Co Audytor Lub Bezpiecznik Wypatrzy Spacerując Po Biurze?

2 lat temu

Jak to jest w organizacjach?

Pomimo pracy zdalnej oraz hybrydowej, pomieszczenia biurowe przez cały czas są ważnymi miejscami z punktami zapewnienia poufności danych. W miejscach tych audytor albo pracownik bezpieczeństwa ma szanse wypatrzeć, a choćby czasem usłyszeć, rzeczy, od których kręci się głową z niedowierzaniem, albo ostro bierze za robotę.

Kable

Zacznijmy od samych podstaw, które w branży klasyfikuje się na pograniczu IT, bezpieczeństwa z BHP.

Temat gaśnic i terminów przydatności pomińmy w tej tematyce, skupmy się jednak na okablowaniu.

Najczęstszymi ryzykami bezpieczeństwa pod kątem ryzyka updku są „luźne” kable, które mogą wić się niezabezpieczone po podłodze pomieszczenia, a już w ogóle powinno uważać się na ten gatunek, co wije się niepostrzeżenie między biurkami w poprzek przejścia – nie tylko ryzykujemy łapaniem zębów po drugiej stronie pomieszczenia, ale razem za sobą pociągniemy to, do czego kabel był przymocowany. 

Trzymając się tematyki kabli – poza tym gatunkiem pełzającym przez całe pomieszczenia, istnieje również grupa tych mniejszych i krótszych zadomowionych w okolicy biurek. O ile zrozumiała jest wygoda pracowników w przypadku ustawienia myszki, klawiatury oraz kabla HDMI, o tyle wiszące kable zasilające, pnące się kable internetowe, czy listwy zasilające łapiące kurz powinny zostać zabezpieczone, jeżeli nie podwieszone do biurek. Ten tzw. cable management, to nie tylko estetyka, którą z całego serca polecam wszystkim, ale też zmniejsza ryzyko zaplątania się i kolejnego upadku (tym bardziej iż przy upadku można spotkać się nader blisko z kantem biurka), ale również przepięcia przez pociągnięcia kabla, czy zalania listwy zasilającej i innych urządzeń peryferyjnych kawą. 

Optymistycznie laptop jest w stanie wytrzymać 3-4 „małych” zalań wodą, (wiem, bo sprawdzałem… na prywatnym!) jednak jeżeli laptop (tylko) tyle wytrzymuje, to istnieje ryzyko spięcia w przypadku innych urządzeń. Urządzenia elektroniczne służbowe można zamortyzować od razu po zakupie, lub już rok po, jednak to wcale nie oznacza iż nie powinno się dbać o własność firmy.

Zostańmy jeszcze chwile przy kablach, a w zasadzie przy gniazdkach elektrycznych. Warto zwrócić uwagę na te czerwone gniazdka, które mogą występować w przestrzeni biurowej. Te czerwone gniazdka w teorii podpięte są do zapasowego źródła energii, więc jeżeli prąd wysiądzie, to w tych czerwonych gniazdkach, zgodnie z teorią, przez cały czas pownien płynąc prąd, tylko iż z zapasowych agregatorów prądotwórczych. Absolutnie nie zaleca się podpinanie pod te gniazdka czajnika, a istotny zasób IT po zwykłe gniazdko. Tego standardowy audyt raczej nie wykryje, ale warto pamiętać, iż tutaj kolor ma znaczenie.

Kiedy AGD jest problemem…

Ostania sprawa, od której my, bezpiecznicy, rozważamy niezwłoczne odwrócenie się na pięcie są sprzęty AGD w pomieszczeniach biurowych, poza kuchnią. Mówimy tutaj o czajnikach, ekspresach, a choćby lodówkach czy mikrofalówkach. Nie ma żadnego uzasadnienia biznesowego, a tym bardziej bezpieczeństwa, aby taki sprzęt był w pokoju biurowym, gdyż stwarza przynajmniej ryzyko pożarowe.

Co należy zrobić, aby już w 2 sekundach audytu, lub przeglądu nie narazić się na brak zrozumienia i potencjalne ryzyka bezpieczeństwa w raporcie?

Po pierwsze, posprzątać kable, zwłaszcza te podłogowe, a po drugie – miejscem sprzętów AGD jest w kuchni i aneksie kuchennym.

Żółte karteczki

Dlaczego żółte karteczki samoprzylepne tak bardzo przyciągają oko bezpieczników?

