V mnoha podnicích se ochrana dat prostřednictvím nástrojů DLP (Data Lost Prevention) pro komplexní zajištění bezpečnosti již poměrně dobře zabydlela. Zřejmým důvodem je potřeba ochrany citlivých firemních informací před zcizením a zneužitím. Odborníci rozlišují několik způsobů ochrany dat DLP, například během práce na koncových zařízeních (Data in Use), při přenosu (Data in Motion) tak i uložená data momentálně v klidu (Data-at-Rest). Ochrana může probíhat například prostřednictvím aktivních kontrol a monitoringu způsobů a rozsahu použití dat, oprávnění přístupů k informacím, analýz rizik apod.

Stručně si shrňme, jak ochrana prostřednictvím DLP nástrojů funguje. Na koncových zařízeních jsou DLP nástroje zastoupeny klienty, které dle centrálního nastavení kontrolují komunikaci mezi interními a externími systémy a subjekty. Dále mohou tyto nástroje kontrolovat komunikaci a oprávnění přístupů k datům v rámci skupin uživatelů. Rovněž mohou zajišťovat zabezpečení prostřednictvím kryptování komunikace a uložených dat. Můžou tak například kontrolovat a kryptovat emailovou komunikaci včetně příloh, monitorovat různé způsoby messagingu nebo komunikaci prostřednictvím sociálních sítí. Dalším úkolem DLP systémů je zabezpečení koncových bodů formou správy oprávnění pro připojení fyzických zařízení, jako jsou například externí disky, CD-DVD mechaniky, flash disky, mobilní zařízení, přehrávače médií s vlastní pamětí a další. Měly by také disponovat schopností kontrolovat fyzické komunikační porty koncových stanic. Mezi DLP systémy koncových bodů patří také řešení pro datové kryptování diskových úložišť (full disk encryption) a kryptování souborů a složek, uložených na discích. Firemní IT administrátoři DLP systémů koncových stanic mohou centrálně spravovat obvykle stovky až tisíce stanic.

DLP a firemní mobilita

Jak si ale DLP nástroje mají dnes poradit s firemní mobilitou, která masivně rozšiřuje nebo dokonce nahrazuje klasickou podnikovou desktopovou infrastrukturu? Způsoby provozu a využití mobilních zařízení včetně mobilní bezpečnosti jsou totiž z pohledu uživatelů chápány zcela jinak, než tomu je u desktopů a notebooků. Navíc uživatelé v čím dál větší míře využívají vlastní mobilní zařízení pro firemní účely. Mobilní uživatelé také očekávají, že opatření mobilní bezpečnosti by pro ně měla být co nejméně omezující. Pak by to mělo fungovat asi tak, že zatímco uživatel využívá svůj smartphone nebo tablet jak pro soukromé, tak i pro firemní účely, korporátní data a konektivita k firemním systémům by měla být stále pod ochranou.

K zabezpečení firemní mobility je třeba přistupovat jiným způsobem než doposud k ochraně dat na desktopech a noteboocích. Operační systémy pro desktopy a notebooky jsou totiž prakticky pro nasazení v podnicích připraveny. Jejich IT tedy má všechny možnosti kontrolovat prakticky každou činnost, která se s počítačem provádí. Mobilní operační systémy jsou ale vyvinuty pro uživatelské zacházení. Především mají za úkol zajistit koncovému uživateli co nejspolehlivější možnost mobilní komunikace. Možnost práce ale poskytují s velmi omezenými nástroji pro zajištění bezpečnosti. K tomu je třeba připočíst, že je potřeba zvládnout různé mobilní operační systémy a jejich různé verze. Pro podnikové IT pak nastává skutečný problém.

Tradiční bezpečnostní metody, jako je například kontrola přístupu k zařízení nebo poskytování přístupu k firemním systémům prostřednictvím virtuální desktopové aplikace nejsou pro mobilní zařízení dostatečné. Tyto způsoby značně zasahují do zvyklostí koncových uživatelů a omezují jejich produktivitu a ochotu pracovat v takto zabezpečeném prostředí. Ochrana mobilních zařízení proto vyžaduje fundamentálně jiný přístup, který ochraňuje data bez omezování základních uživatelských zvyklostí.

Nástroje pro správu podnikové mobility

Rozsah úkolů, které DLP systémy poskytují pro zabezpečení desktopů a notebooků, dnes pro podnikové mobility přebírají EMM (Enterprise Mobility Management) nástroje. Ty jsou aktuálním trendem pro komplexní správu podnikových mobilit. Rozšiřují funkcionalitu a rozsah využití doposud nasazovaných MDM (Mobile Device Management) systémů, tak jak se rozvíjejí požadavky na využití mobility ve firmách. V mobilních počátcích byly MDM systémy nasazovány především k zajištění mobilní bezpečnosti dat v zařízeních a zajištění mobilního provozu. Posléze je výrobci začali rozvíjet směrem ke správě a zabezpečení aplikací, dat, dokumentů a komunikace s firemním prostředím. Termín EMM si také oproti předchozím letům osvojili autoři letošní Gartner analýzy „Magic Quadrant for Enterprise Mobility Management Suites“ z června 2014.

