Technologie na ochranu dat před ztrátou DLP (z anglického Data Loss Prevention) vycházející z původních datových plotů jsou koncepčně staré. Pocházejí z 80. let minulého století. Cílem tehdy bylo povolit kopírování dat jen na vybraná média, která byla navíc obvykle šifrovaná. Ale tato koncepce se nakonec díky rozvoji počítačových sítí moc neuchytila.

S tím, jak se počítačové systémy rozšiřují, přibývají nové technologie a funkce, existuje stále více komunikačních kanálů, jimiž mohou data unikat. Klíčová už tak není jen ochrana před vypálením na CD/DVD, nahrání na síťový/flash disk, tisk, odeslání e-mailem, ale i ochrana chytrých mobilních zařízení a v neposlední řadě i tenkých uživatelských klientů (např. Citrix). Změna nastala i u struktury dat, klíčové už nejsou jednotlivé soubory uložené na serverech/stanicích, ale velké databáze, jež se mohou nacházet jak uvnitř, tak vně firemní sítě.

Při ukládání dat do cloudu je potřeba kompletně změnit koncepci zabezpečení. Dostupnost dat kdykoliv a odkudkoliv je vykoupena nároky na jejich zabezpečení. Cloud přináší nemalá bezpečnostní rizika, ale má i své výhody. Pokud firma potřebuje s partnery sdílet data o obchodech, technickou dokumentaci apod., je velmi užitečný. Jen je nutné počítat s tím, že do správy systému vstupuje externí společnost.

Dá se cloudu věřit?

Jednoznačná odpověď zní ne! Vždy existuje riziko nedostupnosti, smazání dat či jejich zcizení. Vše lze samozřejmě vylepšovat a tak eliminovat zmíněná rizika, ta však nikdy nebudou nulová!

Bohužel, studie prokázaly, že ne všechny společnosti šifrují data odesílaná do externích úložišť. Případně používají šifrovací nástroje samotného cloudu, či šifrování jen vybraných dat.

Situace je prakticky stejná jako u šifrování dat na firemních noteboocích, DLP systém ochrání data před běžnými uživateli, aby nemohli citlivé informace vykopírovat. Pokud se ale někdo dostane k nešifrovanému disku, jednoduše si data vykopíruje bez nutnosti spouštět operační systém. Jak často je ztracen nebo zcizen notebook ve vaší organizaci?

Přesto v cloudu spatřují bezpečnostní odborníci i jednu nespornou výhodu, možnost zálohování klíčových dat pro případ poškození lokálních úložišť například požárem, povodní či pouhou havárií vodovodního potrubí. Taková data by měla být ale šifrovaná pomocí silného šifrovacího algoritmu a sloužit opravdu jen k řešení disaster recovery. I v tomto případě se vyplatí obezřetnost, nikdo nezaručuje, že stejná katastrofa nemůže potkat i provozovatele cloudu.

Disaster recovery je z pohledu DLP jednoduché. Zálohy musí mít stanovený formát, způsob zabezpečení a určený seznam zabezpečených úložišť. Pro zálohování do cloudu hovoří ještě jeden aspekt, a to jsou finance. Cloud vyjde levněji než budování zálohovacích systémů ve firemní síti, nemluvě o tom, že se dá disaster recovery získat jako služba.

Chytrý telefon hrozbou?

Technologický posun v oblasti chytrých telefonů, notebooků a tabletů přinesl správcům mnoho nových bezpečnostních problémů. Jedná se opět o snahu zajistit přístup k datům kdykoliv a odkudkoliv, což s sebou nese další nemalá rizika. Nejen že tato zařízení obsahují citlivé informace o uživateli, firemní data a kontakty, ale díky přístupu k firemním systémům je možné se přes ně dostat také k dalším podnikovým aplikacím.

Využívání soukromých chytrých zařízení ve firemní sféře (BYOD z anglického Bring Your Own Device) má v současné době vzrůstající trend nejen ve světě, ale už i v ČR. Díky nejednotnosti těchto zařízení, kupovaných samotnými uživateli, jsou často požadavky na připojení k firemním systémům buď zamítnuty, nebo je všemu naopak nechán naprosto volný průběh.

Problém je, že se nepoužívá jednotná bezpečnostní politika a uživatelé často ani nemají ponětí o existenci bezpečnostních nařízení, natož o tom, že je porušují. BOYD tak představuje pro IT oddělení výzvu.

Samotné DLP zatím na mobilní zařízení neexistuje a díky velkým nárokům ještě dlouho ani nebude. Takže klíčové je zabezpečení zařízení před neoprávněným přístupem (autorizace přístupu), dále šifrování celého zařízení, kontrola instalovaných aplikací a v neposlední řadě automatické mazání obsahu při ztrátě či zcizení zařízení. Nástrojů, jež tohle umožňují, je na trhu více. Vždy je ale důležité ověřit podporu pro jednotlivé mobilní platformy a také možnost integrace do firemní sítě. Firma tak musí investovat do mobility manageru, ale šetří na nákupech moderních komunikačních zařízení, jež si pořizují sami zaměstnanci.

Jak data chránit efektivně?

Nejdůležitější je neomezovat produktivitu zaměstnanců při zachování vysoké míry zabezpečení. Efektivní je tak nasazovat ucelené nástroje, které budou vše hlídat, ale přitom provádět minimum restriktivních akcí. Vše také záleží na typu incidentu, který zaměstnanec způsobil. Typickým příkladem je situace, kdy se zaměstnanec snaží odeslat jeden chráněný dokument nevhodným kanálem, což se jen sleduje. Naproti tomu snaha zaměstnance odeslat 50 chráněných dokumentů najednou, která je blokována. Na tento incident může být rovnou upozorněn zodpovědný pracovník.

