Ochrana dat ve společnosti Telefónica O2

Společnost Telefónica O2 Czech Republic, a.s., se rozhodla chránit data uložená v přenosných zařízeních šifrováním celého pevného disku pomocí produktu CheckPoint End Point Security – Full Disk Encryption (Pointsec for PC).

Únik informací – jedno z největších rizik ve společnosti, má mnoho podob a mož- ností. Dopady mohou být značné: neú- činná marketingová kampaň, neprodejný produkt, negativní dopad na značku, nedůvěra a následný odliv zákazníků či informace, které mají vliv na hodnotu ak- cií společnosti. Jednou z cest, jak získat informace, je jejich zcizení současně se zařízením, ve kterém jsou uloženy.

K zamezení úniku informací nestačí vydat příslušné směrnice a nařízení, nestačí uživatele v dané oblasti patřičným způ- sobem a opakovaně proškolovat, ale je potřeba jim také dát vhodný, uživatelsky jednoduchý nástroj, který by jim pomo- hl ochranu dat zajistit. Z tohoto důvodu vznikl ve společnosti Telefónica O2 Czech Republic (dále jen Telefónica O2) koncept (program) Bezpečná stanice, který je sou- borem opatření ISMS a vychází ze základ- ních požadavků na datovou a informační bezpečnost. Zahrnuje množství prvků ochrany koncového zařízení. Ke speciální doménové politice takovéto stanice byly mimo klasických modulů (firewall, antivi- rus, VPN) přidán certifikát k silné autenti- zaci k vybraným systémům a zejména těž- ký klient Entrust Desktop, který zajišťuje šifrování a podepisování e-mailů a jednot- livých souborů. Na základě zkušeností, že uživatelé nechávají na disku svého počí- tače soubory a dokumenty, které by měly být vzhledem ke svému obsahu chráněny,jsme se rozhodli přidat k bezpečné stanici další funkčnost a to ochranu dat šifrová- ním celého disku.

Po zvážení všech rizik a bezpečnostních aspektů jsme pro komplexní ochranu dat vyloučili použití souborového šifrování (tzv. File Encryption). Tato metoda přede- vším neumožňuje ochranu dat šifrováním v odkládacích oblastech systému, kde je lze nalézt v otevřené podobě a dále neposkytuje komplexní řešení ochrany hesel ukládaných v systémové oblasti operačního systému, resp. uživatelských účtů obecně. Při hledání řešení jsme se zaměřili na nástroje určené k plnému šifrování datových oblastí pevných disků (tzv. Full Disk Encryption), dovolující dů- slednou autentizaci uživatele ještě před samotným startem operačního systému (tzv. Pre-Boot Authentication).

Ze všech systémů pro plné šifrování disku byl nakonec vybrán systém CheckPoint End Point Security – Full Disk Encryption (dříve známý jako Pointsec for PC). To, že jsme se v projektu vydali správnou ces- tou z hlediska zvolené aplikace, potvrdila i naše mateřská organizace Telefónica O2, která nezávisle na našem projektu aplika- ci CheckPoint FDE označila jako doporu- čenou metodu ochrany mobilních zařízení v celé společnosti. Pro výběr CheckPoint FDE bylo taktéž rozhodující, že umožňuje ochranu dat šifrováním i na dalších přenosných zařízeních typu PDA a Smart Phone s operačními systémy PalmOS a Windows Mobile a i na mobilních telefo- nech se systémem Symbian (Nokia).

Vzhledem ke skutečnosti, že změny v ope- račním systému a datové oblasti s sebou při neodborném zásahu nesou riziko po- škození dat a protože jsme s podobným systémem v rámci organizace neměli žádné zkušenosti, vybírali jsme spolu s produktem také zkušeného dodavatele služeb, který by měl zkušenosti s projekty podobného rozsahu. Takového vhodného technologického partnera jsme našli ve společnosti Tempest Czech, s.r.o., která nás přesvědčila jak zkušenostmi s na- sazením i správou tohoto produktu, tak i schopností rychlého řešení požadova- ných funkčních vlastností ve prospěch naší společnosti přímo u výrobce.

Výhoda volby tohoto partnera, který do- káže čerpat ze zkušeností s nasazením různých systémů FDE v organizacích po- dobného rozsahu v rámci České i Sloven- ské republiky, se projevila relativně záhy. V průběhu tvorby aplikačního prostředí se mimo jiné vyskytl problém spojený s naší multidoménovou architekturou danou historickým slučováním organiza- cí Český Telecom, a.s. a Eurotel, s.r.o. Ve spolupráci s technologickým partnerem byl problém použití pouze jednodoméno- vé architektury v managementu prostřediDSM 2|2009předán přímo výrobci, který požadované změny zapracoval do následující verze tak, že je možno kontrolovat více domé- nových lesů v rámci jedné organizace.

