Krádeže, ale i neúmyslné úniky dat se postupně stávají neoddělitelnou součástí dnešního digitálního světa. Svým dopadem už navíc dávno překonaly rizika virové nákazy či hackerských útoků. Na bezpečnosti dat stojí a padá takřka vše. Únik jediného datového nosiče dnes může ohrozit nejen jednotlivé společnosti, ale i celý národ. Jedná se o celosvětový problém, kterému se nevyhnula ani Česká republika. Za všechny jmenujme například Komerční banku, Ministerstvo školství, mládeže a tělovýchovy nebo společnost Penta, které potíže způsobené únikem dat poznaly „na vlastní kůži“.

Většinu z těchto úniků lze nejen zastavit, ale i předpovídat, to vše díky moderním nástrojům na ochranu před únikem dat. Pokud chcete zajistit úspěch vaší společnosti a její budoucí existenci i v dnešním digitálním světě, je na čase si uvědomit, že vaše data mají obrovskou hodnotu. Stejně velkou, dokonce možná i větší než peníze, které máte monitorované a hlídané v bankovním trezoru. Představte si vaše firemní data, ať už to jsou data zákazníků, vaše plány, výkresy či zdrojové kódy, jako drahokamy. Ty byste jistě nenechali bez dozoru v místnosti, od které má klíče půl firmy a není v ní kamera. Zaměstnanci by si totiž mohli tyto drahokamy nosit s sebou domů, ale nikdo by jejich přenášení nebo vracení nehlídal.

Banka má na ochranu cenností k dispozici trezor s tím nejkvalitnějším zámkem, ozbrojené hlídače, kamery a čtečky otisků prstů. Veškeré nakládání s cennostmi je monitorováno, pohyby zaznamenávány a osoby kontrolovány. Pokud se někdo pokusí trezor vykrást, okamžitě se spustí poplach a přijede policie. Banka používá organizační opatření, například systém kontroly přístupu, přidělování oprávnění a zodpovědností, pravidelné kontroly a audity bezpečnosti. Tato opatření podporují a doplňují technická opatření, jako kamerové systémy, přístupové terminály, čtečky otisků prstů, elektronické zámky nebo čipové karty.

Pokud bych měl přirovnat zabezpečení cenných informací v digitálním prostředí k něčemu z reálného světa, tak metody a opatření z prostředí bankovnictví se velmi blíží těm, které používáme ve světě informačních technologií k zajištění bezpečnosti. Sice se při zavedení systému řízení bezpečnosti informací nevyhnete organizačním opatřením, ale naštěstí ta opatření technická, která je podporují, nebudou tak drahá a ušetří personálnímu oddělení trochu práce, protože místo hlídačů s kvéry vám bude data hlídat onen DLP software.

Často se stává, že zákazník vnímá riziko úniku dat jako vážnou věc ohrožující úspěch organizace, avšak nemá ještě zkušenosti s bezpečností. Minimální nebo žádná organizační opatření a především absence systému řízení rizik je chybějící základní kámen pro jakékoliv další opodstatněné úsilí při snižování rizik, potažmo zvyšování bezpečnosti. Jak byste se asi cítili, pokud by vaše banka zajišťovala bezpečnost nesystémově, například nákupy biometrických čteček, aniž by je někdo uměl obsluhovat, neexistovala by k nim dokumentace, směrnice o používání, ani zodpovědné osoby? Navíc by tyto čtečky byly pořízeny na základě návštěvy šikovného obchodníka, ne na základě vyvažování příležitostí a rizik s nimi spojených.

Vážně zvažte, než budete kupovat nějaký ten DLP systém, zda jste na něco takového připraveni a zda se náhodou nechystáte přeskočit ty nejdůležitější kroky, které by měly předcházet jakémukoliv specifičtějšímu bezpečnostnímu projektu, pokud chcete zajistit jeho úspěch. Analýza rizik vám pomůže zjistit, jak by měla vypadat vaše bezpečnostní politika. Pomůže rozhodnout, co, kde, kdy a jak chránit a co vás to bude stát. Předpovídá se, že v roce 2020 bude mít 60 % firem výpadky právě kvůli neschopnosti řídit bezpečnostní rizika. Do roku 2017 bude mít zhruba třetina velkých firem takzvaného Digital Risk Officer, tedy osobu zodpovědnou za řízení rizik v prostředí digitálního businessu.

Stejně jako při budování banky si při zavádění ochrany dat a implementaci DLP systému musíme nejdříve říci, co vlastně potřebujeme chránit. Hlídat v bance drobnosti, jejichž hodnota by byla nižší než samotná cena jejich zabezpečení, se samozřejmě nevyplatí. Zeptejte se tedy nejdříve sami sebe, vašich společníků a zaměstnanců, jakou hodnotu podle nich mají vaše data. Nejlepší je v tomto případě cvičení „co kdyby?“. Například, co kdyby se vaše cenná data dostala do rukou konkurenta z okolí? Jak by pak ohodnotili vaši bilanci investoři? Jak by vydržela vaše reputace a dlouho budované vztahy, pokud zákazníci přijdou na to, že možná byla kompromitována i jejich data? Nebo nedejbože zjistí, že s těmi nejcennějšími daty nakládáte jako s kazetami z videopůjčovny, že si zaměstnanci mohou dělat jejich kopie, aniž by na to někdo přišel, a půjčují si je, aniž by kdokoliv zjistil, že chybí.

