Co robisz z laptopami pracowniczymi i osobistymi?

38

Dzisiaj jeden z naszych programistów skradził laptopa z domu. Najwyraźniej miał pełną kasę svn kodu źródłowego firmy, a także pełną kopię bazy danych SQL.

Jest to jeden z głównych powodów, dla których osobiście jestem przeciwny pracy w firmie na laptopach osobistych.
Jednak nawet gdyby był to laptop należący do firmy, nadal mielibyśmy ten sam problem, chociaż bylibyśmy w nieco lepszej sytuacji, aby wymusić szyfrowanie (WDE) na całym dysku.

Pytania są następujące:

  1. Co twoja firma robi z danymi firmy na sprzęcie nie będącym własnością firmy?
  2. Czy WDE jest sensownym rozwiązaniem? Czy generuje dużo narzutu podczas odczytu / zapisu?
  3. Poza zmianą haseł do rzeczy, które były tam przechowywane / dostępne, czy jest coś jeszcze, co możesz zasugerować?
security laptop disk-encryption Tom O'Connor
źródło
7
Czy został skradziony, czy też „skradziony”? Miałem kiedyś przypadek, w którym laptop pracownika w tajemniczy sposób zniknął, i przez dziwny przypadek to była jedyna rzecz, która została „skradziona” z ich domu. I oczywiście pozostało 1000 dolarów innego sprzętu i kosztowności, które pozostały nietknięte. Oczywiście nigdy nie zadzwonili na policję w celu przeprowadzenia dochodzenia. Czy wezwałeś policję w celu przeprowadzenia dochodzenia?
bakoyaro,
Nie widzę policji prowadzącej dochodzenie w sprawie kradzieży czyjegoś laptopa na wniosek pracownika firmy. Tak, wiem, możesz argumentować, że kod źródłowy jest własnością firmy, ale na podstawie doświadczenia policjanci po prostu wzruszają ramionami i nic z tym nie robią.
Belmin Fernandez
3
@ bakoyaro tak, policja została poinformowana. Tylko jego portfel i laptop zostały zranione. Trochę dziwne.
Tom O'Connor,
1
To, co robię, bardzo mnie martwi, ponieważ nie mogę przekonać mojego przełożonego i współpracowników, że powinni się martwić.
Zoredache,
8
@Tom - martwisz się teraz? Co jeśli te dane osobowe zawierają dane Twojego konta bankowego? Tak. To zawsze przyciąga uwagę, prawda? Faktem jest, że nieważne, w jakiej branży pracujesz i w jakim kraju jesteś, firma nie zawsze traktuje bezpieczeństwo danych tak poważnie, jak powinna, a nawet gdy intencje są dobre, załatwianie spraw może zbyt często zdarza się w sposób coraz rzeczy zrobić prawo . Prawdziwa mądrość polega na tym, aby wiedzieć, kiedy rozdzielić tę różnicę, a kiedy wykopać pięty.
Rob Moir,

Odpowiedzi:

30

  1. Problem polega na tym, że pozwalanie ludziom na nieodpłatne nadgodziny na ich własnym zestawie jest bardzo tanie, więc menedżerowie nie są tak chętni, aby to zatrzymać; ale oczywiście z przyjemnością obwinie IT, jeśli nastąpi wyciek ... Tylko silnie egzekwowane zasady będą temu zapobiegać. To zależy od zarządzania, gdzie chcą znaleźć równowagę, ale to bardzo problem z ludźmi.

  2. Testowałem WDE (Truecrypt) na laptopach z obciążeniami na poziomie administracyjnym i naprawdę nie jest tak źle, pod względem wydajności, trafienie we / wy jest znikome. Mam też kilku programistów, którzy przechowują na nim ~ 20 GB kopii roboczych. To samo w sobie nie jest „rozwiązaniem”; (To nie powstrzyma danych przed zrzuceniem z niezabezpieczonej maszyny, na przykład podczas uruchamiania), ale z pewnością zamyka wiele drzwi.

