Kako zaštititi bežične, mobilne i prijenosne uređaje

Ako je cilj zaštite informacionog sistema kompletna kontrola svih podataka koji ulaze i izlaze iz kompjuterske mreže, potrebno je definisati sve objekte u tom sistemu koje treba zaštititi. Danas se informacioni sistemi sastoje iz mnoštva vrlo različitih komponenti, pa je definicija svih objekata u njemu veoma složen posao. Međutim, postoje osnovne smjernice kojima se treba voditi kada se definiše plan zaštite IT sistema

Izvor: Goran Milić
E-mail: editorial@asadria.com

U prošlome tekstu objasnili smo šta je to fizička kontrola informacionog sistema i zašto je ona tako važna. Ovaj aspekt sigurnosti informacionog sistema je veoma važan, a najčešće je i zanemaren, pa ćemo mu posvetiti još malo pažnje. Već smo govorili o zaštiti nekih osnovnih komponenti informacionog sistema – servera, radnih stanica, mrežnih uređaja i mrežne infrastrukture. Pogledajmo i ostale bitne komponente.

Zaštita bežičnih mrežnih uređaja

Iako smo mrežne uređaje i mrežnu infrastrukturu već spominjali, bežične mrežne uređaje moramo izdvojiti budući da su oni podložniji sigurnosnim napadima u poređenju sa žičanim mrežnim uređajima. Razlog njihove velike ranjivosti je jednostavan – za komunikaciju koriste elektromagnetni spektar kojem može pristupiti svako, bez mogućnosti fizičke izolacije, koju, naprimjer, ima mrežna infrastruktura koja koristi bakarne ili optičke kablove.

Druga važna karakteristika bežičnih mrežnih uređaja, odnosno bežičnih mreža u cjelini, jeste ogroman rast popularnosti ove vrste uređaja, odnosno tog tipa mrežne konekcije. U urbanim sredinama gotovo da svaki stanovnik posjeduje bar jedan bežični mrežni uređaj. Što se, pak, ruralnih područja tiče, bežične mreže predstavljaju odličnu alternativu u slučaju da je kablove teško ili nemoguće provesti. Na kraju, osim elektromagnetnog ili radiospektra, za bežičnu komunikaciju se može koristiti i laserska i infracrvena tehnologija.

Moglo bi se reći da bežične mreže “koriste vazduh za komunikaciju”, što nije tačno, ali jako dobro oslikava problem koji ove mreže imaju. Naime, kao što je i vazduh dostupan svima, tako je i komunikacija koja se obavlja bežičnim mrežama dostupna svima. I onima koji tu komunikaciju koriste u legitimne svrhe i onima koji imaju loše namjere.

Jedina zaštita od prisluškivanja bežičnog mrežnog saobraćaja je korištenje enkripcije, kojom se mrežni saobraćaj čini nečitljivim za sve osim za legitimne učesnike u komunikaciji. Postoji nekoliko enkripcijskih standarda koje je moguće koristiti, ali se trenutno preporučuje upotreba WPS2 standarda u kombinaciji sa AES enkripcijom. U slučaju da je sigurnost mrežnog saobraćaja apsolutni prioritet, ne preporučuje se korištenje javno dostupnih standarda 802.11x (danas su najpopularnije mreže 802.11g i 802.11n, a najnoviji i najbrži standard je 802.11ac). Umjesto njih, preporučuje se upotreba vlasničkih standarda čija dokumentacija nije javno dostupna. Na kraju, moguće je i potpuno zabraniti bežičnu komunikaciju te koristiti samo žičane komunikacione kanale koje je mnogo lakše kontrolisati.

Svemu ovome treba dodati i korištenje telekom-operatera kao posrednika za ostvarivanje konekcije, bilo da je riječ o glasovnoj komunikaciji ili o prijenosu podataka. Ovaj način komunikacije je donekle sigurniji jer se uvijek tačno zna ko učestvuje u komunikaciji, ali i dalje predstavlja potencijalni sigurnosni problem. Kao i uvijek kada u sistemu postoji i treća strana, nikada ne možete biti sigurni da li neko na strani telekom-operatera prisluškuje vašu komunikaciju, pa i na taj aspekt sigurnosti treba obratiti pažnju.

Zaštita mobilnih uređaja

Poput zaštite bežičnih mrežnih uređaja, i zaštita mobilnih uređaja sve je potrebnija zbog velikog porasta njihove popularnosti. Tradicionalno su laptopi bili glavni predstavnici ove kategorije uređaja, ali pametni telefoni i tableti praktično su preuzeli glavnu riječ kada je mobilni tip uređaja u pitanju.

