Cyberbezpieczeństwo w epoce danych. Jak tematykę bezpieczeństwa traktuje HP Inc Polska, jeden z liderów rynku komputerów biznesowych?!
Żyjemy w epoce danych. Trzymane na dyskach firmowych komputerów pliki mogą być nieraz najcenniejszym zasobem przedsiębiorstwa. Brak stosownej ochrony informatycznej może więc przypominać sejf pozbawiony drzwi – oczywiście z cenną zawartością w środku – prędzej czy później znajdą się chętni by ją przejąć. Nic dziwnego, że producenci komputerów biznesowych rozwijają coraz silniej rozwiązania w dziedzinie bezpieczeństwa. Amerykański gigant tego rynku, HP Inc. znajduje się w ścisłej światowej czołówce, jeśli chodzi o bezpieczeństwo. Jak możemy dowiedzieć się z poniższej rozmowy, HP traktuje tematykę bezpieczeństwa bardzo holistycznie. Naszym rozmówcą jest Paweł Huk, ekspert ds. cyberbezpieczeństwa w HP Inc Polska.
Zacznijmy od rzeczy pozornie prostych. Często pracujemy z miejsc takich jak lotniska czy kawiarnie. Tam jesteśmy narażeni na najstarszy, najmniej zaawansowany technicznie, co niestety nie oznacza, że najmniej skuteczny, sposób na wyciek danych. Wystarczy, że ktoś będzie się znajdował w pobliżu mając widok na ekran laptopa. Oczywiście od lat istnieją filtry bezpieczeństwa, czyli specjalne nakładki na ekran, jednak daleko im do wygody użytkowania. HP znalazło na to sposób. Jak mówi nam Paweł Huk:
- Pracujemy w różnych miejscach, pracujemy zarówno w biurze, jak i poza nim. Także w miejscach publicznych. Jesteśmy narażeni na to, że padniemy ofiarą tzw. visual hackingu – ktoś może podejrzeć nasze dane. Owszem, możemy zastosować mechaniczny filtr ekranu. My mamy coś znacznie lepszego: HP Sure View generacji drugiej, który jest wbudowanym w matrycę filtrem prywatyzującym. Wystarczy nacisnąć klawisz F2 i włączasz lub wyłączasz filtr. Co to daje? Ogranicza widoczność od lewej i prawej strony o kąt 45 stopni. Osoba siedząca z lewej lub prawej strony nie zobaczy co dzieje się na ekranie.
Nie chcemy, by ktoś podglądał co mamy na ekranie. Coraz częściej użytkownicy są jednak świadomi innego problemu: nieautoryzowanego dostępu do kamer internetowych. Stąd nieraz spotykane, niezbyt estetyczne naklejki i taśmy na obiektywie kamery.
- Jako standard pojawiła się u nas mechaniczna przesłonka kamery, czyli HP Privacy Camera. To dobre rozwiązanie, bo jest wbudowane w ramkę matrycy, nie ma więc elementów zewnętrznych. Można też pożegnać naklejki.
Zwykle myśląc o zabezpieczeniach pierwsze, co przychodzi nam do głowy, to programy antywirusowe. Ich skuteczność jest ograniczona m.in. dlatego, że funkcjonują one jedynie z poziomu systemu operacyjnego. HP rozwinęło więc bardzo szeroki wachlarz zabezpieczeń, pracujących na różnych poziomach: zarówno z poziomu systemu operacyjnego, jak i poniżej oraz powyżej OS. Dlaczego ważne jest zabezpieczenie na różnych poziomach?
- Użytkownik włącza komputer i czeka do momentu zalogowania, podania hasła itd. Tam już widzi, że wraz z systemem uruchamia się również antywirus, zaczyna działać i czuje się bezpiecznie. A co w przypadku jeśli antywirus nie działa prawidłowo? Albo nie wszystkie jego funkcje działają? Co w przypadku, kiedy niektóre krytyczne dla bezpieczeństwa elementy systemu nie funkcjonują? Tu wychodzimy z konkretnymi rozwiązaniami. – mówi Paweł Huk dla IT Reseller – To zabezpieczenia działające także poniżej i powyżej systemu operacyjnego, tam gdzie nie działa antywirus, Windows Defender, Windows Security Manager itd. W samym systemie także wspieramy bezpieczeństwo i rozszerzamy funkcjonalności systemu. Jednak przed załadowaniem systemu jesteśmy już chronieni dzięki takiemu rozwiązaniu jak HP Sure Start generacji 4. Jak to działa? Kiedy użytkownikowi uruchamia komputer w pierwszej kolejności startuje BIOS, uruchamia się weryfikacja czy BIOS jest autentyczny. Dopiero gdy zostanie to zweryfikowane, HP Sure Start generacji 4 pozwala komputerowi się uruchomić. Jeśli zostanie wykryta nieprawidłowość, nastąpi automatyczny restart i przywrócenie BIOSu ze specjalnej „złotej” kopii zapasowej.