  3. Co powiesz na ogólny zakaz wszystkich zewnętrznych danych; następnie inwestycje w usługi pulpitu zdalnego, przyzwoitą sieć VPN i przepustowość do jej obsługi. W ten sposób cały kod pozostaje w biurze; użytkownicy uzyskują sesję z dostępem sieci lokalnej do zasobów; a domowe urządzenia stają się głupimi terminalami. Nie będzie pasować do wszystkich środowisk (przerywany dostęp lub wysoka letancja może być w Twoim przypadku przeszkodą), ale warto zastanowić się, czy praca w domu jest ważna dla firmy.

SmallClanger
źródło
3
+1 przy trzeciej sugestii. Miej dla mnie jak najbardziej sens.
Belmin Fernandez,
1
# 3 to także kierunek, w którym zmierzamy. Po co kompilować się na laptopie, kiedy można VPN i RDP na maszynie wirtualnej działającej na sprzęcie serwerowym? Nie sprawdzasz kodu wejściowego i wyjściowego przez VPN, ponieważ wszystko to pozostaje w biurowej sieci LAN.
sierpień
2
Osoby z Ubuntu mogą korzystać z wbudowanego szyfrowania LUKS, które jest częścią alt-installera. Działa świetnie i jest trywialny do skonfigurowania w czasie instalacji.
Zoredache,
7
Opcja 3 (RDP / VNC) zwykle wciąga moje doświadczenia. Problem polega na tym, że wszelkie opóźnienia mają poważne konsekwencje w przypadku funkcji autouzupełniania większości popularnych IDE. O ile Twoi użytkownicy nie będą mieli solidnego połączenia z Internetem z bardzo małym opóźnieniem, prawie na pewno będą nienawidzić rozwiązania Pulpitu zdalnego.
Zoredache,
7
Czy ktoś, kto opowiada się za numerem 3, rzeczywiście tego próbował? Pracowałem w ten sposób prawdopodobnie przez setki lub tysiące godzin i nienawidzę tego. Nawet przez sieć LAN to nie jest zabawne, a przez VPN przypomina mi, kiedy byłem na modemie.
Gabe
13

Nasza firma wymaga szyfrowania całego dysku na wszystkich laptopach należących do firmy. Oczywiście, że jest to narzut, ale dla większości naszych użytkowników nie stanowi to problemu - używają przeglądarek internetowych i pakietów biurowych. Mój MacBook jest zaszyfrowany i tak naprawdę nie wpłynął na rzeczy, które zauważyłem, nawet podczas uruchamiania maszyn wirtualnych w VirtualBox. Dla kogoś, kto spędza większość dnia na kompilacji dużych drzew kodu, może to być większy problem.

Oczywiście potrzebujesz ram polityki dla tego rodzaju rzeczy: musisz wymagać, aby wszystkie laptopy będące własnością firmy były szyfrowane, i musisz wymagać, aby dane firmy nie były przechowywane na urządzeniach niebędących własnością firmy. Twoje zasady muszą być egzekwowane także dla personelu technicznego i wykonawczego, nawet jeśli narzekają, w przeciwnym razie znów napotkasz ten sam problem.

