ISM

Zwyciężają ci, którzy z wyprzedzeniem przeprowadzają w swojej kwaterze kalkulacje, uwzględniając jak największą liczbę czynników. Pobieżne kalkulacje oznaczają porażkę. A co dopiero ich brak!

Sun Tzu (Sztuka Wojny)

W okresie świątecznym wielu ludzi podróżuje do rodzin lub znajomych. Podróże niosą zagrożenia, które po zmaterializowaniu mogą przynieść wymierne straty. Doświadczeni mawiają: podróże kształcą, bardziej doświadczeni powiadają: lepiej uczyć się na cudzych błędach niż na swoich.

Właściwości informacji

Ludzie często zabierają w podróż informacje zapisane na różnych nośnikach. Najczęściej spotykane nośniki informacji: laptop, tablet, smartfon, pamięci USB, karty SD w aparatach fotograficznych, odtwarzacze MP3. Zapewne znaczna część populacji nie prowadzi na bieżąco analizy ryzyka utraty posiadanych informacji. Potencjalne straty można wstępnie podzielić na: –materialne (urządzenie), –nie materialne (informacje), reputacyjne (informacje). Szacowanie potencjalnych strat z tytułu utraty informacji zawartych w w/w nośnikach wymaga inwentaryzacji posiadanych zasobów. Jakie informacje przechowują ludzie na urządzeniach przenośnych?

Większość informacji w sensie rozmiaru i stopnia zajętości nośnika zapewne stanowią zdjęcia (pliki JPG, PNG, RAW), muzyka (MP3), filmy (MPEG4). Tego typu pliki posiadają pewne właściwości (metadane) które zwykle nie są modyfikowane przez ich posiadacza. Tym samym można na ich podstawie określić źródło pochodzenia (np. model aparatu fotograficznego, rodzaj obiektywu, liczbę wykonanych zdjęć), rodzaj użytego oprogramowania do przetwarzania plików (formaty zdjęć i filmów).

Te informacje umożliwiają osobom postronnym na domniemywanie posiadania określonych zasobów przez ich właściciela (posiadany sprzęt i oprogramowanie). Metadane plików multimedialnych zawierają dodatkowe informacje: data i godzina wykonania zdjęcia, niekiedy współrzędne geograficzne (dane z GPS), które z kolei umożliwiają postronnym osobom określenie miejsca wykonania zdjęć. Przeciętny użytkownik ma przede wszystkim świadomość tego co widzi na zdjęciu czyli zobrazowania określonej sytuacji (informacja wizualna).

Ryzyka miniaturyzacji

Pewna część posiadaczy urządzeń mobilnych z różnych względów może akceptować ryzyko utraty zdjęć lub innych plików multimedialnych. Brak obawy może wynikać z posiadania kopii zapasowej (czy jest testowana?) na domowym dysku USB (czy zaszyfrowany?) lub w chmurze (Cloud Storage – czy informacje są zaszyfrowane?). Inna grupa posiadaczy urządzeń i plików multimedialnych zdaje się na szczęśliwy los i liczy na to, że nigdy nie utraci swoich nośników (a przecież urządzenia ulegają awarii?), nie zwracając uwagi na informacje wizualne na nich zawarte.

Kolejna grupa posiadaczy plików multimedialnych myśli tyko o sobie, zapominając o innych osobach których uwiecznili w określonych sytuacjach w określonych miejscach (np. cudzołożnicy w cudzych mieszkaniach). Współczesne czasy taniego dostępu do zminiaturyzowanych aparatów fotograficznych (np. w smartfonach) sprzyjają ludziom, którzy nie przyswoili w wystarczającym stopniu szacowania ryzyka. Do tej grupy zapewne można zaliczyć nieletnich jak i beztroskich osobników wykonujących zdjęcia dokumentów firmowych bez odpowiedniego ich zabezpieczenia.

Zagrożenia w podróży

Tradycyjnie podróże są utożsamiane z ryzykiem utraty rzeczy, to najstarsze zagrożenie może się zmaterializować podczas podróży każdym środkiem lokomocji: pociągiem, samolotem, autobusem, tramwajem czy samochodem. To powód dla którego pasażerowie lubią mieć swoje rzeczy na oku, co niestety nie zawsze jest możliwe, ponieważ bagaż większych gabarytów jest przewożony w lukach bagażowych (samolot, autobus, auto) lub z dala od pasażera (pociągi Pendolino). Współcześnie utrata rzeczy w wielu wypadkach jest mniej dotkliwa niż utrata informacji o czym zapomina wielu podróżnych.

Utrata nośników informacji

Utrata informacji często następuje wskutek utraty nośnika, który nie był należycie zabezpieczony przed odczytaniem informacji na nim zawartej. Najprostszy sposób zabezpieczenia informacji to ich zaszyfrowanie przy oprogramowania uważanego za bezpieczne (TrueCrypt?). Szyfrowanie informacji może obejmować zarówno wybrane informacje zawarte w określonych katalogach na nośniku (mało efektywne) albo cały nośnik lub urządzenie. W wielu przypadkach może to stanowić niewygodę dla posiadacza nośnika z informacjami (aparat fotograficzny, odtwarzacz MP3, smartfon). Z tego powodu świadomi użytkownicy urządzeń mobilnych mają przygotowane pewne reguły postępowania z plikami multimedialnymi i sposobami ich przechowywania. W firmach te reguły mogą być zawarte w polityce bezpieczeństwa dotyczącej urządzeń mobilnych.

