Töröljük az adathordozókat, amikor bekerülnek a vállalathoz

Az ellátási láncból eredő támadások kockázatát csökkenthetjük azzal, hogy IT-eszközeinket még életciklusuk elején fertőtlenítjük.

A legtöbb biztonsági intézkedés a hálózati sérülékenységekre összpontosít. Azonban a valóság az, hogy a teljes ellátási lánc sérülékeny egy támadással szemben. Ennek megfelelően komoly problémát jelenthet, amikor a vállalati gyártási vagy beszerzési folyamatokba fertőzött szoftver vagy hardver kerül. Az ellátási lánc elleni támadásokat a gyártók és a viszonteladók is nehezen fedezik fel, hosszú ideig rejtve maradhatnak a vállalat előtt.

Bízzunk, de ellenőrizzünk

Szigorú IT biztonsági előírások és szabályok segítségével a vállalatok csökkenhetik annak kockázatát, hogy az ellátási lánc valamely pontján fertőzött eszköz veszélyeztesse a vállalati hálózat biztonságát. Bízzunk, de ellenőrizzünk – legyen ez a biztonságra vigyázó vállalatok mottója, Ez azt jelenti, hogy megvizsgáljuk, milyen biztonsági protokollok segítségével csökkentik kockázataikat partnereink, milyen gyártói kapcsolatai vannak, ami gondot jelenthetne.

Sok vállalatnál már bevett gyakorlat, hogy a tanúsított adattörlést az életciklusuk végét elért eszközöknél használják (ezzel is védve a vállalati adatok szivárgását), ám az adattörlés a vállalathoz frissen bekerülő eszközök esetében is fontos.

Amerikai javaslat is előírja

Az Amerikai Nemzet Technológiai Intézet (NIST) 800-53-as kiadványa a vállalatok és információs rendszerek biztonságával foglalkozik. Az intézet azt javasolja a vállalatok és kormányzati szervezetek számára egyaránt, hogy töröljék adathordozóikat az aktív életciklusuk alatt is, ezzel is védekezve az ellátási lánc sérülékenységei ellen.

Például egy hordozható, külső adattároló tartalmazhat olyan kártevőt, mely az USB vagy egyéb porton keresztül a vállalati hálózatba juthat. Azonban, ha átnézzük, és tanúsítottan felülírjük ezeket az adathordozókat, akkor biztosak lehetünk benne, hogy még a rejtett kártevők sem tudnak bejutni szervezetünkbe.

Találtak már kártevőket gyári merevlemezeken és frissen vásárolt mobiltelefonokon is.

Ehhez hasonlóan, nemcsak az adathordozókra, hanem a más, újonnan vásárolt IT eszközök esetében is vizsgáljuk meg, hogy milyen esetleges kártevők vannak rajta. A kockázatok csökkentése érdekében pedig használjuk a tanúsított adattörlési megoldásokat. Figyeljünk az adott eszközök eredetére is. Az adatvédelmi szabályzatokba foglalhatjuk a kötelező adattörlést minden telepítés előtt – ahol ennek van értelme.

A lényeg, hogy nemcsak az eszközök életciklusának végén, hanem az életciklus elején, még mielőtt szervezetünk meglévő rendszereivel kapcsolatba kerülne, használjuk bátran a minősített adattörlést, ezzel is megvédve hálózatunkat és bizalmas adatainkat az ellátási láncból eredő támadásoktól.