Kategorie

Jak chronić dane firmy na pendrive'ach (przenośnych pamięciach USB)?

Ochrona danych. Po 25 latach od premiery oficjalnej specyfikacji USB 1.0, USB pozostaje kamieniem węgielnym w kategorii interfejsu sprzętu komputerowego – poczynając od serwerów, a kończąc na smartfonach. Przenośne pamięci USB zyskały ogromną popularność dzięki prostocie rozwiązania typu plug-and-play. Ta wygoda wiąże się z pewnym kompromisem, jeśli chodzi o bezpieczeństwo danych. Zabezpieczenia mogą przybrać różne formy: od wykorzystania gotowych do użycia urządzeń szyfrowanych sprzętowo, po bardziej rozbudowane i dopasowane do konkretnej firmy rozwiązania. Jak skutecznie zapewnić ochronę?

Pamięci USB - ochrona danych

Wykorzystanie pamięci USB (popularnie zwanych pendrive-ami) ma szczególne znaczenie w branżach operujących danymi wrażliwymi lub o znaczeniu strategicznym, zaczynając od finansów, poprzez opiekę zdrowotną i produkcję, po zastosowania wojskowe, a także w pracy zdalnej, gdy dostęp do sieci jest niemożliwy, podatny na zagrożenia lub niepraktyczny. Wybierając sposoby ochrony, warto postawić na rozwiązania dopasowane do konkretnych potrzeb. Najlepsze efekty może przynieść kompleksowe podejście – oparte o zabezpieczenie samego sprzętu, a także wdrożenie i egzekwowanie odpowiedniej polityki bezpieczeństwa.

Zarządzanie portami: oprogramowanie chroniące przed utratą danych w punktach końcowych

Korzystanie z programów, które automatycznie skanują pobierany plik i podłączane urządzanie oraz raportują i podejmują działania wobec podejrzanej zawartości, to już od dawna standardowa praktyka.
O krok dalej idzie oprogramowanie antywirusowe nowej generacji – NGAV. Zamiast polegać wyłącznie na stale aktualizowanej bazie sygnatur wirusów, dodaje funkcje uczenia maszynowego i wykrywania behawioralnego, które mogą rozpoznawać nieznane zagrożenia i przeciwdziałać im.
Organizacje chcące zapewnić jeszcze pełniejszą ochronę urządzeń peryferyjnych użytkownika, mogą wykorzystać oprogramowanie chroniące przed utratą danych w punktach końcowych (DLP), które pozwala na całkowite zablokowanie dostępu do portów USB i innych punktów dostępu. Choć w niektórych sytuacjach może być to konieczne, często jest niewygodne i niepraktyczne z punktu widzenia pracowników. Przyznanie uprawnień do otwarcia portów nie musi stanowić dużego zagrożenia, jeśli zostaną spełnione określone warunki. Podstawowym wymogiem jest pakiet aplikacji do zarządzania punktami końcowymi, który obejmuje skanowanie w poszukiwaniu zagrożeń w rozwiązaniach antywirusowych i chroniących przed złośliwym oprogramowaniem, a także scentralizowane monitorowanie i zarządzanie wszystkimi punktami końcowymi użytkownika.

Zaawansowane funkcje „białej listy”