Poza tym, iż kartki samoprzylepne są użytecznymi środkami notowania krókich wiadomości, to na tych karteczkach można w czasie i po jej zakończeniu znaleźć hasła dostępowe, czy poufne dane firmy. O ile jeszcze dane firmy można wytłumaczyć ferworem pracy, o tyle haseł już kompletnie nie. Hasła na karteczkach samoprzylepnych to najprostsza „zwierzyna”, na jaką audytorzy i bezpiecznicy polują. Czasem można je znaleźć w koszu przy biurku, czasem na monitorze, a czasem pod klawiaturą. Takie karteczki są natychmiastowym, struprocentowym trafieniem – krytycznym ryzykiem bezpieczeństwa, gdyż oznacza to, iż personel nie jest wystarczająco szkolony, procedury zarządzania hasłami nie działają, a dane firmy są narażone na potencjalną kradzież. 

Jak więc zmniejszyć ryzyko bezpieczeństwa? 

Po pierwsze i najważniejsze szkolić. Te żółte karteczki to „stary numer” i generalnie jest to truizm, iż nie należy spisywać na nich haseł, ale to bez znaczenia, gdyż przez cały czas warto o tym powiedzieć podczas szkolenia. Druga sprawa, aby zmniejszyć ryzyko spisanych haseł na karteczkach, czy notatniku na komputerze – można wdrożyć programy służące do przechowywania haseł, czyli password manager, i ponownie – szkolić z tego, a także ułatwić korzystanie z tych aplikacji. 

W życiu prywatnym również nie jesteśmy w stanie wyrazić jak bardzo te aplikacje ułatwiają życie i przy okazji je zabezpieczają, bo data urodzenia dziecka czy ślubu to nie jest dobry pin do karty debetowej/kredytowej, a zdrobnienie imienia pupila jest co najmniej kiepskim hasłem do bankowości internetowej.

Pendrive’y i karty SKD

Poza żółtymi karteczkami audytor może szukać niezabezpieczonych (niezaopiekowanych) pendrive’ów, czy kart kontroli dostępów. 

Dlaczego to takie ważne, aby dyski zewnętrzne oraz karty SKD (Systemu Kontrolu Dostępów) przynajmniej chować z biurek, jeżeli nie ściśle nadzorować?

 Nie od dziś można usłyszeć o socjotechnice (social enginneringu), czyli środach i metodach psychologicznych i manipulacyjnych mających na celu między innymi kradzież danych. 

Poza metodą na wnuczka, czy policjanta w prywatnym życiu, w służbowym spotkamy się z tzw. „USB baiting’iem”, zwanym również „USB drop attackiem”. Atak ten ma na celu podłożenie pamięci zewnętrznej (najczęściej pendrive’a, ale równie dobrze może być to większy dysk zewnętrzny, czy płyta CD/DVD) z wgranym wirusem, którego zainfekuje urządzenia w momencie podłączenia zewnętrznego urządzenia do stacji roboczej.

Atak ten bazuje w dużej mierze na ciekawości pracownika lub jego nieuważności, tak więc zadaniem pracowników IT oraz bezpieczeństwa jest szkolenie i informowanie o tym bardzo rzeczywistym ryzyku. 

Pracownicy, którzy znajdą nieznaną pamięć zewnętrzną powinni niezwłocznie zanieść ją do działu IT, działu bezpieczeństwa lub innej komórki organizacyjnej, która zajmuje się bezpieczeństwem. 

Co zrobić z tym nieznanym pendrive’m?

Najszybciej jest zniszczyć, a dla bardziej ciekawskich i pewnych swoich umiejętności – podpiąć pod zabezpieczone, kontrolowane środowisko a następnie zweryfikować dane. Mimo wszystko, polecam wyrzucić, to nie są drogie rzeczy.

Karty kontroli dostępów – jak sama nazwa wskazuje są to środki poświadczające, iż użytkownik karty ma prawo wejścia na zabezpieczony obszar przetwarzania. Wyobraźmy sobie sytuację, w której osoba nieupoważniona wejdzie w posiadanie takiej karty, jeżeli wie do czego służy, to po godzinach pracy firmy (w czasie pracy też może, ale po godzinach pewnie jest spokojniej i nikt nie pyta o deadline’y) bez problemu wejdzie na teren organizacji i poczuje się jak u siebie, a sprzęt i dokumenty firmy mogą stać się jej własnością. 

Jak więc zredukować ryzyko nieproszonego gościa?

Wyszkolić personel, aby trzymali karty SKD przy sobie – na szyj, u paska, w kieszeni, w portfelu, itp.

Biurka

O ile porządek i estetyka są ważnymi sprawami, to z punktu widzenia bezpieczeństwa wszelkie dokumenty papierowe (oraz wspomniane pendrive’y) po zakończeniu pracy powinny zostać schowane do szuflad, szafek, itd.