Při testování byl kladen důraz na ověření funkčnosti systému FDE v konkrétním prostředí, neboť v kombinaci s aktivními prvky antivirové kontroly může nastat problém, je-li modifikován boot record diskové jednotky, z níž je zaváděn operač- ní systém. Testování probíhalo na všech používaných typech mobilních zařízení používaných společností Telefónica O2. Testování zahrnovalo přihlášení uživatele k aplikaci FDE heslem nebo pomocí cer- tifikátu a následný SSO k doménovému účtu uživatele. Testy proběhly vesměs úspěšně a nebyl shledán žád- ný problém či dokonce chyba, která by omezovala správnou funkci zařízení nebo šifrovacího systému.

Dalším krokem bylo spuštění předpilotní- ho provozu na omezeném počtu uživatelů a to po dobu šesti kalendářních měsíců. Pro testování bylo vybráno padesát uži- vatelů z různých úseků společnosti tak, aby pilotní provoz zahrnul různá oddělení společnosti.

Během této doby bylo nutno nouzově dešifrovat dvě zařízení, první z důvo- du poruchy pevného disku a druhé při poškození datové části operačního sys- tému. V obou případech se zdařilo pře- nést uživatelská data na jiný disk beze ztráty jediného datového bloku. Ostatní servisní požadavky nejčastěji směřovaly ke vzdáleným změnám hesla v případě jeho zneplatnění z důvodu vícenásob- ného chybného uživatelského přihlášení před vlastním zavedením operačního systému. Každý z popisovaných případů byl vyřešen v průběhu několika minut od nahlášení problému s přihlášením, takže nedošlo k prodlevám s užíváním mobilního zařízení uživatelem. Aplika- ce FDE prošla ve všech sledovaných parametrech akceptačních testů a v závěrečném vyhodnocení dopadla velice úspěšně.

Zkušenosti s užíváním takto specializova- ného systému na kontrolu uživatelského přístupu a šifrování pevných datových úlo- žišť, ale vedly k základním změnám v pro- cesních požadavcích na podporu těchto zařízení. Pro zajištění plného provozu apli- kace a přímé podpory uživatelů bylo zvole- no schéma 24x7, tedy nonstop podpora.

Následovala fáze pilotního provozu – pro- vozní nasazení aplikace většímu počtu uži- vatelů. V souvislosti s postupným rozšiřo- váním aplikace FDE byly doladěny zejména procesní části provozování aplikace, zahr- nující postupy a služby podpory koncových uživatelů dvěma nezávislými organizacemi (z důvodu oddělení pravomocí). V rámci uživatelských instalací byly provedeny in- stalace šifrovacího systému FDE na kon- cová zařízení Telefónica O2 Slovakia s.r.o. Zde byl o tento produkt od začátku velký zájem a již v této etapě byla šifrovacím sys- témem FDE chráněna třetina všech mobil- ních zařízení. O spokojenosti s tímto pro- duktem svědčí i vyjádření bezpečnostního specialisty této společnosti, které nám pro účely tohoto článku poskytl:

S Pointsecem (FDE) sme veľmi spokojní. Prax dokázala správnosť nášho rozhodnu- tia. Informácie je potrebné chrániť a šif- rovanie diskov považujeme za jeden zo základných pilierov komplexnej ochrany.Martin Beňuška IT security specialist Telefónica O2 Slovakia, s.r.o.

Aplikace FDE byla uvedena do rutinního provozu počátkem roku 2009. Zkuše- nosti s provozováním systému pro aktiv- ní ochranu citlivých dat společnosti jsou veskrze kladné.

Ochrana citlivých dat společnosti samo- zřejmě nezahrnuje jen mobilní zařízení s pevným diskem (notebooky, tablet PC), ale řeší i další oblasti jakými jsou kapes- ní počítače Pocket PC, Palm nebo také mobilní telefony a „chytré" komunikátory. Z tohoto důvodu připravujeme rozšíření ochrany i pro tato zařízení pomocí FDE. Rozšíření ochrany kapesních komunikáto- ru a PC plánujeme v nejbližším možném čase. Lze konstatovat, že sázka na důvěry- hodného výrobce s více než čtvrtstoletím vývoje bezpečnostních modulů této třídy se naší společnosti plně osvědčila.

Pavel Kilevník
pavel.kilevnik@o2.com

Richard Michálek
richard.michalek@o2.com

Pavel Vondruška
pavel.vondruska@o2.com

Uveřejneno ve čtvrtletníku DSM 2/2009