Prostym, ale skutecznym podejściem, jest umieszczenie na „białej liście” urządzeń pamięci USB poprzez wykorzystanie wartości ich identyfikatorów dostawcy (VID) oraz identyfikatorów produktu (PID). Każdy producent urządzeń peryferyjnych USB ma unikalny identyfikator VID, natomiast PID zmienia się wraz z nowo wprowadzanym produktem. Wykorzystanie samego identyfikatora VID producenta nie byłoby więc skuteczne, ponieważ pozwoliłoby na podłączenie do urządzenia jego wszystkich kiedykolwiek wyprodukowanych urządzeń USB. Identyfikator PID oferuje większe możliwości i pozwala, aby tylko określony model miał dostęp do systemu hosta. 
- Niektórzy dostawcy oferują możliwość personalizacji zakupionego sprzętu, dzięki której możliwe jest stworzenie i zastosowanie specyficznych dla danej organizacji profili PID dla wielu szyfrowanych urządzeń pamięci flash USB. Firmy mogą dzięki temu nie tylko łatwiej korzystać z funkcji „białej listy”, ale także ze znacznie większej ochrony. Brak pasującego identyfikatora pozwala wykluczyć z dostępu nawet pozornie identyczne urządzenia zakupione samodzielnie przez pracowników. – mówi Robert Sepeta, Business Development Manager w Kingston Technology w Polsce. Bardziej zaawansowaną alternatywą jest użycie numerów seryjnych poszczególnych urządzeń. Każdy taki numer jest wówczas zarejestrowany w aplikacji do zarządzania punktami końcowymi. Wybór tej metody pozwala na stosowanie elastycznych zasad opartych na posiadaniu indywidualnego urządzenia pamięci oraz pozwala precyzyjnie śledzić pochodzenie konkretnych urządzeń.

Bezpieczne, zgodne z wymogami rozwiązania dla użytkowników zdalnych

Jeśli chodzi o bezpieczeństwo, urządzenia z „białej listy” stanowią tylko połowę rozwiązania. Dzięki jednoczesnemu zastosowaniu szyfrowania i ochrony hasłem, przenośna pamięć jest wyposażona w zabezpieczenia uniemożliwiające dostęp do poufnych danych w przypadku zgubienia, kradzieży lub pozostawienia urządzenia w potencjalnie podatnej na zagrożenia sytuacji. Nie jest to uniwersalne rozwiązanie, ponieważ techniki szyfrowania są różne, a najważniejsze różnice wychodzą na światło dzienne przy porównaniu rozwiązań oprogramowania i szyfrowania sprzętowego. Co jest zatem lepsze?
To zależy od potrzeb użytkownika, ale bardziej zasadne wydaje się pytanie: „Co jest bezpieczniejsze?”. Szyfrowanie programowe to zasadniczo rozwiązanie budżetowe, które może być zadowalające w niektórych sektorach, przy działalności na mniejszą skalę oraz w przypadku danych nieuznawanych za wrażliwe. W szyfrowaniu programowym konieczne są jednak aplikacje klienckie na komputerach, które wykonują zadania szyfrowania. Urządzenie jest bezpieczne w takim stopniu, w jakim bezpieczny jest obsługujący je komputer. Hakerzy mający dostęp do pamięci komputera, mogą odczytać klucze szyfrowania/deszyfrowania.

Szyfrowanie na chipie: odporne i szybkie rozwiązanie

Szyfrowana sprzętowo pamięć USB działa niezależnie od komputera, ponieważ zawiera dedykowany procesor wbudowany w samo urządzenie, który zarządza szyfrowaniem. Chroni w ten sposób stale również przed siłowymi atakami z wykorzystaniem hasła – zaszyfrowane dane nie są dostępne i nie można ich skopiować. Niektóre pamięci przenośne klasy korporacyjnej czy wojskowej wykorzystują 256-bitowe szyfrowanie AES w trybie XTS. Wykorzystując dwa oddzielne klucze na różnych etapach procesu szyfrowania/deszyfrowania, tryb XTS zapewnia podobny efekt jak dwukrotne szyfrowanie danych. Ponieważ uwierzytelnianie odbywa się w sprzętowej warstwie kryptograficznej urządzenia, klucze szyfrujące i inne krytyczne funkcje bezpieczeństwa są chronione przed typowymi zagrożeniami, takimi jak luka BadUSB, ataki oparte na zimnym rozruchu, użycie złośliwego kodu czy ataki siłowe. W przypadku szyfrowania sprzętowego wydajność pamięci jest znacznie lepsza niż pamięci szyfrowanej programowo, ponieważ nie występuje przenoszenie zadań szyfrowania na komputer pełniący funkcję hosta. Wszystko odbywa się w urządzeniu pamięci. Warto zwrócić uwagę, czy pamięć USB wyposażona jest dodatkowo w podpisane cyfrowo sterowniki oprogramowania sprzętowego, które uniemożliwiają jakąkolwiek manipulację przy oprogramowaniu sprzętowym w urządzeniu. Chronią one przed atakami przez lukę BadUSB, właściwą dla oprogramowania sprzętowego urządzeń USB.