Powodem jest to samo zagrożenie, iż osoba nieuprawniona wejdzie w posiadanie informacji, do której nie jest autoryzowana, dotyczy się to nie tylko osób spoza organizacji, ale również samych pracowników.

Jak zredukować ryzyko?

Opracować politykę czystego biurka i szkolić z niej, a następnie przeprowadzać przeglądy przestrzeni biurowej, czy personel stosuje się do wytycznych.

Drukarki, skanery i kosze na śmieci

W bezpieczeństwie funkcjonuje polityka czystego biurka i ekranu. O tej polityce wspomniałem przy rozdziale o biurku, ale generalnie jest to zabezpiecznie organizacyjne chroniące dane firmy zarówno w papierze (na biurkach), jak i w na ekranach (czy raczej komputerach, czy urządzeniach mobilnych).

Tą politykę należałoby rozwinąć o zasady czystej drukarki (urządzenia wielofunkcyjnego) oraz kosz na śmieci, mimo iż brzmi to niecodziennie, to śpieszę z wyjaśnieniem o co chodzi.

Po pierwsze, w ferworze pracy i wyrabiania kejpiajów w drukarce oraz skanerze można znaleźć różnego rodzaju pozostawione dokumenty – od informacji o firmie i klientach, kończąc na skanie zaświadczenia lekarskiego, czyli zawierającego danych osobowych szczególnej kategorii.

Po drugiej, kosze na śmieci – ja wiem, nietypowe, ale rzecz w tym aby nie wyrzucać do kosza na śmieci danych poufnych, np.: sprawozdań finansowych, list płacowych, haseł, umów, itp. Takie informacje powinny zostać zniszczone w niszczarkach na dokumenty albo przez firmy zajmujące się specjalistyczną utylizacją dokumentów, w tym pendrive’ów i innych nośników pamięci.

Po co adekwatnie dbać o czystość tych urządzeń wielofunkcyjnych i koszy na śmieci?

Niczym doktor Sheldon Cooper, wróćmy do tej ciepłej letniej nocy… czy raczej nieproszonego gościa (w tym pracownika), który nie powinien mieć dostępu np. do listy płac. jeżeli przez przypadek pracownik HR taką listę zostawi na drukarce, albo w śmietniku, to ta osoba nieuprawniona w zasadzie nie będzie miała problemu z zapoznaniem się z tymi danymi. Konsekwencje ujawnienia danych są różne, choćby i to iż mamy tu do czynienia z potencjalnym naruszeniem ochrony danych osobowych.

Co firma w takim razie ma zrobić z tymi drukarkami i koszami na śmieci?

Firma powinna opracować wspomnianą politykę czystego: biurka i ekranu, i drukarki, i kosza na śmieci. Szkolić z niej, a następnie przeglądy, raporty, ponownie szkolenia, ponownie przeglądy i tak w kółko.

Ciężko oczekiwać od pracodawcy, iż będzie pilnował pracowników po każdym skorzystaniu ze skanera, więc te działania opisane wcześniej to takie minimum do spełnienia.

Monitory

Pisałem już o czystym biurku, urządzeniach wielofunkcyjnych oraz koszach na śmieci, pora na monitory, bowiem tutaj bywa wolna amerykanka.

Przechadzając się z kawą po biurze, bezpiecznik z ciekawością zerka na monitory, z resztą nie tylko on, bo wszyscy, ale u nas to taka mieszanina ciekawości oraz wymagań zawodowych. Sprawdzamy, czy zgodnie z polityką czystego ekranu pracownicy mają niezbędne minimum plików i skrótów na pulpicie, czy nie oglądają gorszących treści, czy wygrywają w meczu w CS’a, czy jaką postacią z Harry’ego Pottera są…

No właśnie… najbardziej rozbawiło mnie kiedy rozglądając się po open space w pewnej firmie zauważyłem jak jeden pracownik rozwiązuje sobie quiz jaką postacią jest tam w czymśtam. Generalnie nie bronię mieć marzeń i fantazji, ale z punktu widzenia bezpieczeństwa strony z takimi quizami nie są bezpieczne. jeżeli już chcemy marzyć o zastaniu czarodziejem czy white walkerem, to róbmy to na prywatnych urządzeniach, najlepiej poza pracą. To samo tyczy się gier online – tak samo, jak nie bardziej, niebezpieczne, z grami komputerowymi może być już nieco lepiej, ale mimo wszystko.

