Odpowiedź koleżance na Facebooku, wysłanie prywatnego maila, sprawdzenie konta w banku czy zaległości u operatora? Kto z nas nie robi tego na służbowym sprzęcie, jeśli nie mamy możliwości skorzystania z prywatnego urządzenia. Pracodawcy mogą jednak już wkrótce masowo kontrolować wszelkie połączenia szyfrowane w ramach prewencji przed wyciekiem danych, a tym samym sprawdzić nasze wiadomości. O jednym z najnowszych rozwiązań tego typu dla IT rozmawiamy z przedstawicielem firmy Wheel Systems.
Paweł Dawidek, CTO firmy Wheel Systems / Media

Zła wola pracownika lub jego niefrasobliwość może okazać się sporym wyzwaniem dla pracodawcy. Wyciek danych z firmy to nie tylko utrata zaufania i prestiżu, ale także problemy prawne i ewentualne koszty finansowe. Czy przed tym ma chronić pracodawców polskie rozwiązanie o nazwie „Ryś”?

Paweł Dawidek, Dyrektor ds. Technicznych Wheel Systems: W skrócie, Lynx SSL Inspektor to rozwiązanie, które umożliwia inspekcję wybranych sesji szyfrowanych w ramach protokołów SSL/TLS. Są dwa zagrożenia, które nasz produkt stara się pomóc rozwiązać, a które mogą dla działów bezpieczeństwa być problematyczne, z powodu połączeń szyfrowanych. Jedno to jest pobieranie wszelkiego rodzaju złośliwego oprogramowania przez pracowników firmy na komputer służbowy. A drugi aspekt to wyciek danych na zewnętrz, kiedy jakiś nieuczciwy lub nieuważny pracownik wysyła sobie np. numery kart kredytowych lub inne niejawne informacje, które nie powinny opuszczać sieci wewnętrznej firmy.

Ale w sieciach korporacyjnych lub w firmach są lub powinny być działy bezpieczeństwa, które mają dbać o to, aby bezpieczeństwo wewnątrz firmy było na wysokim poziomie, a w ramach sieci firmowej nie grasowały wirusy czy złośliwe oprogramowanie?

Niestety niebezpieczeństwo jest nadal wysokie. Generalnie w sieciach korporacyjnych działy, które monitorują wycieki danych czy złośliwe oprogramowanie mają różnego rodzaju systemy, które analizują ruch sieciowy w ramach sieci korporacyjnej. Ktoś łączy się z Internetem, ściąga jakiś plik. Wtedy odpowiedni system skanuje taki plik czy nie jest „wirusem”. Zatem ruch sieciowy pomiędzy użytkownikiem a internetem jest monitorowany. Niestety nie jest to cały ruch.

To znaczy?

Wyobraźmy sobie, że użytkownik próbuje wysłać niejawne dane Gmailem, albo z szyfrowanej strony lub poczty nieświadomie ściąga jakiegoś wirusa, np. zaszytego w instalce popularnego programu. Pracodawca chciały mieć pewność, że taka sytuacja nie będzie mieć miejsca. Dziś jednak będzie miał z tym niemały problem, ponieważ połączenie na odcinku przeglądarka użytkownika a serwer Gmail jest szyfrowane. Jest więc z perspektywy systemów monitorowania nieczytelny.

Sporo jest takich przykładów niebezpiecznych zachowań?

Przykłady problematycznego zachowania pracowników można mnożyć. Pomijając oczywiście fakt, że pracownik może działać na szkodę firmy celowo, istnieje też, np. ryzyko zainfekowania stacji roboczych dość popularnym i groźnym, szkodliwym oprogramowaniem w postaci ransomware, szyfrującym pliki. To jest faktyczny problem w korporacjach, ale są również kwestie, które wyglądają na pozór niewinnie. Wyobraźmy sobie, ze ktoś konfiguruje na swoim komputerze np. backup do chmury, w efekcie czego backupują się również dokumenty firmowe. Na ogół nie powinno być takich przypadków, ale możliwe jest, aby ktoś nie zadbał odpowiednio o bezpieczeństwo konfiguracji lub polityka firmy na to pozwalała, np. w ramach BYOD.

