabezpieczyć i pozamykać. Nie zezwalamy na instalowanie oprogramowania na stacjach roboczych. Czasami jednak nasze środki zapobiegawcze okazują się niewystarczające. Nie jesteśmy w stanie kontrolować naszych użytkowników końcowych w stopniu, w jakim jest to możliwe w korporacjach. Nie mniej jednak robimy wszystko, co w naszej mocy, aby utrzymać bezpieczne środowisko odporne na użytkownika." - dodaje Moeller.
Bret Moeller ma więcej wspólnego z szefami IT w dużych przedsiębiorstwach, niż sam sądzi.
Ostatnie badania przeprowadzone przez Ponemon Institute pokazują, że większość użytkowników nie przestrzega firmowych standardów bezpieczeństwa i robi to z premedytacją. Dodatkowo, RSA opublikowało materiały, z których wynika, że pracownicy swoim codziennym zachowaniem narażają sieć i dane korporacyjne na niebezpieczeństwo. Użytkownicy i czasy się zmieniły. W Internecie można znaleźć niezliczone strony opisujące jak ominąć narzucone zasady bezpieczeństwa.
Pracownicy IT, oficerowie bezpieczeństwa znajdują się między młotem a kowadłem.
Nadużywanie pamięci przenośnych
Więcej niż połowa badanych przez Ponemon Institute potwierdza kopiowanie poufnych informacji na pamięć USB. Według 87% respondentów takie postępowanie jest zabronione przez politykę firmy. Jednakże 40% przyznaje, że świadomie narusza zasady, ponieważ nikt nie wymaga ich przestrzegania. Jedna piąta wprost twierdzi, że nikogo nie obchodzi, czy ktoś używa przenośnych pamięci. Blisko 30% wyznaje, że złamało zasady bezpieczeństwa, gdyż inaczej nie skończyliby pracy na czas.
"Nieustannie próbujemy zachować równowagę pomiędzy dostępem do informacji i obroną jej przed nieautoryzowanym użyciem." - mówi James Kritcher z White Electronic Designs. "Stale rośnie nam ilość kont, haseł i mechanizmów do zarządzania uprawnieniami użytkowników. W rezultacie wraz z rosnącą złożonością i skomplikowaniem naszych systemów, rośnie prawdopodobieństwo nieuprawnionego dostępu." - konstatuje Kritcher.
Prywatna poczta w pracy
45% ankietowanych twierdzi, że korzysta z prywatnych kont pocztowych w pracy poprzez interfejs www (zachowanie takie naraża sieć na m.in. wirusy). Zdaniem 74% działania takie nie są zabronione przez pracodawcę.
Na przykład, użytkownicy mogą nieświadomie przydzielić złe uprawnienia współpracownikom, przyjaciołom, rodzinie, zwłaszcza, jeśli udostępniają pliki i inne zasoby. Częstym błędem jest brak zmiany haseł. Firmy posiadają zdefiniowane zasady odnośnie polityki haseł, ale użytkownicy traktują je bardziej jak zło konieczne, niż zabezpieczenie.
"To zabawne, że użytkownik nie podchodzi serio do zmiany haseł. Myśli najczęściej, że staramy się mu utrudnić życie, każąc używać skomplikowanych haseł zmienianych, co kilka tygodni." - podkreśla Craig Bush, administrator sieci Exactech. "Moim zdaniem użytkownikom końcowym brakuje świadomości konsekwencji jakie niesie ich lekkomyślność. Nie wiedzą oni, że istnieją narzędzia, które mogą wykorzystać ich (słabe) hasła do przejęcia informacji, czy nawet uszkodzenia całej sieci."
Zgubione nośniki
Blisko 40% badanych przyznaje się do zgubienia lub zawieruszenia urządzenia wyposażonego w pamięć (np. komórka, PDA, pamięć USB, iPod lub laptop). Jednak więcej niż 70% nie zgłasza natychmiast faktu zaginięcia. Prawie jedna trzecia robi to po kilku dniach. 43% twierdzi, że polityka firmy nie opisuje takich sytuacji. Zaś 13%, że procedury nie określają po jakim czasie należy poinformować o incydencie.
Z drugiej strony często to ci nadążający za technologią powodują najpoważniejsze problemy. "Użytkownicy w naszej firmie zainstalowali sobie bezprzewodową sieć." - wyznaje Martin Webb, kierownik IT jednego z urzędów w Kanadzie. "Użyli popularnego punktu dostępowego, który domyślnie ma wyłączone wszystkie opcje związane z bezpieczeństwem. Jest przez to łatwy w instalacji, ale natychmiast naraża na niebezpieczeństwo sieć do której został podłączony. Większość takich przypadków jest nieszkodliwa, bez wrogich intencji itp., ale to jedno z zagadnień, które musimy kontrolować. Inaczej może być za późno."
Życie prywatne w pracy
45% respondentów wyznaje, że pobiera z Internetu oprogramowanie i instaluje je na służbowym komputerze. 40% przyznaje, że czyni tak wbrew zaleceniom polityki firmy.