Wracając do polityki czystego ekranu – dlaczego chodzi w niej o to aby mieć jak najmniej plików na pulpicie? Otóż, jeżeli osoba nieupoważniona uzyska dostęp do komputera pracownika na bardzo krótki czas (np. pare minut), to pierwszą rzeczą jaką może zrobić to przejrzeć pliki na pulpicie, polubić memy z kotami oraz posprawdzać dokąd prowadzą wszystkie skróty zarówno do folderów, jak i systemów. jeżeli włączona jest funkja autouzupełnianie haseł w przeglądarce, to nie dość iż skróty na pulpicie wskazały osobie nieupoważnionej drogę, to zapamiętane hasła wyłożyły ją czerwonym dywanem. Tak oto doprowadzono do ujawnienia danych, być może kradzieży danych.

Naturalnie, to tylko potencjalna sytuacja, potencjalne ryzyko, ale zagrożenie jest realne, konsekwencje dotkliwe, a przecież zaadresowanie tego ryzyka i zimniejszego go wcale nie jest trudne. 

Jak to zrobić więc? 

Po pierwsze, opracować politykę czystego ekranu zawierającą zapisy o blokadzie ekranu, minimalizacji plików na pulpicie, niezapisywania haseł w przeglądarce (chociaż to można dodać do polityki haseł). Po drugie szkolenia (deja vu!), po trzecie przeglądy, po czwarte Cykl Deminga. 

Dlaczego niekiedy warto zamykać drzwi

W pełni zrozumiałe jest, iż w trakcie pracy warto rozważyć pozostawienie otwartych drzwi, bo łatwiej, bo chłodniej, bo zapraszająco, no i przełożeni widzą iż się jest i iż się ciężko pracuje. Jednak są takie sytuacje i są takie drzwi, które powinny być zamykane. Wcale nie piszę o jakiejś komnacie tajemnic, ale z pewnością o drzwiach, które powinny być czym prędzej zamykane, a każde ich otwarcie powinno być monitorowane. Są to drzwi do pomieszczenia z serwerami oraz archiwa. Niektórzy mówią również o składziku z ciastkami i kawą, ale jak na ironie losu te drzwi są pilnowane lepiej niż niejedno więzienie.

To na co audytor na pewno zwróci uwagę, to lokalizacja serwerowni i jej zabezpieczenia. „Strzałem w kolano” będzie zastanie przez audytora otwartych drzwi serwerowni podpartych pudłem, jeżeli nie gaśnicą (kumulacja błędów!). Jest to moment, w którym ciężko się nie uśmiechnąć, a następnie zajrzeć do środka. Po zastaniu otwartej sewerowni, albo archiwum, audytor na pewno opatrzy to stosownym, dotkliwie negatywnych komentarzem w raporcie z audytu.

Warto również sprawdzić drzwi przeciwpożarowe oraz drzwi na klatkę i taras.

Podsumowanie

Mamy sytuację: poinformowano o terminie audytu wewnętrznego lub zewnętrznego (od klienta albo z jednostki certyfikacyjnej), lub kontroli z urzędu. 

Co zrobić, aby wyeliminować te najprostsze sprawy w przestrzeni biurowej?

  1. Opracować politykę czystego biurka i ekranu (zakres: kwestie przetwarzania danych na biurku, ekranie, drukarce, skanerze, kwestie wyrzucania dokumentów do kosza na śmieci).
  2. W polityce bezpieczeństwa informacji lub polityce ochrony danych osobowych zawrzeć kwestie utylizacji dokumentów papierowych oraz nośników danych.
  3. Przeszkolić personel z bezpieczeństwa informacji, ochrony danych osobowych oraz funkcjonujących regulacji wewnętrznych.
  4. Przeprowadzić przegląd przestrzeni biurowej, a następnie ponowny przegląd jako próba generalna przed audytem lub kontrolą.
  5. Eskortować audytora (zwłaszcza zewnętrznego) i kontrolera. Generalnie gości powinno się eskortować i prowadzić, co by nie zboczyli strasy.
  6. Odpowiednio i merytorycznie odpowiadać. To niełatwa sprawa.
  7. Nie bać się audytora, ani kontrolera.

Powodzenia!

O Autorze

Tworzy procesy biznesowe, czyta ISO do kawy, lubi optymalizować, a governance i ryzyko to niemal jego guilty pleasure.
Zwolennik opowiadania o bezpieczeństwie w sposób merytoryczny, przystępny i żartobliwy.
Dostaje gęsiej skórki od malowania trawy na zielono oraz żyje w strachu przed za małymi budżetami na bezpieczeństwo.

Dziękujemy autorowi za to, iż zechciał podzielić się swoją wiedzą i doświadczeniem na łamach SecurityBezTabu.pl

Idź do oryginalnego materiału