Přístup zaměstnance k DLP

Často opomíjená otázka je vzdělávání zaměstnanců pracujících pod dohledem DLP systému. A to jak z provozních, tak legislativních důvodů. Vždyť DLP dokáže sledovat, notifikovat či blokovat takové činnosti, jako je kopírování, odesílání, vypalování, změny formátu i vytváření printscreenu dat. A to nejen těch pracovních. Pokud by byl takto restriktivní mód nastaven, musí mít zaměstnanci přesné instrukce, co a jak lze s chráněnými daty dělat, protože jinak se práce stává extrémně neefektivní, ne-li nemožnou.

Uživatel počítače má přirozeně snahu takové systémy obcházet. Ne ani tak ze snahy zcizit data, ale nelíbí se mu systém, jenž dokáže neustále monitorovat veškeré toky firemních i soukromých dat.

Pracovníci rozhodně nesmí mít možnost bezpečnostní produkty trvale ani dočasně vypínat. Což je komplikované u managementu a také u lidí s administrátorskými právy. Bohužel žádný z výrobců DLP systémů stále nenabízí jednoduchou kontrolu, zda DLP běží, či nikoliv. Přitom vše je jednoduché, pokud komunikuje uživatel po síti a přitom nejede DLP komponenta na jeho počítači, je něco špatně.

V případě, že by DLP v restriktivním módu bránilo v práci lidem, je vhodné vybrané skupiny pouze monitorovat. Tak je nebude DLP systém nikdy „otravovat“ při možnosti dohledat zpětně vše, co se s daty dělo.

O to více taková zásada platí při ochraně mobilních zařízení. Už samotné vyžadování bezpečného přihlašování pomocí hesla uživatele otravuje a zdržuje a snahou by mělo být vybalancovat poměr mezi efektivitou práce a dostatečnou úrovní zabezpečení.

Komplexní ochrana je nutností!

Na základě předcházejícího lze jen doporučit řešit firemní bezpečnost jako ucelený problém. Nelze přitom ignorovat některé aspekty, protože potom je celé řešení pouze drahým nástrojem s omezeným přínosem.

Klíčové kroky jsou:

• Vypracovaná bezpečnostní koncepce,
• ochrana firemní e-mailové a webové komunikace,
• ochrana koncových stanic před bezpečnostními hrozbami (AV, FW),
• DLP na koncových stanicích a síťových prvcích,
• zabezpečení mobilních zařízení pomocí některého produktu mobility manager,
• dohledový systém nad chodem počítačů v síti, logování administrátorských činností,
• korelace získaných údajů ve snaze odhalit snahu o zcizení dat, proniknutí do systému.

Monitoring, nebo restrikce?

Klíčové je z pohledu výběru řešení to, zda vyžaduje zákazník monitoring událostí, nebo restriktivní zásahy systému, ve snaze zamezit únikům dat. První situace je výhodná v tom, že nikdy neomezuje práci lidí. Ti jsou si jen vědomi sledování a možných dopadů při porušení pracovního řádu. Druhý přístup je z pohledu bezpečnosti lepší, protože přímo eliminuje možná rizika. Problém je v odladění systému, aby docházelo k minimu falešných detekcí a dále k vyřešení dočasných výjimek, kdy uživatel potřebuje v rámci pracovní činnosti skutečně odeslat citlivé materiály. A právě zde se s rozvojem cloudových služeb otevírají nové hrozby. Typická otázka: „Kdo hlídá administrátora?“ Často jím navíc je externí zaměstnanec s administrátorskými oprávněními. Prakticky tak mluvíme o klíčové osobě z pohledu možného úniku dat.

Cena řešení?

Přestože se jedná o ochranu firemních informací a dat, jsou finance často omezujícím faktorem při budování bezpečnostních systémů. V poslední době se přesto situace posouvá k lepšímu tím, jak jednotliví výrobci bezpečnostních programů nabízejí ucelené balíky za výhodné ceny.

Přesnou kalkulaci nákladů lze udělat až na základě analýzy stavu sítě, umístění a struktury dat, požadavků na zabezpečení, existence či neexistence bezpečnostní koncepce a v neposlední řadě rozsahu a topologie sítě. Nákup samotného produktu je jen prvním krokem, protože teprve kvalitní integrací bude zajištěna bezpečnost.

Outsourcing DLP?

Ano, i takové požadavky zaznívají. Je to přitom jeden z klíčových bezpečnostních systémů, který obsahuje nejdůležitější data o firmě a měl by být rozhodně spravován lokálně! Nebo snad někdo považuje odsunutí správy nad DLP, třeba na indické pracovníky, za nejlepší variantu?

Přínosy outsourcingu jsou, bez velkého narušení bezpečnosti, spíše v oblasti zjišťování narušení (IDS) a vyhledávání zranitelností, kde je možné ušetřit za pracovníky. Přitom například při sledování zranitelností operačních systémů od Microsoftu má větší tým indických pracovníků zjevnou výhodu.

Závěrečné doporučení

Vývoj technologií je velmi rychlý, pokud nechce firma experimentovat s nasazením bezpečnostních produktů přímo ve své síti, je lepší využít zkušené poradenské a implementační partnery. Ti dokáží výrazně urychlit procesy spojené se zabezpečením a tím minimalizovat rizika úniků dat a s tím související poškození dobrého jména společnosti i případné finanční postihy.

Petr Javora
Autor působí jako senior IT Security Consultant ve společnosti AEC, spol. s r.o., člena Cleverlance Group.