Μπορεί να είναι μικρά σε μέγεθος, αλλά ο κίνδυνος να προκαλέσουν σοβαρά προβλήματα ασφάλειας είναι μεγάλος. Γιατί, λοιπόν,τόσες πολλές εταιρείες επιτρέπουν στο προσωπικό τους να χρησιμοποιεί μη κρυπτογραφημένα USB drives για τη μεταφορά σημαντικής εταιρικής πληροφορίας;
Αντίθετα με ότι θα περίμενε κανείς, οι ειδήσεις για διαρροή ευαίσθητων δεδομένων κάνουν το γύρο του κόσμου. Σπάνια περνά μία εβδομάδα χωρίς μία εταιρεία ή ένας φορέας να γίνει πρωτοσέλιδο εξαιτίας κάποιου «χαμένου USB stick» με εμπιστευτικά, μη προστατευμένα δεδομένα.
Ωστόσο, η έρευνα που διεξήχθη για λογαριασμό της Kingston Technology από το Ponenon Institute δείχνει πως το ευτυχές γεγονός είναι ότι δεν συμβαίνουν πιο συχνά αντίστοιχα φαινόμενα!
Η έρευνα που αφορά στη χρήση των USB drives από ευρωπαϊκές εταιρείες και οργανισμούς υπογραμμίζει την κακή πολιτική, την αμέλεια των χρηστών, τα χαμηλής ποιότητας USB προϊόντα, αλλά και την έλλειψη κρυπτογράφησης ως τις συνήθεις «κακές συνήθειες».
Πολιτικές ασφάλειας
Λόγω του μικρού τους μεγέθους, η απώλεια των drives δεν είναι σπάνιο φαινόμενο, ωστόσο ακόμη και σε αυτή την περίπτωση, υπάρχουν απλά βήματα που μία εταιρεία μπορεί και πρέπει να ακολουθεί για να ελαχιστοποιήσει τις συνέπειες.
Σύμφωνα με την έρευνα, 39% από τις ερωτηθείσες επιχειρήσεις δεν χρησιμοποιούν εγκεκριμένα drives. Ακόμη όμως και στις εταιρείες που απάντησαν θετικά (52%), βλέπουμε πως το 60% των υπαλλήλων τους ακόμη κάνουν χρήση μη εγκεκριμένων drives.
Πέρα όμως από τη διανομή εγκεκριμένων συσκευών, το δεύτερο βήμα είναι και η σωστή τους χρήση. Φτάνουμε, λοιπόν, στο σημείο όπου οι εταιρείες θα πρέπει να ορίσουν ποια είναι η αποδεκτή και ποια η μη αποδεκτή χρήση και να ενημερώσουν τους εργαζομένους γι’ αυτήν. Οι εργαζόμενοι θα πρέπει να γνωρίζουν πως δεν μπορούν να χρησιμοποιούν ένα USB drive που παρέλαβαν στη διάρκεια ενός συνεδρίου ή συνάντησης και πως θα πρέπει να χρησιμοποιούν μόνο τις εγκεκριμένες από την εταιρεία συσκευές.
Η έλλειψη πολιτικής ορθής χρήσης των USB φαίνεται να οφείλεται σε μία λανθασμένη εικόνα για το κόστος που συνεπάγεται, καθώς και μία αντίληψη για τον αντίκτυπο που θα έχει στην παραγωγικότητα των εργαζομένων. Ωστόσο, η αλήθεια είναι πως υπάρχουν αρκετές ασφαλείς λύσεις τις οποίες μπορεί να χρησιμοποιήσει μια εταιρεία, ενώ το κόστος τους δεν είναι υψηλό, ειδικά αν συγκριθεί με αυτό της διαρροής δεδομένων.
Παράλληλα, κάθε εταιρεία θα πρέπει να χρησιμοποιεί κάποιο πρόγραμμα συστηματικού ελέγχου για ιούς και κακόβουλο λογισμικό. Η χρήση των USB drives για μεταφορά δεδομένων ή αρχείων σημαίνει ότι είναι και οι πρωταρχικοί στόχοι για μολύνσεις από ιούς, καθώς επίσης για υποκλοπή προσωπικών δεδομένων και εμπιστευτικών αρχείων της εταιρείας. Ωστόσο, είναι ανησυχητικό πως το 67% των εταιρειών που ρωτήθηκαν στην έρευνα της Kingston δηλώνει ότι δεν χρησιμοποιεί κάποιο σχετικό λογισμικό, δεδομένου πως η ζημιά που μπορεί να προκληθεί είναι ανυπολόγιστη.
Ωστόσο, αν πρέπει να ορίσουμε μία και μόνο ενέργεια, στην οποία θα έπρεπε να προβαίνουν όλες οι εταιρείες, αυτή είναι η κωδικοποίηση των ευαίσθητων δεδομένων. Η χρήση κωδικών θα έπρεπε να είναι δεδομένη σε κάθε USB drive, αλλά ακόμη περισσότερο η κρυπτογράφησή τους, ειδικά όταν μεταφέρονται εκτός εταιρικού περιβάλλοντος. Παρόλο που πρόκειται για το πιο απλό μέτρο προστασίας, τα ευρήματα της έρευνας της Kingston δείχνουν ότι 58% των εταιρειών ακόμη δεν επιτυγχάνουν να το εφαρμόσουν.
Το κόστος των διαρροών
Σύμφωνα με την έρευνα, το κόστος της διαρροής δεδομένων από USB drives για τις επιχειρήσεις αγγίζει τα 5,2 εκ. ευρώ, ενώ σχεδόν δύο στις τρεις ευρωπαϊκές εταιρείες έχουν αντιμετωπίσει αντίστοιχα προβλήματα.
Με τις τρέχουσες οικονομικές συγκυρίες είναι ιδιαίτερα σημαντικό να αντιληφθούν οι εταιρείες τη σημασία της ασφάλειας των USB drives, να υιοθετήσουν αλλά και να εφαρμόσουν μία σωστή πολιτική χρήσης τους, έτσι ώστε να μη γίνουν πρωτοσέλιδο – δυστυχώς για τους λάθος λόγους.