USB drives: Δούρειος Ίππος για τα IT συστήματα;

Αναμφισβήτητα είναι πολλά τα θετικά που επιφέρει η χρήση των USB drives. Παράλληλα όμως η χρήση τους κρύβει σημαντικούς κινδύνους για την ασφάλεια των πληροφοριών των Οργανισμών ή των επιχειρήσεων, γι’ αυτό και πρέπει να λαμβάνονται τα απαραίτητα μέτρα. Τα USB drives ή αλλιώς memory sticks όπως έχουμε συνηθίσει να τα αποκαλούμε αποτελούν πλέον τον πιο διαδεδομένο τρόπο μεταφοράς αρχείων. Συνδυάζουν ευκολία χρήσης και ουσιαστικά αποτελούν μικρούς φορητούς δίσκους που μπορούν εύκολα να προσαρμοστούν στον οποιοδήποτε υπολογιστή.

Αυτά τα πλεονεκτήματα έκαναν τα USB sticks μέσα σε λίγα χρόνια την πρώτη επιλογή για μεταφορά αρχείων, τόσο για εφαρμογές οικιακής χρήσης όσο και στο επαγγελματικό περιβάλλον. Με τη χρήση τους διευκολύνεται η εργασία όσων συνηθίζουν να εργάζονται σε διαφορετικούς υπολογιστές ή χρησιμοποιούν εναλλάξ φορητούς και σταθερούς υπολογιστές. Φορητούς όταν βρίσκονται σε επαγγελματικά ταξίδια και σταθερούς όταν επιστρέφουν στο γραφείο τους. Tα πλεονεκτήματα των USB sticks είναι πολλά και σημαντικά, όμως είναι δεδομένο ότι ταυτόχρονα αποτελούν πλέον το νούμερο 1 εφιάλτη των υπευθύνων των Τμημάτων Πληροφορικής και ειδικότερα όσων ασχολούνται με θέματα ασφάλειας.