Rozsah působnosti EMM nástrojů je poměrně značný, protože slouží k řízení celkové podnikové mobilní strategie. V praxi to jsou sady nástrojů a souborů politik, které jsou ve firemním prostředí s rychle expandujícími mobilními technologiemi zaměřeny na komplexní správu podnikových mobilních systémů. Zahrnuta je správa aplikací, zabezpečení uložených dat, oprávnění pro přístupy k datům a dokumentům nebo zabezpečení komunikace mezi uživateli a podnikovými systémy, jako je elektronická pošta, různé CRM, ERP systémy apod. To pro podniková IT vyžaduje řízení provozu a zajištění nastavení procesů a politik na všech mobilních systémech a zařízeních, které se na podnikových procesech podílejí. Dnes to jsou převážně chytré telefony, tablety nebo počítače s mobilními operačními systémy. V krátké budoucnosti k nim mohou přibýt například různá nositelná zařízení, palubní zařízení v dopravních prostředcích, zdravotnická a lékařská technika a další.

Je třeba také poznamenat, že dle podnikových EMM politik by měly být vyvíjeny a integrovány mobilní aplikace již včetně zajištění jejich bezpečného přístupu k firemním systémům. Zároveň by EMM systémy měly být schopny pracovat dle konceptu BYOD (Bring Your Own Device) politik, která umožňují zaměstnancům práci s jejich privátními mobilními zařízeními.

Možnosti správy a podpory mobilních firemních uživatelů

Současné EMM - Enterprise Mobility Management platformy, které dodávají výrobci, jako je MobileIron, Airwatch, Good a další, umožňují kvalitně zabezpečit firemní mobilní data bez zásadního dopadu na privátní využití mobilního zařízení. Tím, že se v podstatě sladily s chováním uživatelů, zajišťují poměrně efektivní ochranu podnikových dat. Pojďme se podívat, jaké hlavní funkcionality EMM systémy v podnicích zajišťují:

• EMM platformy zabezpečují emailovou, messagingovou a datovou komunikaci, aplikace, přístup a práci s přílohami emailů, se sdílenými dokumenty a dalším obsahem bez toho, aby zasahovaly do osobních dat v telefonu.
• Spravují identitu uživatele prostřednictvím vestavěných certifikačních autorit a certifikačních autorit třetích stran včetně Entrust, Opentrust, Microsoft nebo Symantec.
• Zabezpečují profily pro více uživatelů (multiuser profiles) a tím dovolují sdílení mobilních zařízení mezi více uživateli. Po přihlášení uživatele se v zařízení automaticky nastaví jeho konfigurace, politiky včetně aplikací. Po odhlášení se vymažou vytvořená data a přístroj se vrátí do default stavu.
• DLP ochrana typu Data-at-Rest je zajištěna tzv. Kontejnerizací dat. Tím je zajištěna jejich bezpečnost, konfigurace nastavení politik a dynamické politiky ochrany. U takto kontejnerizovaných dat, které jsou pak v jakési ,,ochranné bublině“, může IT admin vyžádat kryptování dat, jejich selektivní vymazání, autentizace pro přístup k datům apod.
• DLP ochrana typu Data in Motion je zajištěna technologií Per App VPN, která navazuje zabezpečenou datovou komunikací (Tunneling) pro každou aplikaci zvlášť. Pro přístup k firemním webovým zdrojům také může sloužit vlastní zabezpečený webový prohlížeč.
• Další funkčnosti z repertoáru DLP umožňují adminům definovat rozsah užití funkcí Open–in, Copy/paste či Screen capture. Díky tomu pak uživatel může pracovat s daty nebo s dokumenty jen v povolených zabezpečených aplikacích.
• Automatizované uzavřené cykly automaticky spouštějí bezpečnostní kontroly, zásahy, opravy a notifikace pokaždé, když mobilní zařízení nebo systémy vykazují nestandardní stavy nebo porušení nastavených pravidel. Tento způsob administrace je poměrně efektivní, protože spoří náklady na správu a podporu, zejména při velkém množství dohlížených mobilních zařízení.
• Nástroje pro samoobslužné nastavení a opravy rozšiřují možnosti firemní IT administrace, která část svých činností týkající se například různých registrací, instalací aplikací, diagnostiky, oprav či bezpečnosti předávají do rukou koncových uživatelů. Tento způsob opět zefektivňuje především správu velkých nasazení mobilních zařízení.
• Uživatelům poskytuje možnost přístupu k podnikovým aplikacím a službám pod jednotným heslem prostřednictvím Single Sign-On (SSO).

Tento základní výčet možností správy a zabezpečení provozu, které současné přední nástroje pro správu podnikových mobilit (EMM) poskytují, ukazuje, že podnikoví IT administrátoři mohou DLP politiky úspěšně uplatňovat i u mobilních uživatelů. Zároveň vyhovují i nárokům BYOD, kdy zaměstnanci využívají vlastní mobilní zařízení k práci. Uvidíme, jak se stoupajícím využíváním mobilních technologií se nároky na mobilní bezpečnost projeví v budoucnu.

Petr Moláček