Słabości natury ludzkiej

Obecnie, utrata informacji podczas podróży następuje znacznie częściej dzięki ich posiadaczom czyli ludziom. W wielu sytuacjach ludzie często dzielą się informacjami w podróży, nie zdając sobie sprawy z zagrożeń, które sami ściągają na siebie i najbliższe otoczenie. Głośne rozmowy biznesowe w bezprzedziałowych wagonach Pendolino czy na korytarzach pociągów Intercity stały się normą dla wielu biznesmenów. Publiczne ujawnianie haseł do systemów informatycznych (dla zgłaszających się pracowników) przez niedoświadczonych pracowników ze wsparcia technicznego firm w trakcie podróży autobusem czy tramwajem to również nierzadkie zjawisko. Publiczne informowanie o terminie urlopu w środkach komunikacji publicznej (i na facebooku) niemalże weszło do kanonu codziennych zachowań pracowników z których korzysta wielu przestępców.

Socjotechnika w praktyce

niebezpieczne podróżeWspólne podróżowanie stwarza wiele okazji do rozmów na różne tematy. Przestępcy mogą wykorzystywać chwile spędzane wspólnie z uczciwymi pasażerami do wyłudzenia informacji firmowych czy osobistych. Inteligentni przestępcy z reguły mają dobre przygotowanie w zakresie psychologii i socjologii, które pomaga im w rozmowach ze zwykłymi ludźmi, którzy nie mają przygotowania w zakresie obrony przed atakami wykorzystującymi metody socjotechniczne. W ten sposób podczas rozmowy przestępcy mogą pozyskiwać informacje o tajemnicach firmowych. Takie sytuacje mają miejsce w firmach, gdzie występują braki lub niedostatki w zakresie polityki bezpieczeństwa, w której może być zawarta klasyfikacja informacji. Z innej strony postępująca atomizacja społeczeństwa sprawia, że wielu podróżnych ukrywa się za ekranami smartfonów, tabletów oraz laptopów izolując się od współpasażerów za pomocą słuchawek. W ten sposób tracą nie tylko radość obcowania z innymi  ludźmi ale mogą tracić informacje z ekranów monitorów nagrywanych przez przestępców miniaturowymi kamerami w postaci długopisa czy spinki do włosów.

Lekkomyślność ludzi

Niekiedy przestępcy współpracują w grupach, wywabiając ofiarę do Warsu na herbatę, podczas gdy ich wspólnicy penetrują bagaże w poszukiwaniu informacji.  W przeszłości na niektórych trasach kolejowych takie sytuacje często należały do codzienności. To dobry powód aby w podróż koleją nie wybierać się w pojedynkę czy późną porą, zwłaszcza na mniej uczęszczanych trasach. Inne metody przestępców obejmują poczęstunek pasażerów spreparowanymi słodyczami, jedzeniem czy trunkami, które zawierają środki usypiające. Podróżni na wskutek spożycia środków nasennych tracą przytomność, co skwapliwie wykorzystują przestępcy zagarniając mienie współpasażerów, zarówno w postaci rzeczy jak i informacji. Jeśli nośniki informacji nie posiadają odpowiednich zabezpieczeń to łatwo mogą się stać łupem przestępców, którzy później mogą wykorzystywać przechwycone informacje do szantażu ludzi lub organizacji. Kontrola dostępu do informacji może przebiegać zarówno na poziomie świadomości ludzi jak i na poziomie technik i środków zabezpieczających.

Zabezpieczenia urządzeń

W przypadku urządzeń przenośnych warto rozważyć kilka ryzyk: utratę urządzenia i utratę informacji z urządzenia. Utrata urządzenia następuje na skutek zagubienia, najczęściej spowodowanego nieprawidłowym przechowywaniem (mała kieszeń, otwarta torba) lub jego kradzieży. Stare powiedzenie mówi „okazja czyni złodzieja”, co może potwierdzić wielu okradzionych ludzi. Może lepiej nie stwarzać okazji dla przestępców i na czas transportu, podróży zadbać o odpowiednie przechowywanie nośników informacji?

Zagrożenia techniczne dla urządzeń mobilnych są powodowane przez ich właścicieli którzy nierozważnie mają ciągle uruchomione usługi: WiFi, Bluetooth, które są narażone na ataki ludzi o przestępczych rozmiarach. Część pasażerów zapewne korzysta z dostępnych w środku lokomocji sieci WiFi, które mogą być uruchamiane (podstawiane) przez przestępców w celu pozyskania informacji od współpasażerów (ataki MITM) lub w celu podszywania się pod pasażerów. Podróżni niekiedy wykazują nieroztropność pozostawiając urządzenia w przedziale (np. na czas naładowania baterii) wychodząc do toalety lub Warsu (wybrane pociągi). Jeśli przygotowani przestępcy mają dostęp fizyczny do urządzenia w takich momentach, potrafią wykorzystać chwile nieobecności właściciela urządzenia w celu pozyskania informacji.

Czy każda podróż grozi utratą informacji? Oczywiście,  że nie, odpowiednie przygotowanie do podróży, świadomość zagrożeń i zastosowane zabezpieczenia techniczne pomagają chronić informacje i rzeczy podróżnych. Rozmowy z innymi podróżnymi mogą dostarczać radości lub przyczyniać się do zawierania nowych relacji. Tematy rozmów mogą obejmować kulturę, sztukę, sport, historie książkowe czy filmowe. Odporność na metody socjotechniczne i zdrowy rozsądek pomaga w podróży zachować bezpieczeństwo informacji.
Czy napotkałeś Czytelniku inne zagrożenia dla informacji w podróży, podczas delegacji służbowej?

Etykiety:, , , ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

 
© 2024 ISMAll Right Reserved.
ISM