Fizička zaštita mobilnih uređaja trenutno predstavlja veliki problem za IT stručnjake jer još ne postoji idealno rješenje za udaljeno upravljanje njima. Dio problema je veliki broj različitih proizvođača ovih uređaja, a drugi dio je jako velika brzina kojom se tehničke karakteristike ovih uređaja unapređuju, pa je sigurnosnim stručnjacima veoma teško da razviju odgovarajuće procedure, specifikacije i standarde.

S obzirom da se na mobilnim uređajima često nalaze povjerljivi podaci, zaštita od krađe jedan je od glavnih problema njihove fizičke zaštite. Jedino praktično rješenje je udaljeno upravljanje uređajima i brisanje podataka u slučaju prijavljivanja krađe. Kao što smo već rekli, jedinstveno i sveobuhvatno rješenje za ove probleme trenutno ne postoji, mada velike svjetske kompanije kao što su Microsoft, Apple, Google, Samsung, Blackberry i druge aktivno rade na njemu.

Ovde svakako treba spomenuti i koncept poznat kao BYOD (Bring Your Own Device), koji označava korištenje privatnih uređaja zaposlenika u poslovne svrhe, čime se problem zaštite poslovnih podataka dodatno usložnjava.

Za sada se preporučuje korištenje enkripcije za sve podatke na uređajima, korištenje jakih šifri te drugih biometrijskih podataka za autentifikaciju i autorizaciju korisnika (otisci prsta i slično). Postoje i specijalizovani servisi koji prate fizičku lokaciju uređaja i koji mogu pomoći prilikom gubljenja uređaja.

————————

Zaštita papirne dokumentacije

Stručnjaci za mrežnu sigurnost i sistem-administratori obično se koncentrišu na zaštitu podataka u elektronskoj formi, ali treba biti svjestan jednostavne činjenice da zlonamjerni korisnici mogu doći do važnih podataka štampanjem povjerljivih digitalnih informacija ili pronalaženjem već odštampanog materijala. Slaba je korist od implementacije sigurnosnih pravila o složenosti šifri i detaljne kontrole pristupa ako zaposlenici mogu jednostavno odštampati povjerljive podatke i ostaviti ih na svom stolu. Ili, još gore, baciti te papire u obližnji kontejner za smeće, koji je dostupan svima. Postoji čak i poseban termin “ronjenje po kontejnerima” (engl. dumpster diving), koji označava dolazak do povjerljivih informacija na ovaj način. Sve ovo možda zvuči smiješno, ali je, zapravo, jedan od najčešćih načina na koje zlonamjerni korisnici dolaze do povjerljivih podataka.

Ako povjerljivi podaci već moraju biti odštampani, što treba izbjegavati u najvećem mogućem broju slučajeva, potrebno je voditi računa o njihovom smještaju. Ne treba zaboraviti ni uništavanje takve dokumentacije zato što danas više nije dovoljno korištenje rezača papira, već se preporučuje miješanje isječenog papira sa vodom kako bi se spriječilo njegovo ponovno sastavljanje.

——————————-

 Zaštita prijenosnih medija za prijenos podataka

Još jedan način zaobilaženja složenih i dobro provjerenih sigurnosnih IT planova je snimanje podataka na prijenosne medije. Nekada diskete, CD i DVD mediji, a danas prijenosni hard diskovi i flash memorije predstavljaju ozbiljnu sigurnosnu prijetnju, kako zbog namjernog iznošenja povjerljivih informacija tako i zbog eventualne krađe tih medija. I ovdje se kao najbolje rješenje pokazuje enkripcija i korištenje složenih šifri za pristup podacima.

Treba obratiti pažnju i na činjenicu da jednostavno brisanje podataka, pa čak i formatiranje ovih medija nije dovoljno. Postoje specijalizovani softveri, a za ozbiljnije namjene i specijalizovani hardverski uređaji koji mogu vratiti upisane podatke čak i nakon nekoliko brisanja. Zato se preporučuje korištenje posebno dizajniranog softvera koji obrisane podatke prepisuje slučajnim podacima više desetaka puta. Na kraju, sigurnosna praksa nalaže da se čak i u slučaju rashodovanih uređaja povede računa o hard diskovima i drugim uređajima za pohranu podataka, jer i oni mogu biti iskorišteni za ostvarivanje pristupa povjerljivim podacima.

Kao što možete zaključiti iz onoga što je napisano u ovom i prethodnom tekstu, fizička zaštita informacionih sistema je veoma složen proces koji zahtijeva mnogo planiranja i terenskog testiranja. S obzirom na multidisciplinarnost koju zaštita IT sistema zahtijeva, kreiranje dobrog sigurnosnog plana obavezno treba prepustiti stručnom i iskusnom sigurnosnom timu.