Sophos. Δείτε τι πρέπει να κάνετε για να αποτρέψετε την καταστροφή της φήμης της εταιρείας σας από ένα χαμένο laptop

Σήμερα, οι φορητοί υπολογιστές βρίσκονται σε όλα τα σύγχρονα περιβάλλοντα πληροφορικής. Πόσοι από τους υπαλλήλους σας χρησιμοποιούν φορητούς υπολογιστές στο γραφείο, στο δρόμο και εργάζονται από το σπίτι ή όλα τα παραπάνω μαζί;

Αν και είναι εξαιρετικά βολικοί, και ιδιαίτερα επωφελείς για την παραγωγικότητα των εργαζομένων σας, οι φορητοί υπολογιστές αντιπροσωπεύουν παράλληλα και μία σημαντική ευθύνη. Είναι εύκολο να χαθούν από τους εργαζομένους σας – και εύκολο για έναν κλέφτη να τους κλέψει. 

Κατά γενική ομολογία, οι περισσότερες εταιρείες κατά πάσα πιθανότητα πιστεύουν ότι η ανταμοιβή αξίζει το ρίσκο. Όμως οι κίνδυνοι που περιγράψαμε είναι ιδιαίτερα μεγάλοι, αν σκεφτεί κανείς πόσο πολύτιμα είναι τα δεδομένα που είναι αποθηκευμένα στους φορητούς υπολογιστές των εργαζομένων και πόσο μπορεί να στοιχίσει η απώλεια τους, είτε μιλάμε για πρόστιμα και αγωγές, είτε μιλάμε για απώλεια πνευματικής ιδιοκτησίας και ζημιά στην φήμη της εταιρείας σας. 

Σκεφτείτε το πρόσφατο παράδειγμα της SterlingBackcheck, μίας εταιρείας στο Τέξας των Ηνωμένων Πολιτειών που παρέχει υπηρεσίες ελέγχου του ιστορικού ατόμων, σε επιχειρηματίες, μη κερδοσκοπικούς οργανισμούς, λέσχες, σχολεία κ.ά. 

Στις αρχές Αυγούστου του 2015, η SterlingBackcheck απέστειλε μία επιστολή προς τους συνεργάτες της, ότι λίγους μήνες πριν “κλάπηκε ένας φορητός υπολογιστής που προστατευόταν από κωδικό ασφαλείας από το όχημα ενός εργαζομένου της SterlingBackcheck”.

Ο φορητός υπολογιστής που κλάπηκε περιείχε μη κρυπτογραφημένα δεδομένα, όπως ονόματα, αριθμούς μητρώου κοινωνικής ασφάλισης και ημερομηνίες γέννησης σχεδόν 100 χιλιάδων ατόμων. Τέτοιου είδους δεδομένα αποτελούν πιθανόν ένα… ορυχείο χρυσού για τους κλέφτες ταυτοτήτων. Ακριβώς για αυτόν τον λόγο, η SterlingBackcheck προσέφερε στις εταιρείες και στους ανθρώπους που συνεργάζεται και επηρεάστηκαν από την κλοπή δωρεάν υπηρεσίες παρακολούθησης και προστασίας από κλοπής ταυτότητας (τέτοιες υπηρεσίες δεν είναι δωρεάν, η εταιρεία πρέπει να τις πληρώσει!).

Φανταστείτε τώρα κάτι τέτοιο να συμβεί στην επιχείρηση σας. Οι πιθανότητες μάλιστα να συμβεί είναι δυστυχώς αρκετές. Αν και αναμφισβήτητα θα πρέπει να προστατεύσετε τον εαυτό σας από την απειλή των κυβερνοεγκληματιών και των χάκερς, ένα μεγάλο μέρος των περιπτώσεων απώλειας δεδομένων, οφείλονται σε κάποιο απολεσθέντα ή κλεμμένο φορητό υπολογιστή, εξωτερικό σκληρό δίσκο, USB flash drive ή φορητή συσκευή όπως ένα κινητό τηλέφωνο ή ένα tablet. Σε μία μελέτη από τον κλάδο της υγείας, το 70% των δεδομένων που χάθηκαν ή κλάπηκαν το 2013 από διάφορους οργανισμούς και ιδρύματα υγείας στην Καλιφόρνια ήταν αποτέλεσμα απώλειας ή κλοπής μίας φυσικής συσκευής, δηλαδή κάποιου φορητού υπολογιστή ή εξωτερικού σκληρού δίσκου.

