Je boj s narušením dat marný nebo má smysl?

Legenda o králi Knutovi říká, že si postavil trůn na pláž a rozkázal moři, aby se zastavilo. Příliv ale pokračoval dál a vlny mu zmáčely nohy. Král tím demonstroval, že je vůči přírodním živlům bezmocný. Mnoho seniorních IT pracovníků, kteří čelí stále rostoucí vlně datových útoků ví, jak se v tu chvíli cítil.

Je boj s narušením dat marný nebo má smysl?


Počet útoků v posledních letech stoupá, většinu nahlášených problémů způsobila ztráta nebo odcizení notebooků, paměťových médií nebo mobilní zařízení. Situace se ještě zhoršila v posledních třech letech v souvislosti s rozmachem BYOD (Bring Your Own Device). Zaměstnanci používají své vlastní notebooky a chytré telefony, aby odpovídali na pracovní e-maily a ukládali na ně pracovní data, což představuje výrazný nárůst bezpečnostních rizik.

Dalším významným zdrojem náhodných ztrát dat je firemní e-mail. Vzhledem k velkému objemu pošty, který společnosti posílají ze všech zařízení denně, není možné zcela eliminovat náhodné ztráty dat. Mezi časté chyby patří zadání špatné adresy, připojení nesprávného souboru a posílání citlivých dat nevhodným adresátům.

David Řeháček, Check PointKaždý zaměstnanec, aniž by si to uvědomoval, může během několika sekund ohrozit datovou bezpečnost celé společnosti. Jak je možné zabránit těmto ztrátám a chránit společnost před lidskými chybami, jako jsou například ztráty přístroje nebo zadání špatné emailové adresy?

K problematice je potřeba přistupovat ve dvou úrovních. Je nutné zaměstnance v reálném čase vzdělávat a zároveň prosazovat využívání bezpečnostních pravidel tak, aniž by je mohl uživatel obejít nebo je dokonce vypnout.

Podívejme se, jak je možné omezit unik dat přes e-maily a jak nastavit další vrstvu zabezpečení, která ochrání dokumenty, bez ohledu na použité médium nebo zařízení.

Tradiční řešení Data Loss Prevention (DLP) se dlouhodobě pokoušejí řešit otázku chybných e-mailů, ale pouze s omezeným úspěchem. Definování souborů, které jsou pro danou společnost citlivé, trvá týdny až měsíce. Navíc e-maily, které systém identifikuje jako rizikové, jsou pak posílány na IT oddělení, které kontaktuje odesílatele a ověřuje, zda se stala chyba nebo je e-mail v pořádku.

IT oddělení tak musí řešit každý e-mail, který systém zachytí, samostatně. Vezmeme-li v úvahu každodenní objem pošty, systém logicky nemůže efektivně fungovat. Je to jako bychom chtěli najít ponorku a rozhodli se vyvařit vodu z oceánu. Proto je potřeba najít jiný přístup, který nebude vyžadovat zdlouhavé definování citlivých souboru ani neustálé zásahy IT pracovníků.

Správnou cestou, jak zabránit ztrátě dat, je zapojit zaměstnance. Je to vlastně jediné řešení, jak učinit z DLP efektivní preventivní nástroj a ne jej používat jako reaktivní opatření. Za prvé je třeba zvýšit povědomí uživatelů. Efektivní DLP řešení upozorňuje uživatele o odeslání e-mailu s citlivými daty na nevhodné uživatele a navrhne možnost nápravy.

Představme si situaci, kdy zaměstnanec odešle e-mail. DLP řešení analyzuje obsah e-mailu, přílohy a jednotlivé adresáty a porovná je s předdefinovanými pravidly. Mezi ty patří například klíčová slova v těle emailu jako „finanční”, „zpráva” či „důvěrné”. Také soubory obsahující tabulky nebo prezentace s finančními údaji, důvěrnými nebo strategickými údaji musí být pečlivě pověřené.

Pokud DLP zjistí potenciální porušení, pošle odesílateli upozornění, ve kterém informuje o možnosti ztráty dat a zeptá se, jak má dál postupovat. Uživatel se bude muset rozhodnout, zda a) chce e-mail odeslat tak jak je, nebo b) si uvědomí svou chybu a opraví text, přílohy nebo příjemce zprávy. Uživatel by měl také mít možnost vysvětlit, proč nedbal hlášení DLP a zprávu odeslal.

DLP eviduje všechny aktivity uživatelů, analyzuje informace o upozorněních a zdůvodnění, proč byly podezřelé e-maily odeslány. Díky tomu je možné mít jasný přehled o událostech, vedoucí k incidentům narušení dat. Uživatelé jsou odpovědni za své rozhodování, mají tak větší odpovědnost za bezpečnost společnosti a nemohou se vymlouvat na nehodu. Současně se sníží i zatížení IT oddělení.

Tento přístup pomáhá zabránit únikům dat, ale i tak může samozřejmě dojít k odeslání citlivých informací nesprávným lidem. Je třeba také řešit, jak jsou data zabezpečena poté, co opustí firemní síť. Šifrování celého přístroje je jedním ze způsobů, jak chránit data, i když to není vždy možné a ani praktické. Dokumenty s citlivým daty se nacházejí v e-mailových schránkách (často jsou replikovány do chytrých telefonů), noteboocích, webmailu, cloudových aplikacích nebo na přenosných paměťových médiích. Tím, že jsou na mnoha místech současně, se násobí riziko jeho ztráty.

Mezi klasické způsoby ochrany patří ochrana souboru heslem. Na internetu ale bez problémů naleznete nástroje, které rozluští hesla a není proti nim žádná ochrana. Místo toho je potřeba ochránit soubor šifrováním spolu s definováním osob, které mohu mít k citlivým datům přístup. K citlivým informacím tak mají přístup pouze vybraní zaměstnanci, kteří je potřebují ke své práci. Například účetní mají přístup k finančním datům z předem definovaného zařízení nebo klientského účtu v kombinaci s uživatelským jménem a heslem.

Dokumenty je možné sdílet i mimo firemní síť. Jednou z možností je prohlížet je v cloudu nebo na zabezpečeném klientském účtu na soukromém počítači nebo mobilním zařízení.

Dvoufázový přístup k zabezpečení dat a ochraně před jejich ztrátou řeší nejčastější příčiny jejich úniku. Tím, jak jsou úniky dat pod drobnohledem veřejnosti i regulačních a státních orgánů, je na čase, aby podniky, a to především ty mající informace o klientech, nasadily efektivně fungující DLP řešení. Prevence je vždy lepší a levnější než následná léčba.

Autor pracuje jako Field Marketing Manager ve společnosti Check Point Software Technologies.


Úvodní foto: © picsfive - Fotolia.com




Komentáře