Если организация считает допустимым, чтобы отдельные работники имели право переписывать конфиденциальные данные на переносные устройства памяти, лучше всего установить правило, чтобы такие данные шифровались. Это уменьшает риск утечки информации, если владелец устройства потеряет или просто где-то оставит его без присмотра.


Права доступа к устройству Kingston DataTraveler Secure шифруется полностью, не оставляя пользователям возможности выбора между применением защищенных или незащищенных разделов
Права доступа к устройству Kingston DataTraveler Secure шифруется полностью, не оставляя пользователям возможности выбора между применением защищенных или незащищенных разделов

Прежде чем предпринимать кардинальные шаги по блокировке переносных устройств памяти, ИТ-менеджерам стоит подумать, насколько разумно применение криптозащиты, как ее реализовать, кому это будет разрешено, откуда сотрудники смогут иметь доступ к зашифрованным данным, каков уровень ответственности авторизованных пользователей и в какой мере справляются с этими задачами те или иные решения.

Первым делом надо продумать, будет ли криптозащита программной или же аппаратной.

Многие поставщики решений USB-безопасности встраивают в свои продукты функции программного шифрования, и их владельцы могут полностью зашифровывать содержимое стандартных USB-устройств и безопасно транспортировать данные.

Тестовый центр eWeek Labs проверил две разработки, обеспечивающие безопасность пользовательских ПК, выпущенные фирмами SecureWave и Secuware. Обе они зашифровывают USB-диск целиком. Но мы обратили внимание на то, что это делается по-разному. Для криптозащиты диска в Security Framework 4.0 фирмы Secuware работнику нужно самому выбирать ключ шифрования из клиентского приложения, функционирующего в статусе агента программы. А в Sanctuary 4.1 компании SecureWave диск шифруется администратором, предоставляющим ключ пользователю.

Указанные продукты отличаются и способом управления ключами, поэтому ИТ-специалистам надо удостовериться, что предлагаемая схема вписывается в принятую инфраструктуру ключей. Так, маловероятно, что администраторы захотят, чтобы управление шифровальными ключами для USB-устройств и файловых сервисов осуществлялось с разных консолей или приложений.

Аппаратное шифрование обычно представлено USB-устройствами с технологией U3, которые при подключении к ПК автоматически запускают приложение аутентификации. Поэтому шифровальный ключ хранится на устройстве, доступном с любого ПК. Некоторые устройства даже дополняются шифровальным сопроцессором, освобождающим от лишней нагрузки процессор ПК пользователя.

Ряд аппаратных решений рассчитан на полное шифрование, а другие позволяют создавать и защищенные, и обычные дисковые разделы. Однако криптозащиту не стоит доверять рядовым сотрудникам, и потому мы советуем использовать полное шифрования.

По-видимому, будет логично, если компания установит политику, разрешающую применять только шифрованную USB-память, типа проверенного нами флэш-устройства DataTraveler Secure — Privacy Edition фирмы Kingston Technology (см. рисунок). Но при этом мы рекомендуем еще до закупки больших партий криптозащищенных устройств тщательно протестировать их на совместимость с выбранными решениями по безопасности, так как с более сложными устройствами, бывает, случаются проблемы. С одной из таких проблем мы столкнулись, когда попытались наладить корректную работу флэш-диска Kingston с Security Framework фирмы Secuware.

Обычно устройства с поддержкой технологии U3 при подключении запускают виртуальный CD, содержащий необходимые приложения безопасности, а затем инициируется второй диск, изображающий зашифрованную зону USB-памяти. При проверке мы так и не смогли активировать доступ к диску на запись, так как виртуальный CD, похоже, не мог найти контакт с ПО Secureware, даже когда мы явно разрешили доступ пользователя к CD- и USB-дискам через политику доступа. Secuware обеспечивает собственную криптозащиту через соответствующее ПО. Для этого поставщика, как и его покупателей, вопросы работы со сторонними аппаратными решениями криптозащиты, возможно, не так уж приоритетны. Тем не менее наш опыт лишний раз напоминает о важности тестов на совместимость при оценке решения по защите USB-памяти.

Администраторам еще надо решить, следует ли сделать так, чтобы хранимые на USB-диске зашифрованные данные можно было просматривать на неконтролируемых ПК. Аппаратное решение этому не мешает, и люди наверняка будут пользоваться такой возможностью, так как ключ и средства дешифровки находятся на том же устройстве.

В программных решениях это зависит от конкретного продукта. Например, в Secuware Security Framework шифровальные ключи на неконтролируемых ПК не действуют, что исключает возможность вынести данные за пределы организации. Однако в SecureWave Sanctuary 4.1 это зависит от решения администратора: память можно либо зашифровать для внутреннего пользования (так же, как и у Secuware), либо отформатировать с установкой управляющего приложения, обеспечивающего дешифровки на любом ПК. Это, возможно, полезно для работы, но снижает степень безопасности.