Bezpieczna i zgodna z wymogami praca zdalna

W przypadku osób pracujących zdalnie przebywanie z dala od bezpiecznego środowiska pracy w organizacji wymaga zrewidowania strategii, a także nowego spojrzenia na priorytety. Blokowanie portów USB w laptopie pracownika, może nie być skuteczne w przypadku, gdy alternatywą jest połączenie przez Internet z serwerem w celu przesłania lub pobrania dokumentów. Zwłaszcza podczas podróży, jedyną dostępną alternatywą może być otwarte połączenie internetowe, zapewniane przez niezabezpieczony lub niezaufany punkt dostępowy Wi-Fi, co jest znacznie bardziej ryzykowne.
Połączenie sieciowe organizacji z Internetem to tylko kolejny punkt końcowy, który ze względu na nieuniknioną ekspozycję jest jednocześnie wyjątkowo wrażliwym i narażonym na ataki punktem wejściowym. Otwarcie go na zdalny dostęp, niesie ze sobą odrębne zagrożenia, zwłaszcza w przypadku danych wrażliwych. Zaopatrzenie pracowników zdalnych w urządzenia pamięci USB zabezpieczone hasłem i szyfrowane sprzętowo skutecznie eliminuje potencjalne luki sieciowe. Jednak wprowadzenie takiego rozwiązania wymaga dokładnego sprawdzenia dostępnych urządzeń pamięci USB i tego, jak spełniają one wymogi określonego środowiska pracy zdalnej. Nie sprowadza się to wyłącznie do wyboru pojemności pamięci lub tego, czy powinna ona mieć zarejestrowany numer seryjny. Istotna jest również fizyczna konstrukcja samego urządzenia.

Zabezpieczenie przed ingerencją: solidne rozwiązania

Poziom zabezpieczenia urządzeń określają odpowiednie standardy branżowe. Jednym z taki standardów jest FIPS 140-2, który ma kilka poziomów odpowiadających odporności fizycznej konstrukcji urządzenia pamięci bez uwzględniania metod kryptograficznych. Powiązany certyfikat FIPS-197 obejmuje wyłącznie atrybuty szyfrowania sprzętowego, co nie gwarantuje ochrony przed fizyczną ingerencją. W przypadku certyfikatu FIPS 140-2 Level 3 metody zastosowane w celu ujawnienia manipulacji przy urządzeniu są oceniane jako rozwiązania klasy militarnej.

W przypadku najbardziej zaawansowanej ochrony, stosowane są fizyczne rozwiązania, np. żywica epoksydowa, która po zastygnięciu tworzy wyjątkowo twardą powłokę. W najbardziej podstawowym zastosowaniu żywica epoksydowa zabezpiecza obudowę poprzez wyjątkowo wytrzymałe uszczelnienie, które ujawnia każdą próbę ingerencji. 
- Dla najbardziej wymagających klientów na rynku dostępne są rozwiązania, które łączą bezpieczeństwo fizyczne i kryptograficzne. Wśród naszych urządzeń można np. znaleźć takie, w których żywica epoksydowa użyta jest do pokrycia wszystkich obwodów odpowiedzialnych za zabezpieczenie, a także do sklejenia elementów wewnętrznych z obudową. Każda próba otwarcia metalowej obudowy byłaby niezwykle trudna i spowodowałaby pęknięcie wewnętrznych układów i innych komponentów, skutkując utratą funkcjonalności pamięci. Po nałożeniu twardej i nieprzezroczystej żywicy epoksydowej ingerencja w kluczowe komponenty staje się praktycznie niemożliwa. – mówi Robert Sepeta.

Co wybrać?