Larsks
źródło
5
Jest to możliwe tylko wtedy, gdy czasy kompilacji są wystarczająco szybkie na dyskach szyfrujących. Programiści zrobią wszystko , aby uzyskać system, który szybko się kompiluje. Z twoją zgodą lub bez.
Ian Ringrose,
4
Tak, ale jeśli minęły już czasy kompilacji, normalnie zaakceptowaliby stacjonarną stację roboczą w biurze, nieprzenośną, ale o niesamowitej mocy wyjściowej ^^
Oskar Duveborn
3
Zbyt prawdziwe. Zdecydowanie polecam przeprowadzenie testów porównawczych i opublikowanie ich programistom, jeśli planujesz to wdrożyć. Jeśli wykażesz <5% narzutów na WDE w rzeczywistych warunkach, możesz wziąć je na pokład. Marchewka: zaoferuj deweloperom dyski SSD, aby osłodzić ofertę. Stick: zwolnij ich, jeśli spowodują naruszenie przez obalenie twojego mechanizmu. : D
SmallClanger,
3
Przynajmniej z tego, co widziałem, kompilacja jest zwykle bardziej związana z procesorem niż z I / O. Nie twierdzę, że szyfrowanie nie zrobi różnicy, ale nie wydaje się, żeby miało to duże znaczenie. Oczywiście zależy to od projektu.
Zoredache,
1
To prawda, że ​​kompilacja jest głównie związana z procesorem, ale łączenie zwykle zajmuje również dużo dyskowych operacji we / wy (choć nadal jest również obciążonych procesorem). Nie mogę powiedzieć, że zauważyłem jakąkolwiek różnicę na laptopie i5 z dyskiem SSD G2 Intel i włączającym funkcję Bitlocker na wszystkich woluminach. Działa tak dobrze, że jestem teraz całkowicie sprzedany na Bitlocker To Go również na moim prywatnym sprzęcie ^^
Oskar Duveborn,
9

Skupiłbym się mniej na samym sprzęcie, a bardziej na danych. Pomoże to uniknąć problemów, na które napotykasz teraz. Możesz nie mieć wystarczającej siły, aby upoważnić do polisy na urządzenia osobiste. Lepiej jednak wykorzystaj dźwignię, aby określić sposób przetwarzania danych należących do firmy. Jako uniwersytet cały czas mamy takie problemy. Wydział nie może być finansowany w taki sposób, aby jego wydział mógł kupić komputer lub mogliby zakupić serwer przetwarzania danych na podstawie grantu. Ogólnie rzecz biorąc, rozwiązaniem tych problemów jest ochrona danych, a nie sprzętu.

Czy Twoja organizacja ma zasady klasyfikacji danych? Jeśli tak, co to mówi? Jak sklasyfikowane byłoby repozytorium kodu? Jakie wymagania zostaną nałożone na tę kategorię? Jeśli odpowiedź na którekolwiek z nich brzmi „Nie” lub „Nie wiem”, polecam rozmowę z biurem ds. Bezpieczeństwa informacji lub z osobą odpowiedzialną za opracowanie zasad.

Na podstawie tego, co według ciebie zostało wydane, czy jako właściciel danych prawdopodobnie sklasyfikowałbym go jako High, Code Red lub jakikolwiek inny najwyższy poziom. Zazwyczaj wymagałoby to szyfrowania w spoczynku, podczas transportu, a nawet może wymieniać pewne ograniczenia dotyczące miejsca, w którym dane mogą być przechowywane.

Poza tym możesz zastanawiać się nad wdrożeniem pewnych bezpiecznych praktyk programistycznych. Coś, co może skodyfikować cykl rozwojowy i wyraźnie uniemożliwi programistom kontakt z produkcyjną bazą danych, z wyjątkiem dziwnych i rzadkich okoliczności.

Scott Pack
źródło
6

1.) Praca zdalna

Dla programistów zdalny pulpit jest bardzo dobrym rozwiązaniem, chyba że wymagane jest 3D. Wydajność zwykle jest wystarczająco dobra.

Moim zdaniem zdalny pulpit jest jeszcze bezpieczniejszy niż VPN, ponieważ odblokowany notebook z aktywną VPN pozwala na coś więcej niż widok na serwer terminali.

VPN należy podawać tylko osobom, które mogą udowodnić, że potrzebują więcej.

Przenoszenie poufnych danych poza dom jest nieuniknione i powinno się temu zapobiegać, jeśli to możliwe. Praca jako programista bez dostępu do Internetu może być zabroniona, ponieważ brak dostępu do kontroli źródła, śledzenia problemów, systemów dokumentacji i komunikacji w najlepszym wypadku obniża wydajność.

