Хората са най-слабото звено в корпоративната сигурност

Експерти по сигурността отдавна предупреждават за риска при използване на директен файлов обмен (peer-to-peer) по корпоративните мрежи между служители в компании и организации. Тази практика създава пробойни, през които изтича секретна информация и се промъква зловреден код.
Напоследък излизат доста факти, които потвърждават опасенията на експертите. Най-пресен пример е новината за изтичането на информация за дизайна на хеликоптера на американския президент по Р2Р мрежа между контрактор на министерството на отбраната и интернет потребител в Иран.
Служителите са най-слабото звено
Проблемът според експертите е, че служителите нарушават корпоративната политика за сигурност като използват P2P в работата си за обмен на MP3 файлове или снимки с колеги или пък носят служебните си лаптопи в къщи, където децата им инсталират софтуер за споделяне на файлове.
Според Скот Харър, директор на компанията за решения за сигурността Tiversa, в 93% от случаите разкриването на секретна информация чрез P2P е неволно. “В действителност не е възможно да се защитим от човешка грешка”, казва той. Ако потребителят не е достатъчно внимателен, когато споделя папки и файлове в Р2Р връзка, може да изложи на риск секретна информация на неговия компютър.
Другата опасност се крие в това, че програмите за Р2Р използват сложни криптирани протоколи и методи за заобикаляне на софтуерни защитни стени. На всичко отгоре, има случаи, когато Р2Р софтуер се използва за разпространяване на вируси и друг зловреден код. Пример за това е троянският кон, който циркулираше през януари по BitTorrent заедно с пиратските копия на iWorks 09.
Намаляване на риска до минимум
Производителите на Р2Р софтуер, администраторите на социални мрежи и доставчиците на съдържание обръщат сериозно внимание на проблемите за сигурността. Тяхната индустриална асоциация за разпределени компютърни дейности DCIA сформира работна група, която да намери начини за намаляване на риска за Р2Р мрежите и техните потребители. Асоциацията е подготвила доклад с указания в тази насока.
Според главният изпълнителен директор на DCIA Марти Лафърти, най-новата версия на популярния софтуер за споделяне на файлове LimeWire 5 включва доста от предложените от неговата асоциация препоръки и може да служи като “пример за съгласуваност”.
Докладът показва 100% съгласуваност с насоката, която препоръчва настройките по подразбиране да забраняват споделяне на потребителски файлове. Друг вариант е на потребителя да се предлага лесен начин да забранява функцията за споделяне на файлове.
Други насоки, с проценти на съгласуваност в диапазона от 29% до 71%, включват изискването потребителите да избират за споделяне отделни файлове от дадена папка, а не цялата папка. В този случай потребителят ще трябва да потвърждава всяка стъпка от процеса на споделяне на цялата папка. Това ще предотврати неволно споделяне на въшно устройство или системна папка от рода на "Documents and Settings", например.
Сред останалите насоки и препоръки има изисквания за предупреждаване на потребител в случай, когато дадени настройки могат да представляват заплаха за сигурността.
От асоциацията признават, че са загрижени за по-ранните версии на софтуера за споделяне на файлове, където има по-голяма вероятност потребителите да допуснат някоя от горните грешки. Те уверяват, че в новите версии е направено много за запушването на тези пробойни.

Коментар