Odpowiedzią jest właśnie Lynx?

Rolą naszego produktu jest wsparcie rozwiązań, które monitorują czy analizują przepływ danych w sieci wewnętrznej, poprzez odkodowanie zaszyfrowanych połączeń. Kiedy ktoś łączy się na takiego Gmaila, czy Facebooka lub zewnętrzne forum, to połączenie jest szyfrowane pomiędzy przeglądarką użytkownika a serwerem docelowym przy pomocy protokołów TLS lub SSL. Czyli wszelkie rozwiązania, które stoją w sieci korporacyjnej i mają za zadanie analizować ten ruch, tak naprawdę nie są w stanie go analizować, bo jest on dla nich nieczytelny. Lynx jest odpowiedzią na tę kwestię. Rozszyfrowuje transmisje SSL/TLS i przekierowuje je do wspomnianych systemów analitycznych DLP, IPS, czy IDS, dbających o bezpieczeństwo sieci. Warto dodać, że Lynx nie wykorzystuje przy tym żadnych błędów w protokołach szyfrowanych, nie próbuje wykorzystywać ich słabości.

Jak rozumiem kanał szyfrowany jest najłatwiejszą formą, aby pracownik wysłał dane bez wiedzy firmy?

Tak, a na dodatek ruchu szyfrowanego cały czas przybywa. Po ujawnieniu przez Edwarda Snowdena informacji jak amerykańskie służby naruszają prywatność użytkowników, wiele serwisów domyślnie włączyło szyfrowanie, np. Facebook. Google także to zrobił i aby wyszukać coś w przeglądarce również łączymy się połączeniem szyfrowanym. A przecież praca bez Google w wielu firmach może być nawet niemożliwa.

Więc efekt Snowdena to jeden z powodów szyfrowania…

Kolejny to ten, że powstały darmowe zaufane centra certyfikacji. Wydają one własne certyfikaty dla stron. Do tej pory były płatne, jeśli chcieliśmy więc pozyskać taki certyfikat, trzeba było za niego zapłacić. Od kiedy jednak pojawiły się całkowicie darmowe centra certyfikacji publicznej, sytuacja diametralnie się zmieniła. Każda strona, nawet niekomercyjna może taki certyfikat uzyskać. Szyfrowanie staje się zatem coraz bardziej powszechne, niebawem każdy będzie mógł się łączyć bezpiecznie. To właśnie sprawia, że ruch szyfrowany będzie stale wzrastał. Już teraz jest go w sieciach korporacyjnych nawet ok. 50 procent. A zatem firmy, które boją się złośliwego oprogramowania lub wycieku danych już teraz nie widzą prawie połowy swojego ruchu, a będzie tylko gorzej. Ponadto, niebawem wejdzie nowy standard dla stron www – HTTP 2.0, zakładający domyślne szyfrowanie połączeń. Wraz z jego upowszechnieniem skala zjawiska jeszcze bardziej wzrośnie. Dlatego właśnie pracodawca nie może sobie pozwolić, aby zablokować ruch szyfrowany. Jest go zwyczajnie za dużo, sparaliżowałby działanie pracowników.

A zatem jak działa Lynx?

Próbując nawiązać szyfrowane połączenie z serwerem, użytkownik tak naprawdę łączy się z naszym rozwiązaniem, które rozszyfrowuje transmisję, a następnie przesyła ją do systemów analitycznych. Uzyskawszy informację zwrotną czy przesyłane dane są bezpieczne czy też nie, blokuje połączenie lub na powrót szyfruje transmisję i przesyła do docelowego serwera. Wszystko jest jawne, ponieważ wcześniej pracodawca musi zainstalować w przeglądarce pracownika certyfikat Lynx. Jeśli natomiast użytkownik nie posiada certyfikatu, otrzyma ostrzeżenie z przeglądarki, że połączenie może być monitorowane. Lynx może rozszyfrować wszystkie wykorzystywane obecnie protokoły. Pracodawca może jednak zdefiniować „wrażliwe strony”, które nie będą podlegać deszyfracji.