2.) Wykorzystanie sprzętu spoza firmy w sieci

Firma powinna mieć standard tego, co jest wymagane od sprzętu podłączonego do sieci LAN:

  • Antywirusowe
  • Zapora ogniowa
  • być w domenie, być zinwentaryzowanym
  • jeśli jest mobilny, bądź szyfrowany
  • użytkownicy nie mają lokalnego administratora (trudny, jeśli programista, ale wykonalny)
  • itp.

Obcy sprzęt powinien być zgodny z tymi wytycznymi lub nie znajdować się w sieci. Możesz skonfigurować NAC, aby to kontrolować.

3.) Niewiele można zrobić z rozlanym mlekiem, ale można podjąć kroki w celu uniknięcia ponownego wystąpienia.

Jeśli powyższe kroki zostaną podjęte, a notebooki będą niewiele więcej niż mobilnymi cienkimi klientami, niewiele więcej będzie konieczne. Hej, możesz nawet kupić tanie notebooki (lub użyć starych).

Posipiet
źródło
3

Komputery nie będące pod kontrolą firmy nie powinny być dozwolone w sieci. Zawsze. Dobrym pomysłem jest użycie czegoś takiego jak VMPS, aby umieścić nieuczciwy sprzęt w sieci VLAN poddanej kwarantannie. Podobnie, dane firmy nie prowadzą działalności poza sprzętem firmy.

Szyfrowanie dysku twardego jest obecnie dość łatwe, więc szyfruj wszystko, co opuszcza lokal. Widziałem wyjątkowo nieostrożną obsługę laptopów, która byłaby katastrofą bez pełnego szyfrowania dysku. Uderzenie wydajności nie jest takie złe, a korzyść znacznie go przewyższa. Jeśli potrzebujesz niesamowitej wydajności, VPN / RAS na odpowiednim sprzęcie.

Cakemox
źródło
3

Aby przejść w innym kierunku od niektórych innych odpowiedzi tutaj:

Podczas ochrony i zabezpieczenia danych ważne jest prawdopodobieństwo, że osoba, która ukradła laptopa:

  1. Wiedział, co kradli
  2. Wiedział, gdzie szukać danych i kodu źródłowego
  3. Wiedział, co zrobić z danymi i kodem źródłowym

Jest mało prawdopodobne. Najbardziej prawdopodobnym scenariuszem jest to, że osoba, która ukradła laptopa, jest zwykłym starym złodziejem, a nie korporacyjnym szpiegiem, który chce ukraść firmowy kod źródłowy, aby zbudować konkurencyjny produkt i wprowadzić go na rynek przed firmą, a tym samym wyprzeć firmę. biznesu.

To powiedziawszy, prawdopodobnie Twoim obowiązkiem byłoby wprowadzić pewne zasady i mechanizmy, aby zapobiec temu w przyszłości, ale nie pozwolę, aby ten incydent utrzymywał cię w nocy. Straciłeś dane na laptopie, ale prawdopodobnie była to tylko kopia, a rozwój będzie kontynuowany bez zakłóceń.

joeqwerty
źródło
Nie ma obaw o utratę danych w całym tego słowa znaczeniu. Mamy kopie zapasowe i kopie wychodzące z naszych uszu. Mimo to istnieje pewne ryzyko, że nasze tajemnice biznesowe znajdują się w repozytorium SVN.
Tom O'Connor,
3

Laptopy należące do korporacji powinny oczywiście używać szyfrowanych dysków itp., Ale pytasz o komputery osobiste.

