Anatomia ochrony laptopa

Urządzenia mobilne stanowią łatwy i łakomy kąsek dla złodzieja. Choćby dlatego, że nawet nie wiadomo, jak są zabezpieczone na poziomie programowym i sprzętowym. Dlatego zawsze dobrze mieć kopie ważnych dla nas danych (także na wypadek awarii, nie tylko utraty sprzętu). – Właściwie można uznać za bardzo prawdopodobne, że każde przenośne urządzenie prędzej czy później zostanie skradzione. W analizie ryzyka należy tę możliwość uwzględnić – przestrzega Mikołaj Kopeć, ekspert firmy BCMG, i dodaje, że równie prawdopodobne jest to, że dostęp do naszych przenośnych urządzeń uzyskają osoby nieuprawnione. Trzeba więc zadbać o minimalizowanie ewentualnych skutków takich zdarzeń i jak najlepiej zabezpieczać dane. 

Kontrola dostępu

Pierwszy obszar ochrony to oprogramowania antywirusowe i firewalle, czyli „zapory ogniowe” utrudniające dostęp do urządzenia przez internet. – W przypadku laptopów firmowych, służących do celów biznesowych, zazwyczaj istnieją narzucone przez firmy standardy bezpieczeństwa danych – mówi Dariusz Jóźwiak, ekspert z firmy HP. – Wymuszają one stosowanie nie tylko oprogramowania antywirusowego, ale też dodatkowych funkcji, jak choćby szyfrowanie dysków. 

Wielu producentów komputerów dostarcza programy antywirusowe i firewalle w standardzie. Niekiedy są to tylko narzędzia wbudowane w system operacyjny (np. w Windows), ale czasem także wersje pełne lub demonstracyjne dużych komercyjnych pakietów, takich jak McAfee, F-Secure lub Symantec. Jóźwiak podkreśla jednak, że tego typu zabezpieczenia nigdy nie dają stuprocentowej ochrony, gdyż i tak najsłabszym ogniwem jest tu człowiek, który może np. nieświadomie zainstalować złośliwą aplikację. 

Kolejny ważny obszar kontroli dostępu dotyczy logowania się do systemu. Mamy dziś mnóstwo sposobów na to, aby maksymalnie utrudnić je komuś nieuprawnionemu. Najbardziej podstawowy i najpowszechniejszy to oczywiście mocne hasło. Nie może nim być prosta, krótka fraza złożona z samych liter, bez cyfr i znaków specjalnych, lepiej też nie używać tego samego hasła w różnych systemach, z których część może być zresztą słabo zabezpieczona. I znów – to człowiek jest tu najbardziej ryzykownym elementem. – Praktyka pokazuje, że użytkownicy nadal najczęściej stosują hasła „słabe”, a stale rosnąca moc obliczeniowa komputerów sprawia, że niektóre algorytmy szyfrujące zwyczajnie się dezaktualizują – zwraca uwagę Mikołaj Kopeć. Poza tym, kradzieże baz danych użytkowników zdarzają się ostatnio dość często i nawet jeśli hasła powiązane z poszczególnymi kontami są szyfrowane, to i tak z czasem mogą być odkryte przez cyberprzestępców. – To dlatego w notebookach biznesowych, w których kwestie bezpieczeństwa są jednym z priorytetów, często stosuje się czytniki linii papilarnych i czytniki kart chipowych – dodaje Dariusz Jóźwiak. 

Wyjaśnia on, że obecnie stosowane czytniki linii papilarnych to jedne z najlepszych zabezpieczeń. Zwłaszcza te, które są autonomiczne i odpowiadają za pełen proces uwierzytelniania, poczynając od skanowania wzorców odcisków palców i zapisywania zaszyfrowanych wzorników, aż po weryfikację oraz wysyłanie wyniku do systemu. – Ryzyko złamania takiego zabezpieczenia, wykorzystania skanów odcisków zamiast „żywego” palca itp. jest tu niezmiernie małe – podsumowuje Jóźwiak. 

Z kolei karta chipowa to rozwiązanie w biznesie bardzo popularne. Pozwala na bezpieczne logowanie użytkownika i przechowywanie certyfikatów. Jej użycie wymaga podania kodu PIN, a zawarte na niej dane zaszyfrowane są za pomocą silnego systemu kryptograficznego. Przy użyciu kart chipowych można się logować do komputera, drukarki, otwierać drzwi do zastrzeżonych pomieszczeń – zgodnie z uprawnieniami przyznanymi przez administrację. 

Naturalnie opisane wyżej metody warto ze sobą łączyć, co dodatkowo utrudni życie hackerom. Łatwą konfigurację wszystkich zabezpieczeń ułatwiają zaś takie rozwiązania, jak np. aplikacja HP Client Security. Dzięki niej można szybko i intuicyjnie ustawić hasła, zeskanować wzór linii papilarnych czy zaprogramować kartę umożliwiającą dostęp do systemu i danych. Podobne oprogramowanie proponują też inni producenci przenośnych urządzeń, np. Dell. 

Zabezpieczenie dysku

Równie istotne jak kontrola dostępu jest odpowiednie zabezpieczenie zawartości dysku. Bez jej zakodowania dane będą podane złodziejowi jak na tacy. Nawet jeśli nie zna on loginu do systemu naszego laptopa, wystarczy, że wyjmie z niego dysk i odczyta go na innym urządzeniu za pomocą standardowych narzędzi systemowych. 

– W pierwszej kolejności należy sprawdzić, czy nasze urządzenie jest wspierane przez sprzętowe szyfrowanie – radzi Kopeć. – Jeśli jest, to trzeba skorzystać z tej możliwości, a jeśli nie, pozostaje zainstalować odpowiednie oprogramowanie, co jednak wiąże się z możliwością odczytania z pamięci naszego sprzętu przez cyberprzestępców kluczy kryptograficznych wykorzystywanych do szyfrowania dysku. 

