Ochrana dat na koncových stanicích

Standardní zabezpečení na stolních počítačích a noteboocích je dnes snadno

překonatelné. Na prolomení hesla do Windows dnes stačí několik minut a není k

tomu potřeba nic víc než internet. Zabezpečit počítač či vlastní data před

zneužitím lze mnoha způsoby. Hlavní a nejvíce používané technologie zabezpečení

je možné rozdělit do pěti hlavních oblastí, v každé pak lze nalézt několik

směrů, jimiž se firmy zabývající se těmito systémy ubírají.



Fyzické zabezpečení

Podobně jako auto nelze ani počítač zabezpečit stoprocentně. Většina notebooků a

značkových počítačů je připravena na různé zámečky (nejznámější např.

Kensington), které slouží k připevnění zařízení například ke stolu, což je

vhodné v hotelích či openspace kancelářích.



Hesla na spuštění počítače

Takzvané power-on heslo a heslo pro pevný disk slouží k autorizaci uživatele již

při spuštění počítače. Těmito hesly jsou vybaveny téměř všechny počítače. I toto

heslo se dá prolomit, nicméně již ne tak jednoduše. Na prolomení obou hesel je

třeba odborníka, který provede zásah přímo na jednotlivých komponentách

počítače. Ideální z hlediska uživatele je možnost nahradit tato hesla

biometrickou autentizací uživatele (viz rámeček).



Autentizace dalšími zařízeními

Jako možné prvky autentizace uživatele do počítače se využívají nejvíce čtečky

čipových karet, tokeny (podobné USB klíčům) a snímače otisků prstů. Každá

možnost má své výhody i nevýhody.

Například snímače otisků prstů jsou dnes dostupné ve dvou variantách – buď je

snímán otisk jako reliéf prstu, podobně jako například v policejní kartotéce

(kupř. snímače a klávesnice od společností APC či Microsoft), nebo snímač snímá

obraz povrchového napětí prstu (IBM/Lenovo notebooky a HP handheldy). V tomto

případě nefungují útoky určené pro první druh snímače, tj. podstrčení „mrtvého“

prstu (kopie), neboť prst po oddělení od ruky ztrácí přibližně po deseti

minutách svojí standardní povrchovou vodivost a snímač tedy nemůže autentizaci

provést. Velká část snímačů běžně dostupných na trhu umožňuje pouze zjednodušení

přihlašování do systému, nezvyšují však bezpečnost systémů. Ideální je, pokud je

snímač přímo podporován šifrovacím softwarem k autentizaci uživatele (například

vhodná spolupráce s bezpečnostním čipem – viz dále).



Šifrování dat

Bez ohledu na autentizaci uživatele je bezesporu nutnou ochranou dat jejich

šifrování. Lze využít jak zabezpečení čistě softwarové, tak i kombinované s

hardwarem. Větší část počítačů předních výrobců nabízí možnost vybavit počítač

přímo z výroby bezpečnostním čipem (tzv. TPM) podle standardu TCG. Tento čip

plní více funkcí, záleží ale na výrobci PC, jakým softwarem a tedy jakou finální

funkcionalitou hardwarový čip podpoří. Důležité je, aby byl pro šifrování využit

vhodný šifrovací algoritmus, systém managementu bezpečnostní politiky a vůči

celému systému bylo možné nasadit vícefaktorovou autentizaci uživatelů (např.

heslo, otisk prstu a čipová karta společně nebo v jakékoliv kombinaci).



Bezpečnostní politika a chování uživatelů

Jedním z pilířů bezpečnosti je správně nastavená bezpečnostní politika firmy a s

tím spojené chování uživatelů. Návrh a implementace technického řešení

bezpečnosti je v praxi záležitostí několika dnů. Ovšem správně nastavit

bezpečností politiku je věc, která zabere mnoho týdnů, do tohoto procesu musí

být zapojena všechna oddělení firmy a především nejvyšší management.



Řešení na noteboocích ThinkPad

Notebooky ThinkPad (s výjimkou modelu R50e) jsou vybaveny bezpečnostním čipem.

Tento čip společnost Lenovo doplnila o výkonný systém pro zabezpečení dat a

autentizaci uživatelů. Tento software, který je zdarma ke stažení na webových

stránkách výrobce, umožňuje šifrovat vybraná data na pevném disku, spravovat

hesla jednotlivých uživatelů a zabezpečit data i mezi uživateli navzájem.

Podporován je i centrální management a další aplikace (Entrust, Adobe, Cisco,

Lotus, Utimaco atd.).

Vybrané notebooky jsou navíc vybaveny i snímačem otisku prstů, který

spolupracuje nejen s BIOSem, takže může sloužit jako náhrada power-on hesla a

hesla pro pevný disk, ale zároveň plně spolupracuje i s bezpečnostním čipem.

Celý systém je možné doplnit o čtečku čipových karet a dostat tak celou

bezpečnost na velmi vysokou úroveň.



Cena dat

Každá firma si musí uvědomit cenu dat uložených na noteboocích a desktopech a

cenu, kterou v případě krádeže dat zaplatí. Protože cenou se nerozumí jen obnova

dat, ale i to, že se mohou dostat do rukou konkurence nebo být dokonce

zveřejněna. Vynaložené prostředky na bezpečnostní řešení jsou pak pouhým zlomkem

ceny ve srovnání s možnými následky úniku dat z méně zabezpečených systémů při

krádeži či neoprávněném použití.

Jan Solař pracuje ve společnosti Lenovo Czech Republic.





Fingerprint:

notebooky ThinkPad byly první

dostupné na trhu s integrovaným snímačem otisku prstů. Biometrické zabezpečení

umožňuje nahrazení veškerých hesel a šifrování souborů.



Kensington: jednou z forem mechanického zabezpečení notebooku či stolního

počítače je použití zámku s lankem.



Bezpečnostní čip, který je umístěn přímo na matici základní desky, umožňuje

šifrování na principu PKI.



Snímače otisku prstů

Snímače otisků prstů, které jsou integrovány na produktech Lenovo (Think-

Pad a ThinkCentre, USB a klávesnice), fungují na principu snímání povrchového

napětí na prstu. Snímač je průtahový, což znamená, že k přihlášení do sys-

tému je nutno prstem přes snímač přejet. Toto řešení má dvě výhody – snímá se

větší plocha prstu a je bezpečnější.

Jiná varianta snímačů, která je na trhu dostupná, je postavena na optickém

snímání, které je možné nalézt například u produktů společností Microsoft a APC.

Snímače první kategorie, průtahové, mají výhodu v bezpečnosti, protože jsou

přesnější a je výrazně obtížnější je podvést (nefungují otisky na rukavici

apod.). Zároveň mají díky svým rozměrům a použité technologii velice nízkou

spotřebu, což je rozhodující především pro oblíbená mobilní zařízení.

Notebook R52 nově se snímačem otisku prstů

Po ukončení akvizice divize osobních počítačů IBM společností Lenovo představuje

nově vzniklá společnost notebook ThinkPad R52 s integrovaným snímačem otisku

prstů (u vybraných modelů). Do této doby byl integrovaný snímač otisku prstů

dostupný pouze na vyšších řadách notebooků ThinkPad řady T a X. Uvedením

notebooku Think-

Pad R52 s tímto bezpečnostním řešením se rozšiřuje možnost použití těchto

vyspělých biometrických metod i na noteboocích v nižší cenové kategorii.