Chociaż na papierze specyfikacje mogą wydawać się imponujące, losowy wybór modelu bez żadnej weryfikacji niekoniecznie zapewni idealne dopasowanie nośnika w niektórych organizacjach o bardziej rygorystycznych wymaganiach. W takim przypadku, warto skorzystać z profesjonalnego doradztwa oraz personalizowanych rozwiązań, które zostaną dostosowane do specyficznych wymogów firmy. Dostosowany może być np. profil bezpieczeństwa aplikacji uruchamiającej, który umożliwia włączenie funkcji podpowiedzi do haseł, określenie  maksymalnej liczby prób wprowadzenia hasła czy jego zdalnego resetowania.

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Księgowość
    1 sty 2000
    14 cze 2021
    Zakres dat:

    Polskie Ład. Wyższe dopłaty do paliwa dla rolników od 2022 r.

    Polskie Ład dla rolnictwa. W ramach programu ma nastąpić podniesienie stawki dopłaty do 110 zł na hektar. Wypłata dopłat według podwyższonej stawki ma nastąpić w I połowie 2022 r.

    Polski Ład - wsparcie dla rolnictwa

    Polski Ład - rolnictwo. 12 czerwca 2021 r. premier Mateusz Morawiecki podczas debaty dot. Polskiego Ładu dla rolnictwa i rozwoju obszarów wiejskich w Instytucie Zootechniki w Balicach koło Krakowa, przedstawił szereg pozytywnych zmian jakie czekają rolników. Ważniejsze zmiany, to: wyższe dopłaty do paliwa dla rolników, uwolnienie rolniczego handlu detalicznego, ustawa o rodzinnych gospodarstwach rolnych, kodeks rolny, E-okienko dla rolnika, cyfrowy system pozwalający na identyfikowanie żywności „od pola do stołu”, centralny system informatyczny zasobu państwowej ziemi.

    Ulga klęskowa w podatku rolnym

    Ulga klęskowa w podatku rolnym jest preferencją podatkową, która przewidziana jest w przypadku wystąpienia klęski żywiołowej. Jak działa ulga klęskowa? Jakie są zasady przyznawania ulgi?

    Błąd w rozliczeniach nie jest oszustwem podatkowym

    Sankcje w VAT. Podatnik nie może być karany za błąd, który nie jest oszustwem lub uszczupleniem podatkowym - tak uznał Trybunał Sprawiedliwości Unii Europejskiej.

    Usługi gastronomiczne na kasie fiskalnej online - interpretacje

    Kasy fiskalne online w branży gastronomicznej pojawiły się od 1 stycznia 2021 r. Obowiązek wymiany starych kas na nowe objął bowiem usługi związane z wyżywieniem świadczone przez stacjonarne placówki gastronomiczne. Pojawiło się jednak szereg wątpliwości interpretacyjnych związanych z nowym obowiązkiem. Oto niektóre z nich.

    Polski Ład. Ile będą kosztowały zmiany podatkowe?

    Polskie Ład. Najważniejsze zmiany jeśli chodzi o kwestie ubytku PIT to jest ok. 22 mld zł dla całego sektora, dodatkowo przewidujemy ok. 4-4,5 mld zł kosztów z tego pakietu ulg dla małych i średnich przedsiębiorstw - powiedział wiceminister finansów Piotr Patkowski.

    Przeniesienie firmy za granicę a podatek w Polsce

    Przeniesienie działalności gospodarczej za granicę. Zapowiadane zmiany w ramach Polskiego Ładu, rosnące koszty prowadzenia firmy, niejasne przepisy i nadmierna biurokracja – to czynniki, przez które wielu przedsiębiorców rozważa przeniesienie działalność za granicę. Jednak samo zarejestrowanie firmy w innym kraju (nawet w UE) nie zwalnia automatycznie z płacenia podatków i składek ubezpieczeniowych w Polsce.

    Kiedy osoba fizyczna ma rezydencję podatkową w Polsce?

    Polska rezydencja podatkowa. Ministerstwo Finansów opublikowało objaśnienia podatkowe z 29 kwietnia 2021 r. dotyczące zasad ustalania rezydencji podatkowej oraz zakresu obowiązku osoby fizycznej w Polsce. Zdaniem ekspertów PwC te objaśnienia mogą być postrzegane jako zapowiedź szczególnego zainteresowania władz podatkowych rezydencją osób fizycznych, które utraciły lub utracą rezydencję podatkową w Polsce.