Μια απειλή καταρχήν είναι η υφαρπαγή πολύτιμων δεδομένων που μπορεί να γίνει στο πλαίσιο επιχειρηματικής κατασκοπείας. Επίσης, μπορεί η απώλεια των δεδομένων να είναι ακούσια, όταν κατά λάθος χαθεί ένα stick μέσα στο οποίο βρίσκονται αποθηκευμένα πολύτιμα δεδομένα. Μια άλλη σημαντική απειλή είναι η ευκολότερη διάδοση ιών και επικίνδυνου λογισμικού. Υπάρχουν παραδείγματα στα οποία η εισαγωγή ενός μολυσμένου stick σε έναν υπολογιστή πυροδότησε μια αλυσιδωτή αντίδραση, με τελικό αποτέλεσμα την κατάρρευση των περισσότερων εκ των τερματικών τα οποία ήταν συνδεδεμένα στο ίδιο δίκτυο. Για να αντιμετωπισθούν αποτελεσματικά αυτά τα προβλήματα είναι απαραίτητη η υιοθέτηση και εφαρμογή ορισμένων μέτρων προστασίας στο πλαίσιο της γενικότερης πολιτικής ψηφιακής ασφάλειας των επιχειρήσεων. Μια απλή λύση φυσικά θα ήταν να απαγορευτεί εξ ολοκλήρου η χρήση των USB sticks, με την απενεργοποίηση σε όλους τους υπολογιστές των αντίστοιχων θυρών. Εντούτοις, η λύση αυτή ισοδυναμεί με την απλή λαϊκή ρήση ότι ΄΄πονάει χέρι- κόβει χέρι΄΄. Ακριβώς λόγω του υπερβολικού χαρακτήρα της λύσης και σε συνδυασμό με την εύλογη επιθυμία των χρηστών να μπορούν να μεταφέρουν αρχεία για επαγγελματικούς σκοπούς, μπορεί αυτή να οδηγήσει σε πιέσεις για χαλάρωση του μέτρου και ως εκ τούτου τη δημιουργία πάλι κενών ασφαλείας.
Μια αποτελεσματικότερη πρόταση θα ήταν η απαγόρευση χρήσης απροστάτευτων USB sticks και η χορήγηση στους υπαλλήλους των ειδικών sticks που διαθέτουν ενσωματωμένες ορισμένες δικλείδες ασφαλείας. Η λύση αυτή είναι αποτελεσματικότερη, διότι επιτρέπει στους εργαζόμενους να συνεχίσουν την εργασία τους και μειώνει στο μέγιστο τους κινδύνους από τη χρήση οποιουδήποτε stick. Επιπλέον θα πρέπει να γίνονται κατά τακτά χρονικά διαστήματα έλεγχοι και αν διαπιστωθεί ότι κάποιος χρησιμοποιεί τα μη σωστά sticks να υποστεί τις ανάλογες συνέπειες. Έτσι θα υπάρχει σε όλους η έγνοια του έλεγχου ώστε να χρησιμοποιούν τις σωστές συσκευές. Παράλληλα, δεν θα έχουν καμία δικαιολογία ότι δεν μπορούν να μεταφέρουν με άλλο τρόπο τα αρχεία τους. Το κόστος για την προμήθεια αυτών των sticks μπορεί να είναι κάπως μεγαλύτερο, αλλά θα γίνει απόσβεση από την εξάλειψη των απειλών που θα υπήρχαν σε αντίθετη περίπτωση. Η εκπαίδευση των χρηστών αποτελεί άλλη μία σημαντική πτυχή της ασφάλειας των πληροφοριακών δικτύων μιας επιχείρησης. Πολλές φορές οι IT administrators έχουν την αίσθηση ότι όλοι οι χρήστες των υπολογιστών σε μία επιχείρηση έχουν τον ίδιο ή λίγο μικρότερο βαθμό εξοικείωσης με τους υπολογιστές, με αυτούς. Αποτέλεσμα αυτού είναι να θεωρούν δεδομένο ότι γνωρίζουν να παίρνουν και τα απαραίτητα μέτρα προφύλαξης, μέχρι φυσικά αποδείξεως του αντιθέτου. Μόνο που τότε είναι συνήθως πολύ αργά για την αντιμετώπιση της απειλής. Για το λόγο αυτό είναι απαραίτητο να γίνονται περιοδικά σεμινάρια με σκοπό την εξοικείωση των χρηστών με τους διάφορους κινδύνους και τους τρόπους με τους οποίους μπορούν αυτοί να αντιμετωπισθούν ή να μειωθούν σημαντικά.
Τέλος, η κεντρική διαχείριση του δικτύου θα βοηθήσει σημαντικά στη θωράκισή του. Με τη χρήση ειδικών λογισμικών προστασίας θα είναι εφικτό να διαπιστώσουν οι IT administrators πότε εισάγεται ένα επικίνδυνο USB stick και σε ποιον υπολογιστή και αναλόγως να πράξουν. Με αυτόν τον τρόπο αντισταθμίζεται και η προαναφερθείσα αδυναμία των χειριστών να διαπιστώσουν τους πραγματικούς κινδύνους για τα υπολογιστικά συστήματα. Επίσης, μέσω του κεντρικού ελέγχου θα μπορούν ανάλογα να ρυθμίζουν τα δικαιώματα πρόσβασης των διάφορων χρηστών – κρίνοντας από τη γενική συμπεριφορά τους – ή να αλλάζουν τους τρόπους εισαγωγής δεδομένων σε έναν υπολογιστή. Παραδείγματος χάρη, μπορεί σε έναν υπολογιστή που χρησιμοποιείται από τους επισκέπτες της επιχείρησης να ακυρώσουν τη USB θύρα αμέσως, χωρίς να χρειάζεται να μεταβεί κάποιος τεχνικός στο χώρο όπου βρίσκεται ο συγκεκριμένος υπολογιστής.
Φυσικά, επειδή όσα μέτρα προστασίας και αν ληφθούν πάντα ενέχει ο κίνδυνος να μην είναι εκατό τοις εκατό αποτελεσματικά, θα πρέπει να γίνονται ανά σύντομα χρονικά διαστήματα αντίγραφα ασφαλείας από όλα τα δεδομένα της επιχείρησης που είναι ζωτικά για τη λειτουργία της, ώστε σε περίπτωση κατάρρευσης του συστήματος να μπορεί σύντομα να γίνει η αποκατάσταση της ομαλής λειτουργίας της με την επαναφορά αυτών των δεδομένων.
Κανείς δεν μπορεί να αμφισβητήσει ότι τα USB sticks αποτελούν ίσως το πιο αποτελεσματικό μέσο μεταφοράς μεγάλου όγκου δεδομένων που έχει εμφανιστεί μέχρι σήμερα. Απλώς, η εξάπλωσή τους μας έφερε αντιμέτωπους με διεύρυνση των ψηφιακών απειλών. Αυτό όμως δεν σημαίνει ότι πρέπει να σταματήσουμε να το χρησιμοποιούμε. Αντιθέτως, αν γίνεται λελογισμένη χρήση τους και με εφαρμογή ορισμένων βασικών μέτρων προστασίας, μπορούμε να συνεχίσουμε να κάνουμε χρήση των σημαντικών πλεονεκτημάτων του. Αυτό που πρέπει να γίνει κατανοητό είναι ότι απλώς η εφαρμογή αυτών των μέτρων αποτελεί μέριμνα όλων: Από τους IT administrators έως τους απλούς χρήστες των υπολογιστών μιας επιχείρησης.

John Jefferis
Vice President
Ironkey