Gå til innhold

Advarer mot minnepinner

abene

Av abene
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
jorgis

jorgis

Skrevet
Skrevet
NSM mener faren for at viktige data kan komme på avveie, og uvedkommende med onde hensikter i hende er stor.

 

Samme gjelder vel bruk av CD-er, laptopper og dokumentmapper? :) Så lenge det finnes lagringsmedium med høy grad av bærbarhet, vil dette være et problem. Det har vært utallige saker der mennesker tar med seg jobb-laptopen hjem eller på ferie, for så å miste den (og bedriftshemmeligheter verdt millioner) på en rasteplass eller strand et sted. Løsningen er ikke å kryptere eller forby minnepinner, men å gi ansatte og sjefer grundige sikkerhetskurs.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet (endret)
Slik overskrifta står gjer det jo uttrykk for at det er minnepinnane som er ein risikofaktor i seg sjølv, når det vitterleg er snakk om uforsiktige personar med sensitiv informasjon.

 

Er ikke minnepinnene en risikofaktor i seg selv (som alle lett mistbare medier). Eksisterte ikke minnepinner, fantes heller ikke akkurat den risikofaktoren. Et annet sentralt moment er at mennesker vil alltid være i større eller mindre grad uforsiktige, derfor vil man nesten konsekvent der svært høy sikkerhet ønskes ivaretatt, gjøre ting som sikrer teknisk mot "uhell". Og selv personer med svært høy sikkerhetsbevisthet kan være uheldige.

 

Eller vi kan si at kombinasjonen usikret, lett mistbart medium og uforsiktige personer er en betydelig risikofaktor. Tar du vekk usikret, lett mistbart fra kombinasjonen, så er risikofaktoren betydelig redusert/eller fjernet.

 

@jorgis: Selv med sikkerhetskurs kan faktisk den menneskelige "feilraten" være for stor til at det kan aksepteres. Eget arbeid med risiko- og sårbarhetsanalyser viser at man klarer ikke å redusere den nok bare med kurs og holdninger.

 

Jeg vet i alle fall virksomheter der jeg kun ville tillatt bærbare medium som var krypterte, og faktisk ville forbudt bruk av minnepinner. Minnepinner ville heller ikke hatt noen reell bruk, da vi da snakker om data/info som ikke skal utenfor organisasjonens vegger i det hele tatt.

Endret av Bolson
Lenke til kommentar
ThorB

ThorB

Skrevet
Skrevet (endret)
Det er relativt enkelt å kryptere en usb pen da før økt sikkerhet.

Og man [sett inn IT-ansvarlige] bør oppfordre eller kreve at ansatte

benytter dette.

Vi diskuterte dette senest igår i denne tråden:

https://www.diskusjon.no/index.php?showtopic=1032867&hl=

 

Det blir i enkelte organisasjoner litt av en utfordring, når ansatte knapt greier å bruke outlook.

Eksempel på nivå enkelte plasser:

http://thedailywtf.com/Articles/Go-Phish.aspx

Jeg ser for meg den dagen en person banker på døra til [sett inn IT-ansvarlige] og personen sier h*n har glemt/mistet passordet sitt på sin krypterte minnepinne ;)

Eller kanskje personen har dette passordet også på postit-lappe under tastaturet?

 

 

Men det er ingen tvil om at kryptering skulle vært påbudt når det er sensetiv informasjon med i bildet. Minnepinner er små og enkelt å miste. Var det ikke for ca 1 år siden at det var på nyhetern om noen som hadde funnet en minnepinne med sensitive data på parkeringsplassen utenfor en kommunal plass?

 

Nå har jeg ikke sett på krypteringerløsninger som kan passe i denne sammenheng, men jeg kan tenke meg at kryptering via truecrypt kan fungere tilfredstillende.

Noen her som bruker komersielle krypteringsløsninger til formålet?