Mieszanie pracy i życia prywatnego
Źródłem innego powszechnego problemu jest sytuacja, w której pracownik zabiera pracę do domu. Pamięci przenośne (USB, dyski) są na tyle duże i łatwe w użyciu, że mogą pomieścić sporo tajnych dokumentów. Ich nieuzasadnione użycie może rzucić firmę na kolana. Taka jest przynajmniej opinia Alberta Ganzona dyrektora działu IT jednej z dużych kancelarii prawniczych w San Francisco.
"Przenośna pamięć pozwala na zachowanie danych pobranych z sieci. Następnie można po prostu ją zabrać i wyjść. Takim przypadkom trudno zapobiegać. Nie możemy po prostu wyłączyć obsługi USB, nie tracąc na funkcjonalności komputera." - wyjaśnia Ganzon. "W naszym firmie zachowanie poufności danych ma najwyższy priorytet."
Telepraca
Wysłanie dokumentu jako załącznik email na adres prywatny może być postrzegane jako naruszenie zasad bezpieczeństwa. Jedna trzecia wprost przyznaje, że tak robi. Blisko połowa nie jest w pełni świadoma, że w ten sposób postępuje wbrew zaleceniom. Jedna trzecia przyznaje, że nikt nie pilnuje tej zasady i nie wyciąga konsekwencji w przypadku jej naruszania.
Ganzon nie wierzy, że ludzie celowo wystawiają sieć, przedsiębiorstwo czy dane na niebezpieczeństwo. Jest jednak świadomy, że pracując ludzie mogą odsunąć na bok zalecenia dotyczące bezpieczeństwa, gdyż zależy im przede wszystkim na wykonaniu swojej pracy. Nie myślą wówczas o potencjalnych konsekwencjach. "A co się stanie, jeśli pamięć zawierająca dane firmowe zostanie skradziona lub zgubiona? Ludzie po prostu nie rozumieją ryzyka, które tworzą." - podsumowuje Ganzon.
Podobną opinię ma Chris Majauckas z Metrocorp Publications. Jego zdaniem użytkownicy czasami wierzą, że przestrzegają firmowych zaleceń, w rzeczywistości jest przeciwnie. Dobrym przykładem takiego zachowania jest sprawdzanie prywatnej poczty ze służbowego komputera. "Pobrane załączniki z prywatnych kont pocztowych to jedno z głównych źródeł wirusów." - podkreśla Chris. "Poczta korporacyjna jest wyposażona w zabezpieczenia antywirusowe. Użytkownicy nie chcą jednak używać firmowych maili do prywatnej korespondencji. Korzystają z kont, których nie jesteśmy w stanie chronić."
Wyłączenie zabezpieczeń
Jedna piąta ankietowanych deklaruje, że wyłączyłaby zabezpieczenia, oprogramowanie antywirusowe, osobistą zaporę ogniową jeśli przyśpieszyłoby to pobieranie poczty. 80% nie wie, czy któraś z zasad wyraźnie zabrania takiej rekonfiguracji komputera. 20% wyznaje, że zmieniło ustawienia bezpieczeństwa, gdyż inaczej praca nie zostałaby wykonana w terminie. Podobnie jak w innych przypadkach jedna trzecia powtarza, że nikt nie dba o zasady i ich przestrzeganie.
Koie Smith z innej firmy prawniczej dostrzega niebezpieczeństwo w popularności portali społecznościowych typu MySpace lub FaceBook. Sądzi on, że takie strony są potencjalnym źródłem spyware. Nie powinny one być dostępne dla pracowników, gdyż nie wymaga tego ich praca.
Szkolić i uświadamiać!
Bruce Bonsall pracuje dla MassMutual Financial Group. Najbardziej martwi go przenikanie pracy i życia prywatnego większości pracowników. Zwiększa to prawdopodobieństwo ataku na sieć i samego użytkownika.
"To oczywiste, że ludzie mieszają pracę i życie prywatne. Nie sądzę, żeby uległo to kiedyś zmianie. Musimy jednak polegać na pracownikach i ich dobrej 'higienie' pracy. Na przykład kiedy otwierają z domu połączenie do firmowych zasobów." - mówi Bonsall.
Udostępnianie haseł
Około 46% badanych przyznaje, że dzieli hasła ze współpracownikami. Według 40% udostępnianie haseł jest konieczne do wykonania pracy w zleconym terminie. Dwie trzecie zdaje sobie sprawę z tego, że polityka firmy zabrania takiej praktyki. Jak wyżej jedna trzecia mówi, że nikogo nie interesuje przestrzeganie zasad bezpieczeństwa i ich egzekwowanie.
Według Bonsalla dużym zagrożeniem są ataki typu phishing, gdyż mogą one wykorzystać sytuację, gdy użytkownik nie stosuje się do bieżących zaleceń polityki bezpieczeństwa. Oczywiście urządzenia NAC (Network Access Control) i do zarządzania bezpieczeństwem informacji mogą ochronić naszą sieć, lecz tylko do pewnego stopnia. Kiedy ataki są dobrze przemyślane, wówczas pozostaje jedynie edukacja i świadomość użytkownika.
***
Artykuł powstał na podstawie materiałów zebranych przez Denise Dubie, NetworkWorld (USA).
Opracował: Marcin Suszkiewicz
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...