Securitatea mediilor de stocare USB-Flash

Cuprins

1. Preambul
2. Raspandirea stick-urilor USB in mediul Enterprise
3. Riscurile utilizarii memoriilor USB: pierderea sau furtul datelor
4. Practicile nesigure si metodele de protectie ineficiente

1. Preambul

Inca de la aparitia pe piata a mediilor de stocare USB, acestea au fost adoptate rapid de catre utilizatorii nemultumiti de neajunsurile floppy-disk-urilor. Dimensiunea redusa a acestora alaturi de viteza relativ mare de transfer a datelor si capacitatea mare, comparabila cu cea a dischetelor, au transformat mediile flash-USB (”stick-uri de memorie”) in cele mai raspandite si utilizate medii de stocare si transfer de date. O statistica a Gartner arata ca pana in vara anului 2007, peste 85 de milioane de astfel de dispozitive au fost vandute, la nivel mondial, iar mai mult de un sfert dintre acestea sunt utilizate exclusiv in mediul enterprise. Odata cu raspandirea acestor medii de stocare, riscurile asociate cu utilizarea dischetelor pentru transportul informatiilor au fost transferate in tabara utilizatorilor stick-urilor de memorie. Principalele riscuri asociate cu utilizarea memoriilor flash sunt:
– pierderea coruperea datelor continute pe stick
– transmiterea de virusi informatici
– pierderea sau furtul dispozitivului USB
– pierderea confidentialitatii datelor continute de stick-ul USB
Acest articol doreste sa aduca o noua perspectiva asupra pericolelor utilizarii dispozitivelor USB pentru transportul si stocarea datelor importante, marcand atat principalele riscuri asociate cu folosirea acestor dispozitive cat si practicile nesigure si metodele de protectie ineficiente implementate in majoritatea mediilor enterprise.

2. Raspandirea stick-urilor USB in mediul Enterprise

In mediul IT al companiilor private si al  institutiilor publice, dispozitivele USB au cunoscut o raspandire rapida, fiind adoptate de utilizatori ca si inlocuitor al dischetelor si al mediilor optice (CD/DVD). Un studiu elaborat de Sandisk, unul dintre cei mai mari producatori de memorii flash de pe planeta, indica faptul ca peste 75 la suta dintre angajatii unei companii medii utilizeaza zilnic stick-urile USB pentru a stoca si transporta datele din reteaua interna a companiei. In multe cazuri, transferul de date este cerut de activitatea angajatului insa exista situatii in care date confidentiale ale companiei, ajung pe stick-urile USB ale angajatilor. Acelasi studiu condus de Sandisk indica diversele tipuri de documente si date, ce sunt salvate pe stick-uri USB de catre angajati, si parasesc reteaua companiei odata cu utilizarea stick-urilor USB si in alte medii decat reteaua de la serviciu:

• date despre clienti – 25%
• informatii financiare  - 17 %
• planuri de afaceri – 15 %
• date despre angajati – 13 %
• planuri de marketing – 13 %
• documente – proprietate intelectuala – 6 %
• codul sursa al produselor software dezvoltate de companie – 6 %
• alte informatii sensibile – 5 %

Putem concluziona cum ca aceste tipuri de documente si datele continute, reprezinta informatii cu caracter confidential al companiilor iar pagubele provocate de pierderea sau dezvaluirea acestora pot fi substantiale.

3. Riscurile utilizarii mediilor USB: pierderea sau furtul datelor

In preambulul acestui articol am enumerat principalele riscuri la care este expus utilizatorul unui mediu de transfer si transport de tip USB flash-drive. Daca riscurile infectarii cu virusi informatici poate fi mitigat in mediul enterprise, prin utilizarea de solutii anti-malware, pierderea, compromiterea, dezvaluirea sau furtul datelor reprezinta cele mai importante dintre riscurile la care este expusa o companie sau institutie ce utilizeaza astfel de medii de stocare. In cazul institutiilor de stat, aceste riscuri sunt deosebit de ridicate deoarece informatiile transportate prin flash-drive-uri USB, pot fi foarte sensibile iar compromiterea acestora poate afecta si alte entitati decat institutia respectiva. Pierderea sau compromiterea, dezvaluirea unor date contabile, ce sunt confidentiale prin natura lor, ar putea provoca un prejudiciu important atat persoanei responsabile cu transmiterea acestor date si mai ales, clientului.

In prezent nu exista reglementari de ordin legal in privinta utilizarii suportilor de memorie de tip flash pentru stocarea si transportul de informatii, ci mai degraba o serie de recomandari generice, continute de anexele unor ordonante si hotarari ale ministerelor de Finante si de Sanatate, care certifica utilizarea acestui tip de dispozitive ca si suport acceptat pentru transportul documentelor.

