Firmy coraz częściej szyfrują dyski w laptopach. Pendrive'y, dyski zewnętrzne i karty pamięci - znacznie rzadziej. A to właśnie one najczęściej giną.
Laptop znika i od razu wiadomo, że coś się stało. Pendrive wypada z kieszeni w taksówce, zostaje w porcie USB w sali konferencyjnej, gubi się w torbie. Często nikt tego nie zauważa przez dłuższy czas. A na tym małym nośniku mogą być umowy, oferty, dane osobowe klientów, dokumentacja projektowa, faktury - wszystko zapisane bez żadnego zabezpieczenia, bo "to tylko pendrive".
Tymczasem z perspektywy bezpieczeństwa IT niezaszyfrowany pendrive z danymi firmowymi jest dokładnie tak samo groźny jak niezaszyfrowany laptop. Osoba, która go znajdzie, podłącza go do komputera i ma natychmiastowy dostęp do wszystkich plików. Żadnego hasła, żadnej blokady.
Co traci firma, gdy nośnik trafi w niepowołane ręce
Skradziony lub zgubiony niezaszyfrowany nośnik z danymi osobowymi to naruszenie danych w rozumieniu RODO. Firma ma 72 godziny na zgłoszenie incydentu do UODO. Samo zgłoszenie to jednak tylko formalność - prawdziwe ryzyko to utrata kontroli nad danymi klientów, pracowników lub partnerów.
Zaszyfrowany nośnik w tej samej sytuacji nie stanowi realnego zagrożenia. Znalazca widzi zaszyfrowany wolumin - bez klucza to ciąg bezwartościowych znaków. W większości przypadków eliminuje to obowiązek zgłoszenia naruszenia i - co ważniejsze - dane pozostają bezpieczne.
Jak działa szyfrowanie nośników zewnętrznych
Mechanizm jest identyczny jak przy szyfrowaniu dysków w laptopach. Dane są zaszyfrowane i bez klucza nieczytelne - na każdym komputerze, niezależnie od systemu operacyjnego.
W Windows służy do tego BitLocker To Go - wbudowana funkcja, rozszerzenie tego samego mechanizmu, który chroni dyski systemowe. Zaszyfrowany pendrive przy każdym podłączeniu prosi o hasło. Bez niego dane są całkowicie niedostępne.
Dla użytkownika różnica jest minimalna: podłącza nośnik, wpisuje hasło, pracuje normalnie. Dla osoby, która ten nośnik znajdzie - dane są nieosiągalne.
Ręczne szyfrowanie nie działa w praktyce
Można by powiedzieć: niech każdy pracownik sam szyfruje nośniki przed zapisaniem danych. W teorii proste. W praktyce - nieskuteczne.
Szyfrowanie ręczne wymaga kilku dodatkowych kroków za każdym razem. Ludzie się śpieszą, zapominają, omijają procedury gdy czas goni. Wystarczy jeden niezaszyfrowany nośnik z danymi klientów, żeby firma miała poważny problem.
Właściwe podejście to wymuszenie szyfrowania przez politykę systemową.
Administrator IT ustawia regułę, która blokuje możliwość zapisywania danych na niezaszyfrowanych nośnikach zewnętrznych. Pracownik podłącza zwykły pendrive - Windows odmawia zapisu i prosi o zaszyfrowanie nośnika. Nie ma możliwości przypadkowego wyniesienia niezabezpieczonych danych, bez względu na to czy pracownik pamięta o procedurze czy nie.
Taka polityka wdraża się centralnie przez system zarządzania urządzeniami i obowiązuje wszystkich pracowników jednocześnie.
Kto jest najbardziej narażony
Każda firma przetwarza dane, które nie powinny trafiać w niepowołane ręce. Ale są sytuacje, gdzie ryzyko jest szczególnie wysokie: pracownicy zdalnie pracujący poza biurem, zespoły sprzedażowe wożące oferty i cenniki do klientów, firmy prawnicze i księgowe operujące danymi wrażliwymi, biura projektowe z dokumentacją objętą NDA.
Wspólny mianownik jest jeden: dane wychodzą z kontrolowanego środowiska i podróżują razem z pracownikiem. Im więcej takich sytuacji, tym większe ryzyko.
Czy pendrive jest w ogóle potrzebny
Warto zadać wcześniejsze pytanie: czy pracownicy powinni w ogóle używać nośników zewnętrznych do przesyłania danych firmowych?
W większości przypadków pendrive można zastąpić bezpiecznym udostępnianiem plików przez chmurę firmową - Microsoft 365, SharePoint czy Teams. Dane nie opuszczają kontrolowanego środowiska, dostęp jest monitorowany, historia zmian zapisana. Ryzyko zgubienia fizycznego nośnika znika.
Tam, gdzie nośniki zewnętrzne są faktycznie potrzebne - szyfrowanie jest obowiązkowe. Tam, gdzie można je wyeliminować - warto to zrobić.
Jak wygląda to w Helpwise IT
W ramach konfiguracji bezpieczeństwa stacji roboczych wdrażamy politykę szyfrowania nośników zewnętrznych - tak żeby żaden pracownik nie mógł przypadkowo wynieść niezabezpieczonych danych. Równolegle analizujemy, gdzie użycie nośników zewnętrznych można zastąpić bezpieczniejszymi rozwiązaniami chmurowymi.