Externe opslagmedia aan banden gelegd

Test SmartLine DeviceLock 6

Randgeheugen was nog nooit zo eenvoudig aan te sluiten. Dat brengt veiligheidsrisico's met zich mee. Iedereen die dat wil kan vertrouwelijke bedrijfsinformatie lezen of meenemen, vaak zonder dat daarvoor extra beheerderrechten nodig zijn. DeviceLock van SmartLine stelt aan dit nieuwe 'pod slurping' fenomeen paal en perk.

Werken met randapparatuur was nog nooit zo eenvoudig. Wat voor opslagmedium of opslagapparaat er ook is, als het in een recente pc of Mac wordt geplugd kan die er - vaak zonder dat er extra drivers geladen moeten worden - mee werken. Er is niet eens een inlog als beheerder voor nodig. Of het nu een usb-geheugen is, een mmc-geheugenkaartje of een mediaspeler die via usb aangesloten wordt, iedereen kan het inpluggen en er meteen gebruik van maken. Een voorziening zoals 'auto play' onder Windows verhoogt het risico nog eens. Alleen al door het aansluiten van een randgeheugen, bestaat de mogelijkheid dat een aanwezige configuratie- of installatieprocedure meteen start. Stel dat de inhoud van zo'n opslagmedium besmet is met een of meerdere virussen, dan komen die meteen op de bedrijfs-pc en zo in het bedrijfsnetwerk terecht.

Pod slurping

Een medewerker zou zo'n opslagmedium ook kunnen gebruiken om er kopieën op te bewaren van bedrijfsdocumenten. Op die manier kan gevoelige informatie een bedrijf verlaten zonder dat iemand er weet van heeft. Volgens de Amerikaanse expert Abe Usher, die voor dit nieuwe fenomeen de term pod slurping uitvond, kan een gebruiker in minder dan twee minuten gemakkelijk 100 MB aan Word-, Excel- en andere documenten op een iPod of ander draagbaar geheugen laden. Het ongemerkt stelen van vertrouwelijke of waardevolle gegevens van computers en netwerken is daarom een groeiend beveiligingsprobleem.

Bedrijven denken vaak dat bedreigingen vooral van buitenaf komen, maar volgens onderzoeksbureau Gartner zijn de eigen werknemers verantwoordelijk voor zeventig procent van alle niet-geautoriseerde toegang tot informatiesystemen.

In een gemiddeld bedrijf circuleren op het interne netwerk heel wat vertrouwelijke documenten, van cijfers over blauwdrukken tot geheime productieprocessen. De Amerikaanse FBI stelde recent nog dat diefstal van intellectuele eigendommen de vier na grootste economische impact op organisaties heeft. Volgens de FBI kost een datadiefstal een bedrijf gemiddeld 350.000 dollar (276.000 euro). Werknemers 'lenen' gegevens uit nieuwsgierigheid, uit kwaadaardige bedoelingen of uit geldgewin. Het is dus duidelijk: het gebruik van externe opslagmedia moet verhinderd of ten minste aan banden gelegd worden.

Blokkeren

De goedkoopste oplossing is natuurlijk het gebruik van externe opslagmedia verhinderen. Als bedrijfspc's geen usb-toestellen nodig hebben, zouden de usb-poorten afgesloten kunnen worden. Dat kan softwarematig: de bios kan gewoon uitgeschakeld worden. Het hebben van een wachtwoord is hierbij wel van belang. Op deze manier kunnen gebruikers niet zelf in het bios de usb-poorten heractiveren. Daarnaast is het handig om een slot te hebben op de pc-kast, zodat gebruikers het bios niet kunnen 'resetten' om zodoende het bios-wachtwoord te vernietigen. De usb-poorten kunnen ook fysiek geblokkeerd worden door ze te verzegelen met epoxyhars. Zoiets zal een eventuele garantie teniet doen en je zult ook moeten oppassen dat de hars niet op andere delen van of in de pc terecht komt. Bovendien is deze methode onomkeerbaar; je kunt je later niet meer bedenken.

Een volledig verbod op draagbare apparaten met eigen geheugen is niet de aangewezen methode. Een dergelijk verbod is immers heel moeilijk op te leggen. De apparaten worden steeds kleiner en een groeiende hoeveelheid digitale apparaten beschikt over een eigen geheugen om informatie in op te slaan.

Een betere oplossing is om het gebruik van externe opslagmedia niet te blokkeren of compleet te verbieden, maar het gebruik aan regels en dus voorwaarden te onderwerpen. Dat kan door het installeren van software op de gebruikerspc's die er voor zorgt dat de toegang tot externe opslagmedia wordt geweigerd, tenzij er aan bepaalde voorwaarden voldaan is. Die voorwaarden worden vastgelegd in een beveiligingsreglement (security policy) en de genoemde beveiligingssoftware kan die dan lokaal raadplegen of ze kan in een netwerk verdeeld worden. Dit is min of meer wat DeviceLock van SmartLine doet.

Clientloze oplossing

DeviceLock is een clientloze softwareoplossing, die rapporten kan genereren en de toegang kan controleren voor toestellen aangesloten via usb, FireWire en PCMCIA (PC Cards bij Notebooks). Zowel aan individuele gebruikers als groepen kan binnen Windows of Active Directory toegang verleend worden voor de opties lezen of lezen en schrijven voor alle randapparatuur: usb- en FireWire-poorten, WiFi en Bluetooth-adapters, seriële poorten, parallelle poorten, diskettestations, cd-/dvd-roms of writers et cetera. De toegang tot dergelijke apparaten kan beperkt worden tot een bepaalde dag of tijd (zo kan de toegang geweigerd worden gedurende werkdagen van 8:00 tot 17:00 uur maar daarbuiten juist toegestaan worden of omgekeerd). Er kan ‘alleen leestoegang' geven worden en van bepaalde usb-toestellen kan toegestaan worden dat ze altijd aangesloten mogen worden ongeacht andere instellingen voor usb-apparaten.