Endret av ThorB
Lenke til kommentar
Simen1

Simen1

Skrevet
Skrevet

Det merkelige er at bedrifter har svært ulik praksis på datasikkerhet. Noen bedrifter har null kryptering på trådløst nettverk og minnepenner og CD-er flyter fritt, mens i andre bedrifter har sperret PCene for minnepenner, har ikke CD/DVD-brennere, strenge påloggingsrutiner og brukerne har ikke en gang lov til å skifte skrivebordsbakgrunn.

Lenke til kommentar
Rescue me

Rescue me

Skrevet
Skrevet
Det merkelige er at bedrifter har svært ulik praksis på datasikkerhet. Noen bedrifter har null kryptering på trådløst nettverk og minnepenner og CD-er flyter fritt, mens i andre bedrifter har sperret PCene for minnepenner, har ikke CD/DVD-brennere, strenge påloggingsrutiner og brukerne har ikke en gang lov til å skifte skrivebordsbakgrunn.

Det kommer vel mye ann på hvor store tap det er for bedriften om denne informasjonen kommer på avveie. Størrelsen på bedriften har vel også en god del å si.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
Det merkelige er at bedrifter har svært ulik praksis på datasikkerhet. Noen bedrifter har null kryptering på trådløst nettverk og minnepenner og CD-er flyter fritt, mens i andre bedrifter har sperret PCene for minnepenner, har ikke CD/DVD-brennere, strenge påloggingsrutiner og brukerne har ikke en gang lov til å skifte skrivebordsbakgrunn.

Det kommer vel mye ann på hvor store tap det er for bedriften om denne informasjonen kommer på avveie. Størrelsen på bedriften har vel også en god del å si.

 

Eller om ledelsen er sikkerhetsbevist. Har vel utført en 20 - 30 risiko- og sårbarhetsanalyser (noen år siden dog), og opplevde ledelse i bedrifter/organisasjoner med svært sensitiv informasjon ha et særdeles avslappet forhold til sikkerhet. Som f.eks. null adgangskontroll i det hele.

Lenke til kommentar
Ninjahamster

Ninjahamster

Skrevet
Skrevet
kryptering ?

Får en det til på en noenlunde sømløs måte da?

 

Truecrypt gjør det så å si av seg selv.

 

Dette vil selvfølgelig minske sjangsene for at informasjonen man mister blir "tilgjengelig" men jeg er samtidig rimelig sikker på at NSM per dags dato ikke har godkjent noen av disse typene/formene for kryptering. Det vil med andre ord si at det ikke er sikkert nok og derfor advarer dem (med jevne mellomrom).

Lenke til kommentar
Syar-2003

Syar-2003

Skrevet
Skrevet

IronKey burde jo være midt i blinken.

 

Automatisk innholds kryptering (AES CBC) .

Man blir spurt om passord ved inplugging , skriver man feil mere enn 3 ganger selvdestruerer den innholdet.

Prøver man å åpne den - selvdestrueres innholdet.

Kan være sentralt managed av en it-avd hvor "mistede" penner kan beordres selvdestruert over internett så snart de "oppdages" online.

 

http://www.dinside.no/data/maskinvare/minn.../art794006.html

Lenke til kommentar
ThorB

ThorB

Skrevet
Skrevet (endret)
IronKey burde jo være midt i blinken.

 

Automatisk innholds kryptering (AES CBC) .

Man blir spurt om passord ved inplugging , skriver man feil mere enn 3 ganger selvdestruerer den innholdet.

Prøver man å åpne den - selvdestrueres innholdet.

Kan være sentralt managed av en it-avd hvor "mistede" penner kan beordres selvdestruert over internett så snart de "oppdages" online.

 

http://www.dinside.no/data/maskinvare/minn.../art794006.html

hehe ja.

da har de seg selv å takke hvis de skriver passordet feil 3 ganger.

nytter ikke å kakke it-personell i hodet.

men det går fort an å gjøre sabotasje med et sånn system. malware som trigger auto destruct? person som hopper inn på kontoret å har med en minipc som fikser auto destruct bare ved å stappe pinnen inn?

Endret av ThorB
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...