Dlaczego to rozwiązanie jest ważne? Oczywiście przyczyną dużej wagi tego rozwiązania jest sam BIOS, a dokładniej jego możliwości.
- Kiedy uruchamiamy komputer może się okazać, że w BIOSie zaimplementowane jest oprogramowanie firm trzecich, które wyłącza niektóre funkcje systemu, jak np. Windows Defender. Takie zagrożenie może dać dostęp do naszego komputera w tym danych, staniemy się celem ataku. Mało tego, nasz komputer może zostać wówczas wykorzystany do nielegalnych działań. Tego rodzaju zagrożenia można spotkać już na etapie ładowania BIOSu. Dlatego HP Sure Start jest tak istotny, by do podobnej sytuacji nie doprowadzić. – mówi Paweł Huk.
Ochrona samego BIOSu ma w polityce bezpieczeństwa HP wyraźnie silną pozycję. Świadczy o tym pakiet rozwiązań HP BIOSphere generacji 4. Wśród nich znajdują się m.in. ochrona MBR i GPT przed nadpisaniem, wspomniany już HP Sure Start czy też specjalna polityka aktualizacji.
- Jeśli pojawi się nowe zagrożenie czy luka w zabezpieczeniach, wypuszczamy aktualizację i dzięki naszemu oprogramowaniu HP Support Assistant lub HP Image Assistant jesteśmy w stanie zaktualizować dany komputer jednym kliknięciem.
Co ciekawe, HP Sure Start działa bazując na rozwiązaniu HP Endpoint Security Controller (HP ESC) – jest to układ kryptograficznie zabezpieczonym i fizycznie odizolowany, który można wręcz nazwać mikrokomputerem. HP ESC wspomaga takie rozwiązania jak np. HP Sure Run, pozwalający na monitorowanie kluczowych procesów systemu i badający wprowadzane na bieżąco zmian w zabezpieczeniach komputera. Przykład podaje ekspert HP:
- Dobrze obrazuje to działanie antywirusa, który składa się z kilku procesów odpowiadających za różne funkcje. Jeśli użytkownik pobrał oprogramowanie firm trzecich, które próbuje wyłączyć któryś z procesów, HP Sure Run izoluje taki proces i nie pozwala mu się wyłączyć. Jeśli jednak dojdzie do wyłączenia, to HP Sure Run go zrestartuje. Nie doprowadzi do sytuacji, w której kluczowy element zabezpieczeń będzie wyłączony.
A co w sytuacji awarii? Załóżmy, że nośnik danych ulegnie uszkodzeniu. Rozwiązanie HP Sure Recover, także wykorzystujące HP ESC, to ciekawy przykład tego, jak można odciążyć dział IT, a przy tym wydatnie skrócić czas serwisowania. W przeciwieństwie do tradycyjnych rozwiązań, umożliwia przeprowadzenie przywrócenia z backupu korzystając wyłącznie z połączenia sieciowego.
- Stale walczymy z czasem – mówi Paweł Huk – Jeżeli nastąpi zawirusowanie komputera, zaszyfrowanie dysku twardego przez ransomware, czy uszkodzenie, które wyczyści dysk, wliczając to lokalny backup i partycję recovery, to przy standardowych procedurach taki komputer oddajemy do działu IT. Tam poświęcone jest kilka godzin na jego przygotowanie, potem personalizowanie itd. W efekcie użytkownik otrzymuje komputer dopiero po kilku dniach roboczych. A przy Sure Recover działa to tak, że obraz systemu jest przechowywany na lokalizacji w sieci komputerowej i w momencie, w którym użytkownik podłącza kabel sieciowy, uruchamia komputer, to na poziomie BIOSu podaje swoje poświadczenia, i wówczas po sieci pobiera się cały obraz przygotowany dla danego komputera przez dział IT. Czyli już ma np. skonfigurowanego Outlooka, OneDrive’a i inne oprogramowanie. Użytkownik może więc przywrócić backup bez konieczności kontaktu z działem IT w ledwie kilkadziesiąt minut. Dział IT otrzymuje informację, że taka operacja została wykonana.
