DSM 2009/2 - PR O2
Ochrana dat ve společnosti Telefónica O2
Společnost Telefónica O2 Czech Republic, a.s., se rozhodla chránit data uložená v přenosných zařízeních šifrováním celého pevného disku pomocí produktu CheckPoint End Point Security – Full Disk Encryption (Pointsec for PC).
Únik informací – jedno z největších rizik ve společnosti, má mnoho podob a možností. Dopady mohou být značné: neúčinná marketingová kampaň, neprodejný produkt, negativní dopad na značku, nedůvěra a následný odliv zákazníků či informace, které mají vliv na hodnotu akcií společnosti. Jednou z cest, jak získat informace, je jejich zcizení současně se zařízením, ve kterém jsou uloženy.
K zamezení úniku informací nestačí vydat příslušné směrnice a nařízení, nestačí uživatele v dané oblasti patřičným způsobem a opakovaně proškolovat, ale je potřeba jim také dát vhodný, uživatelsky jednoduchý nástroj, který by jim pomohl ochranu dat zajistit. Z tohoto důvodu vznikl ve společnosti Telefónica O2 Czech Republic (dále jen Telefónica O2) koncept (program) Bezpečná stanice, který je souborem opatření ISMS a vychází ze základních požadavků na datovou a informační bezpečnost. Zahrnuje množství prvků ochrany koncového zařízení. Ke speciální doménové politice takovéto stanice byly mimo klasických modulů (firewall, antivirus, VPN) přidán certifikát k silné autentizaci k vybraným systémům a zejména těžký klient Entrust Desktop, který zajišťuje šifrování a podepisování e-mailů a jednotlivých souborů. Na základě zkušeností, že uživatelé nechávají na disku svého počítače soubory a dokumenty, které by měly být vzhledem ke svému obsahu chráněny, jsme se rozhodli přidat k bezpečné stanici další funkčnost a to ochranu dat šifrováním celého disku.
Po zvážení všech rizik a bezpečnostních aspektů jsme pro komplexní ochranu dat vyloučili použití souborového šifrování (tzv. File Encryption). Tato metoda především neumožňuje ochranu dat šifrováním v odkládacích oblastech systému, kde je lze nalézt v otevřené podobě a dále neposkytuje komplexní řešení ochrany hesel ukládaných v systémové oblasti operačního systému, resp. uživatelských účtů obecně. Při hledání řešení jsme se zaměřili na nástroje určené k plnému šifrování datových oblastí pevných disků (tzv. Full Disk Encryption), dovolující důslednou autentizaci uživatele ještě před samotným startem operačního systému (tzv. Pre-Boot Authentication).
Ze všech systémů pro plné šifrování disku byl nakonec vybrán systém CheckPoint End Point Security – Full Disk Encryption (dříve známý jako Pointsec for PC). To, že jsme se v projektu vydali správnou cestou z hlediska zvolené aplikace, potvrdila i naše mateřská organizace Telefónica O2, která nezávisle na našem projektu aplikaci CheckPoint FDE označila jako doporučenou metodu ochrany mobilních zařízení v celé společnosti. Pro výběr CheckPoint FDE bylo taktéž rozhodující, že umožňuje ochranu dat šifrováním i na dalších přenosných zařízeních typu PDA a Smart Phone s operačními systémy PalmOS a Windows Mobile a i na mobilních telefonech se systémem Symbian (Nokia).
Vzhledem ke skutečnosti, že změny v operačním systému a datové oblasti s sebou při neodborném zásahu nesou riziko poškození dat a protože jsme s podobným systémem v rámci organizace neměli žádné zkušenosti, vybírali jsme spolu s produktem také zkušeného dodavatele služeb, který by měl zkušenosti s projekty podobného rozsahu. Takového vhodného technologického partnera jsme našli ve společnosti Tempest Czech, s.r.o., která nás přesvědčila jak zkušenostmi s nasazením i správou tohoto produktu, tak i schopností rychlého řešení požadovaných funkčních vlastností ve prospěch naší společnosti přímo u výrobce.
Výhoda volby tohoto partnera, který dokáže čerpat ze zkušeností s nasazením různých systémů FDE v organizacích podobného rozsahu v rámci České i Slovenské republiky, se projevila relativně záhy. V průběhu tvorby aplikačního prostředí se mimo jiné vyskytl problém spojený s naší multidoménovou architekturou danou historickým slučováním organizací Český Telecom, a.s. a Eurotel, s.r.o. Ve spolupráci s technologickým partnerem byl problém použití pouze jednodoménové architektury v managementu prostředí předán přímo výrobci, který požadované změny zapracoval do následující verze tak, že je možno kontrolovat více doménových lesů v rámci jedné organizace.