    Czy opodatkowanie firm w Czechach jest niższe?

    Opodatkowanie działalności gospodarczej w Czechach nie jest znacząco korzystniejsze niż w Polsce - stwierdza Polski Instytut Ekonomiczny. Analitycy zwracają uwagę, że zależy ono m.in. od branży, w której działa firma, poziomu przychodów oraz relacji między przychodami a kosztami.

    Kto musi mieć kasę fiskalną online od 1 lipca 2021 r.?

    Kasy fiskalne online. Od 1 lipca 2021 r. kolejna grupa podatników zobowiązana jest do obowiązkowego ewidencjonowania sprzedaży za pomocą kas fiskalnych online. Których podatników dotyczy ten obowiązek?

    Obowiązek podatkowy drugiego stopnia w akcyzie

    Podmiotowość podatników akcyzy z tytułu obowiązku podatkowego drugiego stopnia jest przedmiotem daleko idących kontrowersji, zresztą z wielu powodów – pisze profesor Witold Modzelewski.

    Pusta faktura wymaga udowodnienia

    Puste faktury. Urząd skarbowy oskarżył firmę o nabycie pustych faktur, mimo że zeznania świadków wyraźnie stwierdzały co innego. Sprawę rozstrzygnął sąd administracyjny.

    Skutki podatkowe wycofania samochodu ze spółki cywilnej

    Skutki podatkowe wniesienia i wycofania samochodu do spółki cywilnej - cz. II wycofanie samochodu ze spółki cywilnej.

    Zwrot VAT niektórym podmiotom - zmiany od 1 lipca 2021 r.

    Zwrot VAT. Ustawodawca przygotował projekt nowego rozporządzenia w zakresie zwrotu VAT niektórym podmiotom. Nowe regulacje zaczną obowiązywać od 1 lipca 2021 r. Co się zmieni?

    Zarobki w Szwecji. Ile można zarobić zbierając jagody?

    Zarobki w Szwecji. Z danych Szwedzkiego Urzędu Statystycznego wynika, że średnia pensja w Szwecji wynosi 35,3 tys. koron brutto (ok. 15 tys. zł). Mediana wynosi 31,7 tys. koron brutto (ok. 14 tys. zł).

    Raportowanie niefinansowe ESG zyskuje na znaczeniu

    Raportowanie niefinansowe ESG (environmental, social i governance). Inwestorzy coraz częściej szukają informacji o wpływie spółek na środowisko i społeczeństwo. Polskie firmy rzadko jednak raportują takie kwestie. Dlaczego warto raportować? Co powinny zawierać raporty ESG?

    Globalna stawka CIT a realna działalność gospodarcza

    Globalna stawka CIT. Polska nie poprze planu wprowadzenia globalnego minimalnego poziomu podatku od przedsiębiorstw, o ile nie będzie klauzuli wyłączającej z niego istotną działalność gospodarczą prowadzoną w kraju - powiedział dziennikowi "Financial Times" minister finansów Tadeusz Kościński.

    ZUS w Polsce vs. ZUS w Anglii

    Ubiegły miesiąc okazał się niezwykle istotny dla polskiej gospodarki. Premier Morawiecki ogłosił główne założenia „Nowego Ładu”, czyli programu ekonomiczno-społecznego, którego założeniem ma być zniwelowanie strat, jakie w naszej gospodarce poczyniła pandemia koronawirusa. Jednakże nie dla wszystkich plan ten okazał się dobrym pomysłem; co więcej, wzbudził wśród pewnej części społeczeństwa spore obawy.

    Nowelizacja ustawy o AML – nowe obowiązki dla rynku walut wirtualnych

    Nowelizacja ustawy o AML. Wirtualne waluty to ekspresowo rozwijająca się branża z dziedziny nowoczesnych technologii. Jednak zarówno wydobycie, sprzedaż, wymiana i spekulacja walutami nie jest zarezerwowana wyłącznie dla przedsiębiorców jako inwestycja czy środek płatniczy. Walutę wirtualną często wykorzystuje się również do realizacji nieuczciwych celów i w ramach działań niezgodnych z prawem. W związku z tym pojawiają się kolejne regulacje prawne – zarówno krajowe, jak i międzynarodowe – dotyczące AML/CFT. 15 maja 2021 weszła w życie nowelizacja ustawy o AML. Co warto o niej wiedzieć?