Kto ustala takie „wrażliwe strony” wiemy. Pytanie, czy ma to miejsce za zgodą pracownika?

To bardzo ważny aspekt. Mamy tutaj dosyć wyraźną groźbę naruszenie prywatności. Jeżeli użytkownik łączy się z jakąś stroną w połączeniu szyfrowanym, to przecież chce, żeby te dane nie były widoczne po drodze, aby nikt ich nie podglądał. Jeżeli łączy się np. z serwisem randkowym, to nie chce, aby ktoś sprawdzał gdzie wchodzi, z kim i o czym rozmawia. Jako, że zablokowanie ruchu szyfrowanego nie jest rozwiązaniem, nasz produkt daje pracodawcy możliwość, aby wybrany ruch nie był odszyfrowywany i nie podlegał analizie.

Czy istnieje teoretyczna możliwość, że firma pozna nasze dane do logowania na stronę bankową, o ile jej na to pozwolimy za pośrednictwem wspomnianych certyfikatów?

Urządzenie technicznie ma taką możliwość, ale online banking jest znakomitym przykładem strony, która nie powinna być odszyfrowywana i nie powinna podlegać analizie, ponieważ nie stanowi ryzyka dla pracodawcy - ani w kontekście wycieku danych, ani pobrania złośliwego oprogramowania.

Ale co z prawem do prywatności pracowników?

Nasze rozwiązanie nie obniża bezpieczeństwa użytkowników i pozwala, aby w cywilizowany sposób szanować prywatność pracownika. My oferujemy tylko narzędzie, a to co zrobi z nim firma leży już po jej stronie. Sięgając po Lynx, pracodawca otrzymuje od nas także domyślnie zdefiniowaną listę serwerów, dla których Lynx ruchu nie odszyfrowuje. Są to trzy kategorie stron: instytucje finansowe, instytucje opieki zdrowotnej, oraz instytucje religijne. Poziom ten można rozszerzać także na inne obszary.

Innymi słowy to pracodawca powinien poinformować go o wykorzystywanym rozwiązaniu oraz określić poziom „inwigilacji”. A co jeśli mu o tym nie powie, abstrahując od kwestii prawnych takiej decyzji?

Technologicznie nie ma możliwości, aby bez wiedzy i zgody pracownika monitorować jego połączenia szyfrowane. Przy każdym wejściu z przeglądarki dostanie powiadomienie, że jego połączenie może być monitorowane.

Wyobrażam sobie jednak, że pracodawca może „poprosić” pracownika o zgodę, na monitorowanie wszelkich połączeń, w tym wspomnianego Facebook i Gmaila…

Moim zdaniem w dzisiejszym świecie należy budować świadomość użytkownika. Jeśli ma coś ważnego do zrobienia w sieci, ale nie chce, aby pracodawca poznał szczegóły tej aktywności, niech lepiej zrobi to na prywatnym urządzeniu. W przeciwnym razie mogą się pojawić kontrowersje dotyczące ochrony prywatności. Dla nas jest kluczowe, aby produkt dawał prywatność pracownikowi, ale przy pełnej ochronie biznesu pracodawcy, jego dobrego imienia i kosztów związanych z niefrasobliwością lub złą wolą pracownika.

Czy to rozwiązanie działa już na rynku?

Tak. Pierwszym klientem, który wdrożył u siebie Lynx była Najwyższa Izba Kontroli, a także jeden z dużych banków w Polsce. Rozwiązanie to zainteresowało również klienta z Meksyku i Korei Południowej, choć nasza firma nie wchodziła w żaden sposób na te rynki. To pokazuje innowacyjność naszego Lynxa i popyt na tego typu rozwiązania.