Każdy, kto wie (najlepiej z własnego doświadczenia) jak wygląda praca w dziale IT zdaje sobie sprawę z natłoku zadań, które są czasochłonne, a przy tym tak naprawdę nie wymagają szczególnie specjalistycznej wiedzy. Jedną z takich rzeczy są zapomniane hasła, czy ogólnie problemy użytkowników z logowaniem do różnych usług. Działy IT spędzają zbyt wiele czasu na przywracaniu haseł. HP ma na to swoje rozwiązanie w postaci HP Spare Key i HP Multi-Factor Authenticate drugiej generacji.
- Każdy użytkownik korzysta z pojedynczej autentykacji. Np. z loginu i hasła. Da się to jednak podejrzeć lub uzyskać hasło metodą tzw. brute force. Ale jeśli postawimy na autentykację kilkustopniową, np. pin plus hasło, lub telefon parujący się z komputerem po Bluethooth i hasło, zwiększa to bezpieczeństwo dostępu. Metod jest więcej: np. odcisk palca czy kamery IR zgodne z Windows Hello. Wieloskładnikowa autentykacja jest 1000 000 razy bezpieczniejsza niż pojedyncze hasło. Co jednak w przypadku, gdy użytkownik zapomni hasła i nie może się zalogować? Na taki problem mamy rozwiązanie HP SpareKey. Użytkownik dzięki niemu może przywrócić dostęp do komputera podając prawidłowe odpowiedzi na trzy wcześniej zdefiniowane pytania. Ponownie, bez udziału IT.
Do tego przy logowaniu użytkownicy niektórych serii laptopów HP mogą korzystać z zabezpieczeń Secure Card. Te mogą działać również w formie zbliżeniowych modułów NFC. A co z przeglądaniem sieci i dość swobodnym podejściem wielu użytkowników do bezpieczeństwa?
- Co robi użytkownik pobierając pliki czy odczytując maile? Klika. Często odruchowo. Chociażby plik pdf w mailu. Nie zawsze zadając sobie pytanie o to, czy pdf nie jest zainfekowany. HP ma darmowe oprogramowanie, dostępne już w laptopach serii 600 czwartej generacji, 800 piątej generacji, 1000 trzeciej generacji i w nowszych generacjach w standardzie. Jest to HP Sure Click, czyli oprogramowanie, które podnosi bezpieczeństwo przeglądania sieci. Jak to działa? Każdy link czy pdf jest otwierany w mikro-wirtualnej maszynie, która pochłania niewiele zasobów komputera. Najpierw pojawia się informacja, czy chcemy otworzyć link w bezpiecznym środowisku HP Sure Click. Jest to środowisko całkowicie odizolowane, system pozostaje więc bezpieczny.
Także powyżej systemu HP oferuje ciekawe rozwiązania. Dobry przykład to HP Image Assistant – oprogramowanie dla administratorów, dzięki któremu można np. sprawdzić działanie konkretnej aktualizacji systemu.
- Zanim dział IT zrobi wymuszoną przez politykę GPO aktualizację urządzeń końcowych, może sprawdzić jakość i bezpieczeństwo obrazu systemu Windows, dokonać diagnostyki takiego obrazu i upewnić, że nie wystąpią niepożądane komplikacje po aktualizacji. – mówi nam Paweł Huk – Dział IT może skorzystać także ze specjalnego rozwiązania HP MIK drugiej generacji, który jest wtyczką do bezpośredniej współpracy z SCCM Microsoftu. To są zabezpieczenia powyżej systemu – administracyjne.
Sumując te rozwiązania można śmiało stwierdzić, że najbardziej skorzystają na nich użytkownicy ale również działy IT. Wiele zadań, które do tej pory musiał wykonywać wykwalifikowany fachowiec, teraz może zrobić sam użytkownik. To także realna oszczędność dla firmy, która nie musi przesadnie rozwijać działu IT.
- Jeżeli spojrzymy na typowy przykład, ile mamy tzw. ticketów zgłoszonych do IT to np. w ciągu doby generowanych jest około 100. Z tego zwykle 2 będą krytyczne, może z 8 jest ważnych, ale 90 to działania proste. Jeżeli tą większość jesteśmy w stanie zdjąć z działu IT, to czas, jaki specjaliści mogą poświęcić na ważniejsze zagadnienia wzrasta znacząco. A firmowa sieć to żywy organizm, który stale się zmienia i trzeba reagować na te zmiany i stale usprawniać bezpieczeństwo.