Nie uważam tego za problem techniczny, ale raczej behawioralny. Z technologicznego punktu widzenia niewiele można zrobić, aby uniemożliwić komuś zabranie kodu do domu i zhakowanie go - nawet jeśli możesz uniemożliwić mu sprawdzenie wszystkich źródeł projektu na formalnej podstawie, którą nadal mogą wziąć fragmenty domu, jeśli są do tego zdecydowane, a jeśli 10-liniowy „fragment” kodu (lub dowolnych danych) stanie się bitem zawierającym tajny sos / cenne i poufne informacje o kliencie / lokalizację świętego Graala, to „ nadal potencjalnie tak samo bez kości, tracąc te 10 linii, jak byście stracili 10 stron.

Co więc chce robić firma? Zupełnie możliwe jest stwierdzenie, że ludzie absolutnie nie mogą pracować nad biznesem firmowym z komputerów innych niż firmowe, co czyni przestępstwo zwolnienia z pracy „rażącym niewłaściwym postępowaniem” dla osób, które łamią tę zasadę. Czy to odpowiednia reakcja na osobę, która jest ofiarą włamania? Czy byłoby to sprzeczne z zasadami kultury korporacyjnej? Czy firmie to się podoba, gdy ludzie pracują z domu we własnym czasie i dlatego są gotowi zrównoważyć ryzyko utraty własności z postrzeganym wzrostem wydajności? Czy utracony kod służy do kontroli broni nuklearnej, skarbców bankowych lub sprzętu ratunkowego w szpitalach i jako takie naruszenie bezpieczeństwa nie może być w żadnym wypadku naprawione? Czy masz prawny lub regulacyjny obowiązek w zakresie bezpieczeństwa kodu „zagrożony”

Są to niektóre z pytań, które moim zdaniem należy wziąć pod uwagę, ale nikt tutaj nie może odpowiedzieć na nie za ciebie.

Rob Moir
źródło
3

Co twoja firma robi z danymi firmy na sprzęcie nie będącym własnością firmy?

Z pewnością dane firmowe powinny być przechowywane tylko na urządzeniach firmowych, chyba że zostały zaszyfrowane przez dział IT

Czy WDE jest sensownym rozwiązaniem? Czy generuje dużo narzutu podczas odczytu / zapisu?

Każde oprogramowanie do szyfrowania dysku będzie miało narzut, ale warto, a wszystkie laptopy i zewnętrzne dyski USB powinny być szyfrowane.

Poza zmianą haseł do rzeczy, które były tam przechowywane / dostępne, czy jest coś jeszcze, co możesz zasugerować?

Możesz także uzyskać oprogramowanie do zdalnego czyszczenia, tak jak w środowisku BES dla jeżyn.

cpgascho
źródło
proszę używać cytatów, >a nie bloków kodu dla cytatów, patrz serverfault.com/editing-help
Jeff Atwood
1

W sytuacji, w której jest zaangażowany kod źródłowy, a zwłaszcza gdy używany komputer nie może być kontrolowany przez dział IT firmy, pozwoliłbym osobie na rozwój w sesji zdalnej hostowanej na komputerze w siedzibie firmy, za pośrednictwem VPN.

Alan B.
źródło
Czy chcesz stracić duże zamówienie, jeśli oprogramowanie się spóźni z powodu awarii połączenia VPN? Jednak przez większość czasu VPN działa dobrze dla programistów.
Ian Ringrose,
Cóż, myślę, że musisz porównać to ryzyko z ryzykiem, że jego laptop będzie chodził po walkach z wypisaną kopią źródła. Przynajmniej powinny mieć źródło w woluminie Truecrypt.
Alan B,
0

Co powiesz na oprogramowanie do zdalnego czyszczenia? Działa to oczywiście tylko wtedy, gdy złodziej jest na tyle głupi, aby włączyć komputer do Internetu. Ale jest mnóstwo opowieści o ludziach, którzy nawet znaleźli w ten sposób skradzione laptopy, więc możesz mieć szczęście.