Atat in cazul institutiilor publice ca si in cazul companiilor private, departamentele de specialitate (IT, IT Security) implementeaza o serie de politici de securitate ce privesc utilizarea acceptabila a stick-urilor USB in cadrul companiei. Aceste documente vin ca si suport pentru uniformizarea utilizarii acestor memorii, la nivelul companiei, insa, de cele mai multe ori, sunt fie lipsite de consistenta fie foarte permisive. Aditional acestor masuri documentare, departamentele de specialitate apeleaza la metode de cele mai multe ori inadecvate pentru a proteja confidentialitatea informatiilor copiate pe stick-uri USB. Mai multe despre aceste masuri in sectiunea urmatoare.
Putem concluziona, in privinta acestor riscuri, cum ca doar un proces continuu de constientizare si formare a factorului uman in privinta utilizarii dispozitivelor de tip stick-USB, alaturi de o serie de masuri tehnice specifice, poate creea un mediu sigur in privinta pastrarii confidentialitatii si integritatii datelor transportate pe memorii USB.

4. Practici nesigure si metode de protectie insuficiente

Am trecut in revista principalele riscuri la care sunt expuse informatiile institutiilor publice si ale companiilor private, atunci cand sunt transportate prin suporti USB-Flash. In aceasta sectiune vom puncta practicile nesigure care pot duce la realizarea riscurilor mentionate in sectiunile anterioare.
Pierderea datelor transportate pe stick-urile USB este asociata, de cele mai multe ori, cu pierderea, distrugerea sau furtul dispozitivului USB in sine. In aceasta situatie, gasitorul memoriei USB poate accesa nestingherit toate informatiile continute deoarece, in vasta majoritate a cazurilor, acestea nu sunt criptate si/sau protejate prin parola. In cazul distrugerii accidentale sau intentionate a stick-ului USB, informatiile continute sunt pierdute atat timp cat nu exista o copie de siguranta a acestora. Neglijenta in transportul si stocarea dispozitivelor USB precum si lipsa oricarei protectii logice a informatiilor continute, de tip criptare, backup, protejare prin parola, reprezinta o practica ce poate duce la pierderea datelor copiate pe memoria USB.

O alta practica nesigura o reprezinta utilizarea stick-urilor USB pentru a copia informatii din mai multe surse. In cazul in care un stick USB este instalat in mai multe computere, sansele ca fisierele copiate pe stick sa ajunga a fi infectate cu virusi informatici creste substantial. Pentru utilizatorii obisnuiti reprezinta o practica comuna folosirea stick-ului USB atat pentru a transporta informatii sensibile cat si pentru a stoca sau muta fisiere personale, copiate de pe calculatorul de acasa sau de pe laptop-ul prietenilor. Riscul de a compromite atat datele continute pe stick cat si celelalte calculatoare in care stick-ul este montat, este cu atat mai mare cu cat respectivele sisteme nu utilizeaza software anti-virus, anti-spyware etc.

Recurenta acestor practici, in companii si institutii, a dus la implementarea unor masuri de siguranta in exploatarea dispozitivelor de stocare portabile, masuri care, de cele mai multe ori, se dovedesc a fi insuficiente sau improprii. Cele mai comune practici in aceasta privinta sunt dezactivarea porturilor USB de pe statiile de lucru, inventarierea stick-urilor USB ce apartin companiei sau limitarea drepturilor de scriere si/sau citire a informatiilor continute pe memoriile respective.

Consideram aceste metode de protectie ca fiind ineficiente si improprii unei utilizari rationale si sigure a stick-urilor USB. Scopul metodelor de protectie nu ar trebui sa fie acela de a inlatura posibilitatea de folosire a acestora, ci ar trebui sa faciliteze utilizarea memoriilor in conditii de siguranta. Elaborarea unei politici de securitate stricta in acest sens sustinuta de elemente de constientizare a utilizatorilor in privinta pericolelor utilizarii stick-urilor USB pentru a transporta date confidentiale, alaturi de implementarea unor sisteme de monitorizare si control centralizat al dispozitivelor de acest fel, utilizarea de flash-uri USB ce permit criptarea informatiilor si/sau protejarea acestora prin parola, back-up regulat al informatiilor copiate pe stick-uri, duc la crearea unui mediu de utilizare sigur si eficient.

Mai multe despre produse si tehnologii ce permit criptarea informatiilor de pe stick-urilor USB intr-un articol viitor!

Cele mai sigure stick-uri USB din lume, sunt disponibile in Romania prin site-ul USBS.ro! Dispozitivele IronKey ofera posibilitati multiple de securizare a informatiilor ce sunt stocate si transportate, oferind in acelasi timp criptare hardware la nivel militar, constructie solida din metal si rezistenta la socuri mecanice si la tentative de distrugere!