    Blockchain w księgowości – przyszłość, która już zapukała do drzwi

    Blockchain w księgowości. Wiele wskazuje na to, że rachunkowość oparta o nowe technologie, w tym technologię blockchain to nieodległa przyszłość. Prowadzenie księgowości z wykorzystaniem rejestru rozproszonego i inteligentnych umów może pomóc przedsiębiorcom osiągać większe dochody szybciej i łatwiej. Jednocześnie, wprowadzanie nowych rozwiązań zawsze wiąże się z pewnymi wyzwaniami. Czy wątpliwości branży księgowej związane z blockchainem są uzasadnione?

    Ulga na ekspansję - kto skorzysta i na jakich zasadach?

    Ulga na ekspansję, która została zaproponowana w ramach Polskiego Ładu, ma objąć przedsiębiorstwa, w tym małe i średnie podmioty, które podejmują ekspansją na rynki zagraniczne. Na jakich warunkach będzie można korzystać z ulgi na ekspansję? Kiedy ulga wejdzie w życie?

    Dodatkowe prace a opodatkowanie VAT kar umownych

    VAT od kar umownych - dodatkowe prace. W trakcie realizacji projektu budowlanego mogą wystąpić nowe okoliczności, takie jak np. problemy z gruntem czy wady dokumentacji projektowej. Może to spowodować konieczność podjęcia dodatkowych prac, a tym samym poniesienia dodatkowych kosztów przez wykonawcę, które powinny obciążać zamawiającego. Strony umowy budowlanej muszą ustalić, czy taka kara umowna podlega, czy nie podlega opodatkowaniu VAT.

    Jak postrzegamy księgowych? Sowa, mrówka czy leniwiec?

    Księgowi są nazywani zaufanymi doradcami i wysokiej klasy specjalistami. Chociaż te określenia brzmią poważnie, po pracy często rozwijają nietypowe zainteresowania, jak sporty ekstremalne, sztuki walki, żeglarstwo bądź śpiew w chórze. Sposób, w jaki ich odbieramy, pokazują też metafory. Księgowego można porównać do wielu zwierząt – mądrej sowy, walecznego tygrysa bądź pracowitej mrówki. Z okazji Dnia Księgowego postanowiliśmy przyjrzeć się wizerunkowi specjalistów od rachunkowości.

    Nowy podatek od elektroniki uderzy w twórców i konsumentów

    Opłata reprograficzna. Nowy podatek od elektroniki uderzy w kieszenie konsumentów i przedsiębiorców, nie pomoże twórcom - stwierdził Związek Cyfrowa Polska, wydając negatywną ocenę do projektu ustawy o uprawnieniach artysty zawodowego w ramach konsultacji społecznych resortu kultury.

    Podatkowa grupa kapitałowa – rozliczenie straty

    Podatkowa grupa kapitałowa. Spośród pięciu spółek tworzących grupę jedna przyniosła stratę, a cztery dochody. Spółka dominująca pomniejszyła o tę stratę podatek dochodowy wykazany i zaliczkowany przez cztery rentowne spółki, zachowując powstałą na plus różnicę zaliczek CIT, a następnie rozdysponowując ją pomiędzy siebie i spółkę przynoszącą straty. Była pewna, że to działanie będzie obojętne podatkowo, ale fiskus stwierdził, że jest to przysporzenie majątku tych spółek i musi zostać opodatkowane jak zwykły przychód. Spór między przedsiębiorcą a Dyrektorem Krajowej Informacji Skarbowej rozstrzygnął sąd, stwierdzając, że: „Stanowisko KIS jest nie tylko nieprawidłowe, ale także nielogiczne i sprzeczne wewnętrznie. Jest również wyrazem nadmiernego fiskalizmu państwa”.