Αυτό ωστόσο που κάνει την μεγαλύτερη εντύπωση σχετικά με αυτές τις εκθέσεις είναι ότι ποτέ δεν λέγεται πως οι συγκεκριμένες συσκευές που εκλάπησαν ή χάθηκαν ήταν κρυπτογραφημένες. Σύμφωνα με μία πρόσφατη –του 2015- έκθεση της Verizon, σχετικά με την παραβίαση της ασφάλειας δεδομένων (Data Breach Investigation Report), κατά την ανάλυση των παραβιάσεων δεδομένων διαπιστώθηκε ότι φράσεις όπως οι “χωρίς κρυπτογράφηση” και “δεν ήταν κρυπτογραφημένα, χρησιμοποιήθηκαν τέσσερις φορές περισσότερο από τις φράσεις “ήταν κρυπτογραφημένα” κ.λπ.

Κάτι τέτοιο χαρακτηρίζεται τουλάχιστον ατυχές και είναι λυπηρό, πολύ απλά γιατί η κρυπτογράφηση του δίσκου ή των συσκευών είναι η καλύτερη άμυνα ενάντια σε τέτοιες περιπτώσεις απώλειας δεδομένων. Όταν τα δεδομένα είναι κρυπτογραφημένα, είναι κωδικοποιημένα σε μη αναγνώσιμη μορφή, που ονομάζεται cipher text, και μόνο το άτομο με το κλειδί της κρυπτογράφησης μπορεί να τα αποκωδικοποιήσει ξανά.

Σε αυτό το σημείο, θα θέλαμε να σημειώσουμε κάτι που αφορά στην ειδοποίηση της παραβίασης δεδομένων από την SterlingBackcheck, στην οποία αναφερθήκαμε πιο πάνω στο άρθρο. Η εταιρεία είπε ότι ο φορητός υπολογιστής που κλάπηκε “προστατευόταν από κωδικό πρόσβασης” λες και επρόκειτο για κάποιο είδος επαρκούς άμυνας απέναντι στην απώλεια δεδομένων. Φυσικά και δεν επαρκεί.

Στην πραγματικότητα, η προστασία με κωδικό πρόσβασης ενός φορητού υπολογιστή χωρίς κρυπτογράφηση ισοδυναμεί με ένα… μηδενικό, αφού τέτοιοι κωδική σπάνε μέσα σε μερικά λεπτά. Πέρα από αυτό, ένας κλέφτης θα μπορούσε να πάρει τον σκληρό δίσκο και να τον τοποθετήσει σε ένα άλλο υπολογιστή ή να εκκινήσει τον –υποτίθεται- “προστατευμένο” υπολογιστή από CD ή από κάποιο κλειδάκι USB για να έχει πρόσβαση στα δεδομένα σας.

Τι γίνεται με τα δεδομένα ενός φορητού υπολογιστή που έχουν κρυπτογραφηθεί; Δεν υπάρχει τρόπος για έναν κακοποιό να διαβάσει τα κρυπτογραφημένα δεδομένα σας, και το laptop πραγματικά θα αξίζει όσο το… hardware του στα μεταχειρισμένα, και τίποτα περισσότερο. Μόνο από την πώληση του hardware θα μπορέσει να… βγάλει κάτι από την κλοπή. Σίγουρα πάντως, δεν θα κερδίσει το παραμικρό από τα δεδομένα σας. 

Οπότε για ποιο λόγο οι εταιρείες δεν κρυπτογραφούν τους φορητούς υπολογιστές τους ή άλλες συσκευές; Είναι πράγματι ένα μυστήριο, ωστόσο ενδέχεται να πιστεύουν ότι διαθέτουν επαρκή ασφάλεια ή ότι η κρυπτογράφηση είναι δύσκολη ή ακριβή να ενσωματωθεί.

Αυτοί είναι οι μύθοι που περιτριγυρίζουν την κρυπτογράφηση.

Αν θέλετε να είστε απολύτως σίγουροι ότι τα δεδομένα σας είναι προστατευμένα και ασφαλή, η κρυπτογράφηση πρέπει να είναι η πρώτη γραμμή της άμυνας σας.

Και αν εξακολουθείτε να πιστεύετε ότι η κρυπτογράφηση είναι μεγάλη ταλαιπωρία, ρίξτε μία ματιά στην τεκμηρίωση της Sophos στο sophos.com/encrypt, που διάφορα έγγραφα, εκθέσεις και βίντεο σας δείχνουν πόσο απλή διαδικασία μπορεί να είναι.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.