Niestety nadal niewiele przenośnych urządzeń daje możliwość sprzętowego szyfrowania danych. Użytkownicy najczęściej mają tu do dyspozycji wbudowane w Windows (poczynając od wersji Vista) szyfrowanie BitLocker, które może dodatkowo wykorzystywać (aby zwiększyć swą skuteczność) wlutowany w płytę główną moduł szyfrujący TPM, stosowany głównie w serwerach i laptopach. 

– Inna możliwość, bardzo wydajna i bezpieczna, to stosowanie dysków samoszyfrujących, tzw. SED – wskazuje Jóźwiak. – Jest to szyfrowanie sprzętowe, które ma wiele cech zdecydowanie przewyższających rozwiązania programowe. Wśród nich warto wymienić podwyższony poziom bezpieczeństwa, większą wydajność i przezroczystość dla systemów operacyjnych. 

Chmura

Alternatywą dla lokalnego przechowywania danych może być chmura, którą niektórzy traktują jako miejsce bardzo dobrze zabezpieczone. Zapominają jednak, że do chmury dostęp ma każdy na całym świecie, o ile tylko zna odpowiedni login i hasło. Poza tym dane z chmury prędzej czy później trafiają przecież na urządzenie użytkownika. Może nie wszystkie naraz, a jedynie wybrane dokumenty, ale nie zmienia to faktu, że lokalnie mogą być niezabezpieczone. – Decyzja nie polega na tym, czy szyfrujemy dane na urządzeniach końcowych, czy w chmurze, bo tak naprawdę należy podjąć działania w obu tych obszarach – podkreśla Mikołaj Kopeć. 

Konfigurując dostęp do danych zapisanych w chmurze, zadbajmy zatem o ich odpowiednie zabezpieczenie mocnymi hasłami lub nawet za pomocą specjalnych kart dostępowych czy też kodów wysyłanych SMS-em na wskazany numer. Trzeba też dopilnować, aby w umowie o świadczenie usług chmurowych znalazły się zapisy o czasie niedostępności naszych danych, gdyż od tego może zależeć utrzymanie ciągłości pracy firmy. 

BIOS

Dariusz Jóźwiak zwraca uwagę, że myśląc o bezpieczeństwie przenośnych urządzeń, należy też pamiętać o BIOS-ach UEFI, czyli  programach startowych odpowiadających również za komunikację systemu operacyjnego z komponentami. Wyposażone są w nie praktycznie wszystkie obecne komputery. Ekspert HP twierdzi, że mniej więcej połowa przeprowadzanych na świecie ataków hackerskich dotyczy właśnie BIOS-ów. – Z poziomu systemu operacyjnego nie mamy dostępu i żadnej kontroli nad BIOS-em, a ma on nieograniczone uprawnienia w zakresie kontroli podzespołów – wyjaśnia. – Istnieje zatem bardzo duże ryzyko, że atak i modyfikacja BIOS-u pozwolą przestępcom na wykradanie naszych danych. 

Aby się pod tym kątem zabezpieczyć, można sięgnąć np. po stosowaną przez HP technologię Sure Start, która kontroluje BIOS z wykorzystaniem niezależnego mechanizmu wbudowanego w płytę główną. Dzięki temu każda modyfikacja BIOS-u wywołuje automatyczny proces przywracania jego wersji fabrycznej w ciągu kilku sekund. Podobne rozwiązanie, sprawdzające stan BIOS-u przy każdym uruchomieniu komputera, stosuje od stycznia tego roku Dell. 

Kopie zapasowe

Jednak nawet najdokładniej zabezpieczone dane nie będą realnie chronione, o ile nie będą też odpowiednio „składowane” (na firmowych serwerach lub w firmowej chmurze). Tu, obok ochrony dostępu i szyfrowania, dochodzi jeszcze wspomniana już kwestia regularnego robienia kopii zapasowych. Jeśli korzystamy z rozwiązań chmurowych, kopie są wykonywane przez naszego usługodawcę. W tym wypadku trzeba też pamiętać, że przetwarzanie danych w chmurze oznacza ich duże fizyczne rozproszenie, przez co nie wiemy do końca, gdzie się znajdują. Mikołaj Kopeć zauważa, że może to być problematyczne w sytuacji, gdy np. obowiązują nas przepisy wymagające przetwarzania i ochrony danych w konkretny sposób. 

Jeśli chodzi o własny sprzęt, mamy generalnie dwie metody robienia backupu:  offline i online. Oba rozwiązania mają swoje wady i zalety. Np. na dysk USB można bardzo szybko zgrać dane (szczególnie korzystając ze złącza USB 3.x), wykorzystując oprogramowanie dołączone przez producenta nośnika. Taką kopię da się wykonać niezależnie od dostępu do internetu czy limitów transmisji danych. Właściwie każdy program do tworzenia kopii zapasowej zapewnia przy tym możliwość jej ekspresowego wykonania przez zapisanie tylko informacji o różnicach w porównaniu z jej poprzednią wersją. Z kolei kopia online ułatwia synchronizację danych, która może odbywać się w czasie rzeczywistym. Poza tym, korzystając z backupu online, nie trzeba nosić ze sobą żadnych dodatkowych urządzeń. A jakie są minusy obu rozwiązań? Cóż, fizyczny dysk przeznaczony do backupu można zgubić, może też zostać ukradziony. Z kolei archiwizacja online wymaga szybkiej łączności z internetem, która nie zawsze jest możliwa.