Při testování byl kladen důraz na ověření funkčnosti systému FDE v konkrétním prostředí, neboť v kombinaci s aktivními prvky antivirové kontroly může nastat problém, je-li modifikován boot record diskové jednotky, z níž je zaváděn operační systém. Testování probíhalo na všech používaných typech mobilních zařízení používaných společností Telefónica O2. Testování zahrnovalo přihlášení uživatele k aplikaci FDE heslem nebo pomocí certifikátu a následný SSO k doménovému účtu uživatele (viz obr. 1). Testy proběhly vesměs úspěšně a nebyl shledán žádný problém či dokonce chyba, která by omezovala správnou funkci zařízení nebo šifrovacího systému.
Dalším krokem bylo spuštění předpilotního provozu na omezeném počtu uživatelů a to po dobu šesti kalendářních měsíců. Pro testování bylo vybráno padesát uživatelů z různých úseků společnosti tak, aby pilotní provoz zahrnul různá oddělení společnosti.
Během této doby bylo nutno nouzově dešifrovat dvě zařízení, první z důvodu poruchy pevného disku a druhé při poškození datové části operačního systému. V obou případech se zdařilo přenést uživatelská data na jiný disk beze ztráty jediného datového bloku. Ostatní servisní požadavky nejčastěji směřovaly ke vzdáleným změnám hesla v případě jeho zneplatnění z důvodu vícenásobného chybného uživatelského přihlášení před vlastním zavedením operačního systému. Každý z popisovaných případů byl vyřešen v průběhu několika minut od nahlášení problému s přihlášením, takže nedošlo k prodlevám s užíváním mobilního zařízení uživatelem. Aplikace FDE prošla ve všech sledovaných parametrech akceptačních testů a v závěrečném vyhodnocení dopadla velice úspěšně.
Zkušenosti s užíváním takto specializovaného systému na kontrolu uživatelského přístupu a šifrování pevných datových úložišť, ale vedly k základním změnám v procesních požadavcích na podporu těchto zařízení. Pro zajištění plného provozu aplikace a přímé podpory uživatelů bylo zvoleno schéma 24x7, tedy nonstop podpora.
Následovala fáze pilotního provozu – provozní nasazení aplikace většímu počtu uživatelů. V souvislosti s postupným rozšiřováním aplikace FDE byly doladěny zejména procesní části provozování aplikace, zahrnující postupy a služby podpory koncových uživatelů dvěma nezávislými organizacemi (z důvodu oddělení pravomocí). V rámci uživatelských instalací byly provedeny instalace šifrovacího systému FDE na koncová zařízení Telefónica O2 Slovakia s.r.o. Zde byl o tento produkt od začátku velký zájem a již v této etapě byla šifrovacím systémem FDE chráněna třetina všech mobilních zařízení. O spokojenosti s tímto produktem svědčí i vyjádření bezpečnostního specialisty této společnosti, které nám pro účely tohoto článku poskytl:
S Pointsecem (FDE) sme veľmi spokojní. Prax dokázala správnosť nášho rozhodnutia. Informácie je potrebné chrániť a šifrovanie diskov považujeme za jeden zo základných pilierov komplexnej ochrany. Martin Beňuška IT security specialist Telefónica O2 Slovakia, s.r.o.
Aplikace FDE byla uvedena do rutinního provozu počátkem roku 2009. Zkušenosti s provozováním systému pro aktivní ochranu citlivých dat společnosti jsou veskrze kladné.
Ochrana citlivých dat společnosti samozřejmě nezahrnuje jen mobilní zařízení s pevným diskem (notebooky, tablet PC), ale řeší i další oblasti jakými jsou kapesní počítače Pocket PC, Palm nebo také mobilní telefony a „chytré“ komunikátory. Z tohoto důvodu připravujeme rozšíření ochrany i pro tato zařízení pomocí FDE. Rozšíření ochrany kapesních komunikátorů a PocketPC plánujeme v nejbližším možném čase. Lze konstatovat, že sázka na důvěryhodného výrobce s více než čtvrtstoletím vývoje bezpečnostních modulů této třídy se naší společnosti plně osvědčila.
Pavel Kilevník
pavel.kilevnik(zavinac)o2.com
Richard Michálek
richard.michalek(zavinac)o2.com
Pavel Vondruška
pavel.vondruska(zavinac)o2.com
Publikováno: 18. 06. 2009