Czasowe czyszczenie może być również opcją, jeśli nie wprowadziłeś hasła w ciągu X godzin, wszystko zostanie usunięte i musisz ponownie sprawdzić. Nie słyszałem o tym wcześniej, być może dlatego, że jest to naprawdę głupie, ponieważ wymaga więcej pracy od użytkownika niż szyfrowanie. Może byłoby dobrze w połączeniu z szyfrowaniem dla osób martwiących się wydajnością. Oczywiście masz również problem z zasilaniem, ale tutaj nie jest wymagany dostęp do Internetu.

lalalamp
źródło
0

Myślałem o tym, że twoim największym problemem jest to, że wydaje się to sugerować, że laptop miał dostęp do sieci firmowej. Zakładam, że uniemożliwiłeś teraz temu laptopowi podłączenie się do sieci biurowej.

Dopuszczenie komputerów firmowych do sieci biurowej to naprawdę zły pomysł. Jeśli nie jest to laptop firmowy, jak możesz wymusić na nim odpowiedni program antywirusowy. Zezwolenie na to w sieci oznacza, że ​​nie masz kontroli nad programami, które na nim działają - np. Wireshark patrząc na pakiety sieciowe itp.

Niektóre inne odpowiedzi sugerują, że programowanie poza godzinami pracy powinno odbywać się w ramach sesji RDP i tym podobnych. W rzeczywistości oznacza to, że mogą pracować tylko tam, gdzie mają połączenie z Internetem - nie zawsze jest to możliwe w pociągu itp., Ale wymaga również, aby laptop miał dostęp do serwera na potrzeby sesji RDP. Musisz zastanowić się, jak zabezpieczyć dostęp RDP przed kimś, kto ma dostęp do skradzionego laptopa (i prawdopodobnie niektórych haseł przechowywanych na laptopie)

Wreszcie, najbardziej prawdopodobnym rezultatem jest to, że laptop został sprzedany komuś, kto nie jest zainteresowany treścią i użyje go tylko do obsługi poczty e-mail i Internetu. Jednak .... to dość duże ryzyko dla firmy.

Michael Shaw
źródło
Nie potrzebujesz dostępu do sieci firmowej, aby uzyskać nasz kod źródłowy, wystarczy hasło SVN i adres URL naszego serwera repozytorium svn.
Tom O'Connor,
Zakładasz, że mamy VPN. Miły. Chciałbym, żebyśmy to zrobili.
Tom O'Connor,
1
martwisz się utratą laptopa z kodem źródłowym, gdy opublikujesz go w Internecie.
Michael Shaw
-3

W tym przypadku blokada laptopa zapobiegłaby temu problemowi. (Nie słyszałem jeszcze o zablokowaniu pulpitu, ale z drugiej strony, jeszcze nie słyszałem o włamywaczu kradnącym pulpit).

W ten sam sposób, w jaki nie zostawiasz swojej biżuterii, kiedy wychodzisz z domu, nie powinieneś pozostawiać laptopa bez zabezpieczenia.

MCS
źródło
1
Przez cały czas słyszałem o włamywaczach kradnących komputery. W $ job-1 ktoś miał swojego starego Maca G4 zranionego. Te rzeczy ważą tonę.
Tom O'Connor,
Zmarszczyłbym brwi, gdyby moja firma kazała mi trzymać laptopa na smyczy we własnym domu. Lepsze zamki mogły całkowicie zapobiec włamaniu itp. Itd. Komputery stacjonarne zostały skradzione, a zamki istnieją i są używane w wielu firmach. W sumie nie jest to przydatna odpowiedź.
Martijn Heemels,
Zamki w stylu „Kensington” zwykle wystarczają tylko, aby powstrzymać przypadkowego złodzieja. Przyzwoity zestaw przecinaków do śrub bardzo szybko by się przedostał. Zwykle widziałem ich zatrudnionych w biurach, aby powstrzymać sprzątaczy przed kradzieżą laptopów.
Richard Everett