Stejně jako banka třídí cennosti a rozděluje je podle úrovně bezpečnostních opatření, je i před implementací DLP systému do vaší organizace třeba rozdělit data do kategorií. Pokud vaší organizaci skutečně hrozí riziko úniku dat, budou kategorie minimálně dvě. Jedna pro cenná data a jedna pro data, jejichž únik způsobuje nulové nebo minimální riziko. Čím méně kategorií, tím méně starostí a transparentnější nastavení. Setkat se dnes můžete také s klasifikací informací podle citlivosti (velmi tajné, tajné, veřejné apod.), podle dopadu na chod společnosti (BC/DR, v archivaci apod.) nebo s kategorizací do tzv. Big Buckets, tedy seskupení podobných typů dat (zákaznická data, intelektuální vlastnictví, akvizice). Držte se v případě rozdělení informací do kategorií pravidla „čím méně, tím lépe“. V praxi se totiž stává, že jakmile je mnoho úrovní či kategorií, mají obvykle manažeři pocit, že jejich data jsou citlivější, než za jaká byla označena. Žádají potom jejich zařazení do vyšší kategorie, do které se postupně dostane většina dat, a bezpečnostní opatření již nejsou efektivní a mohou narušovat plynulý chod organizace.

Jakmile víte co chránit, tedy jaká rizika vaší organizaci plynou ze ztráty různých typů dat, je pro úspěch projektu DLP vhodné jmenovat osoby zodpovědné za tato data. Dá se říci, že čím více zapojíte různá oddělení do projektu ochrany dat, tím lépe. Pokud zodpovědnost za celý projekt leží na IT, s velkou pravděpodobností bude software úspěšně nainstalován, ale nebude plnit svůj účel. V praxi se často setkáváme s tím, že společnost koupí propracovaný DLP software, avšak kvůli chybějící organizační podpoře a „hození“ projektu na IT oddělení nakonec z celého řešení využije pouze ty prvky, které mají velmi malou roli v minimalizování rizika úniku dat a investice se jí tak ve výsledku nevyplatí. Typicky se jedná o neschopnost klasifikovat data a vytvořit funkční DLP politiku. Společnosti pak sahají po tom nejjednodušším prvku z DLP, a to správě zařízení (zablokování USB portů apod.).

Vyšší úspěšnosti a nižších nákladů při zavedení systému řízení bezpečnosti informací dosáhnete také srozumitelným školením uživatelů. Ti vám pak mohou značně urychlit celý klasifikační proces, klíčovou fázi celého DLP projektu. V některých organizacích dokonce probíhají pravidelně tzv. reklasifikační týdny, kdy jsou zaměstnanci motivováni k přetřídění svých dat a aktualizování bezpečnostních značek. I když se může zdát riskantní zapojit tímto způsobem zaměstnance do snižování rizika úniku dat, je třeba si uvědomit, že úniky dat jsou v naprosté většině případů neúmyslné. Zaměstnanec si buď neuvědomuje hodnotu dat, nebo ho nenapadne, že se uložením na veřejný cloud jejich bezpečnost ohrozí. Narážíme zde na podobné problémy jako v hudebním průmyslu, kdy si zaměstnanci myslí, že společnosti vlastně ani nic nevezme, když data jen zkopíruje. Pro podporu edukace zaměstnanců můžete použít i funkce některých DLP řešení, které umožňují chránit data v režimu informativním. V takovém nastavení DLP systém nezabrání uživateli nakopírovat citlivý soubor na externí zařízení, ale informuje ho před potvrzením akce, že tím může ohrozit společnost. Nejen, že přímo v praxi učíte uživatele, jak bezpečně nakládat s daty, ale zároveň minimalizujete riziko, že při vašich prvních krůčcích v DLP projektu nastavíte špatnou kategorii a znemožníte uživatelům práci v jinak legitimní situaci.

Pokud jste se dostali do situace, kdy máte připravena organizační opatření, zpracovanou analýzu rizik, definováno, jaká data potřebujete chránit, kdo je za ně zodpovědný, zavedli jste klasifikační proces a proškolili zaměstnance, máte téměř vyhráno. Jak nastavit samotné DLP pro vaše konkrétní potřeby vám poradí dodavatel. Pokud jste postupovali zodpovědně a pečlivě se připravili, bude výběr vhodného DLP mnohem snazší a umožní vám rozumně vyvážit investici do pokrytí rizika úniku dat.

Pavel Krátký Autor je CTO společnosti Safetica Technologies.