Securizarea stick-urilor de memorie USB

Dispozitivele USB flash memory au o capacitate de stocare din ce in ce mai mare si au devenit un instrument indispensabil de lucru in orice companie. Proiectate initial ca bunuri de larg consum, aceste dispozitive nu includ instrumente de securitate, control si management. Multi angajati nu dau prea mare atentie transferului de date intre birou si domiciliu folosind un breloc USB achizitionat de la cel mai apropiat magazin de produse electronice.

Din cauza numarului foarte mare de persoane care poarta asupra lor dispozitive de stocare mobile, acestea trec neobservate, fiind folosite pentru a creste productivitatea angajatilor sau pentru scopuri nelegitime, cum ar fi furtul de informatii din companie. Chiar si atunci cand sunt folosite cu cele mai bune intentii, datele stocate pe stick-uri USB nu sunt luate in considerare de procedurile de rutina privind transferurile de date din companie, cum ar fi realizarea periodica a copiilor de siguranta, criptarea sau mentenanta echipamentelor. Cum se poate tine evidenta datelor care intra sau ies din companie in acest mod? Securizarea datelor vehiculate astfel devine o provocare majora pentru orice departement IT.   

Incidente recente

Conform Privacy Rights Clearinghouse, in perioada februarie 2005 - noiembrie 2006 au existat 780 de cazuri in care diverse institutii din SUA au raportat pierderi sau furturi de informatii, printre acestea regasindu-se si date privind cartile de credit a sute de persoane. Aceste evenimente au determinat profesionistii in securitate IT sa elaboreze noi politici si tehnologii pentru protectia datelor aflate pe dispozitive de stocare mobile. 
In aprilie 2006 in Bagram, Afganistan, investigatorii americani au platit mii de dolari unor comercianti din apropierea bazei militare SUA pentru a obtine dispozitive de stocare mobile care ar fi putut contine informatii militare sensibile. Totusi, zeci de dispozitive USB flash erau inca expuse in magazinele din jurul bazei. Un reporter Associated Press a primit permisiunea de a testa in jur de 40 de stick-uri USB folosind un laptop. Majoritatea erau sterse iar unele nu functionau, dar trei dintre ele contineau date care pareau sa provina din interiorul bazei, cum ar fi un certificat de lasare la vatra a unui soldat, liste cu caracterizari personale ale soldatilor sau fotografii ale vizitei Air Force One in Afganistan din luna martie 2006.
Pentru ca sunt atat de usor de utilizat si de transportat, dispozitivele de memorie USB sunt pierdute sau sustrase frecvent. In acel moment, oricine poate accesa informatiile respective, cu conditia sa aiba acces la un computer cu un port USB. Unele companii au interzis cu desavarsire folosirea acestora pentru a preveni furturile / pierderile de date.

Implicatii de securitate

Atunci cand informatiile companiei sunt stocate pe dispozitive nesigure aflate in proprietatea angajatilor, compania isi asuma un risc ori de cate ori acestia parasesc incinta. Companiile de audit risca dezvaluirea numerelor de conturi bancare, spitalele pot pierde informatii detaliate privind starea de sanatate a pacientilor, iar institutiile financiare trebuie sa se asigure ca informatiile critice nu pot fi compromise. Daca informatiile ajung in posesia unui atacator, riscurile si posibilitatile sunt nelimitate. Companiile isi pierd credibilitatea, pot fi actionate in justitie, si isi expun angajatii si clientii la furt de identitate sau fraude.

Riscurile privind folosirea dispozitivelor de memorie USB constau in:

- divulgarea datelor prin pierderea sau furtul dispozitivului;
- copierea neautorizata a datelor;
- contaminarea cu malware;

Preocuparile companiilor

Cu milioane de dispozitive de memorie USB disponibile pe piata, datele confidentiale ale companiilor sunt in permanenta in miscare si in pericol de a fi pierdute sau sustrase. Dimensiunile pagubelor produse de eventuala divulgare a acestor informatii subliniaza necesitatea unor masuri de securitate corespunzatoare care sa guverneze utilizarea acestor dispozitive.

Riscuri si masuri de securitate ce trebuiesc luate in calcul:  

-scurgeri de informatii - pentru a preveni dezvaluirea de informatii confidentiale companiile ar trebui sa distribuie angajatilor dispozitive de memorie USB;
- reguli de conformitate - toate organizatiile ar trebui sa desfasoare activitati ce respecta regulile guvernamentale si prevederile de securitate pentru a limita riscul pierderilor de date. Ca linii directoare, se pot analiza prevederile SOX - Sarbanes-Oxley Act, GLB Gramm-Leach-Bliley Act, sau FISMA - Federal Information Security Management Act;
- pierderile de date si costurile de suport - in ciuda masurilor de securitate, datele pot fi pierdute sau sustrase, compania fiind obligata sa minimizeze pagubele. Distribuirea propriilor dispozitive de memorie USB poate facilita recuperarea datelor pierdute si reduce pagubele.
- este necesara stabilirea unor politici de securitate clare, care sa fie aduse la cunostinta angajatilor si a caror respectare sa fie evaluata prin folosirea de tehnologii de audit, urmarire si realizare de copii de siguranta ale datelor manevrate pe dispozitive de stocare mobile;

Care sunt masurile pe care companiile ar putea sa le adopte pentru intarirea masurilor de securitate privind dispozitivele mobile ? Exista mai multe solutii hardware sau software disponibile, printre care criptarea datelor, autentificarea, protectia antivirus si alte optiuni de monitorizare. Blocarea porturilor USB, criptarea dispozitivelor de stocare si a datelor continute nu sunt suficiente pentru a oferi o solutie de securitate completa pentru dispozitivele mobile.

 
Etape in securizarea dispozitivelor de stocare mobile

Compania poate securiza dispozitivele de stocare mobile, pe timpul utilizarii in reteaua proprie si in afara acesteia, prin urmatoarele metode:

1. Definirea politicii companiei cu privire la dispozitivele mobile individuale si instruirea angajatilor;
2. Achizitionarea de catre companie si distribuirea catre angajati a propriilor dispozitive de stocare USB;
3. Criptarea completa a dispozitivelor si a datelor vehiculate;
4. Este necesar sa se asigure ca utilizatorii nu ocolesc masurile de securitate;
5. Auditarea traseului complet al datelor manevrate folosind dispozitive mobile;
6. Posibilitatea de a recupera in orice moment datele stocate pe dispozitivele mobile individuale;
7. Solutia de securitate a companiei trebuie sa fie suficient de elaborata pentru a oferi posibilitatea de folosire a dispozitivelor de memorie USB in interiorul si in afara companiei, si a asigura managementul centralizat al dispozitivelor USB emise de companie.

Valoarea dispozitivelor de stocare mobile este evidenta in mediul de afaceri contemporan. La fel de evidenta este si  necesitatea de includere a acestor dispozitive in politicile de protejare a securitatii datelor. Prin implementarea masurilor enumerate, companiile pot alege tehnologiile care sa asigure securitatea si monitorizarea folosirii dispozitivelor de stocare individuale.