DLP software řeší problematiku úniku dat kvůli pochybení lidského faktoru. Zajišťuje, aby k citlivým informacím měli přístup pouze legitimní uživatelé a aby tito uživatelé využívali svěřená data pouze požadovaným – společnosti prospěšným – způsobem.
Pokud zaměstnanec, ať už omylem, nebo úmyslně, zpřístupní citlivá data třetím osobám (například ztrátou přenosného disku, chybou při zpracování nebo prodejem konkurenci), dostává tím svoji společnost do velkého rizika, které pro ni může mít likvidační následky: ztráta důvěry zákazníků, jejich odklon ke konkurenci, pokuty od úřadů za porušení ochrany osobních údajů a další nepříjemnosti.
Společnost Ponemon Institute ve své studii potvrzuje, že v osmdesáti procentech incidentů spojených se ztrátou dat hrají podstatnou roli právě zaměstnanci postižené společnosti. Mnohé společnosti se však zaměřují pouze na zbylých dvacet procent a opevňují digitální hradby své společnosti stále novějšími a nákladnějšími antiviry a firewally. Tyto společnosti neberou v úvahu skutečné rozložení zdrojů bezpečnostních incidentů a zadělávají si tak na problémy.

Síťové řešení, nebo endpoint DLP?

Běžně rozlišujeme dva druhy DLP řešení. Síťová DLP pomáhá zákazníkovi chránit společnost na úrovni perimetru – dokáží zabránit pokusům o únik citlivých dat na úrovni vnější komunikace, tedy hlídají, která data opouštějí firmu. Host-based DLP (zvané často endpoint DLP) naproti tomu brání únikům dat z jednotlivých pracovních stanic společnosti.
Výhodou endpoint DLP systémů je například kontrola fyzických zařízení připojovaných k pracovním stanicím, řízení možností přístupu k připojeným tiskárnám a další funkce.

Chraňte data v klidu i za pochodu

DLP systémy zpravidla chrání data od počátku (jejich vytvoření) až do jejich případného smazání. Společnost si může být jistá, že data jsou chráněna jak v klidu, kdy leží uložena na disku, tak „v pohybu“, například při přenosu na flash disku. Zvláštní kapitolu tvoří ochrana dat při používání. Zde se předpokládá přístup pouze legitimních osob, a dohlíží se tedy na způsob, jakým s daty nakládají – kam kopírují, co otevírají a jak editují.

DLP není samo o sobě spásou

Samotné nasazení DLP je již na první pohled samozřejmě velkým plusem pro společnost. Avšak stejně jako „používat antivirus“ neznamená automaticky „být chráněn proti hrozbám zvenčí“, tak ani „nasadit DLP“ ještě neznamená „eliminovat vnitřní hrozby a selhání lidského faktoru“.
Zaměstnanec, který si důležitá data zapamatuje, opíše na papír nebo zaznamená fotoaparátem, může způsobit společnosti škodu, aniž by byl spatřen. Toto si neuvědomují některé ze společností, které DLP nasadily. DLP má, stejně jako každá technologie, své limity.
Pokud se nyní vrátíme k otázce v nadpisu článku, můžeme si na ni odpovědět: DLP je prevencí úniku dat, často však nikoliv prevencí výskytu případů, které by k úniku vést mohly. Na tento fakt je třeba myslet při výběru softwaru pro ochranu před interními hrozbami.

DLP je jako hasicí přístroj

Co se děje před tím, než dojde k úniku dat nebo pokusu o něj? Odpověď hledejme v hlavách zaměstnanců – v jejich náladách a úmyslech.
DLP samo o sobě funguje jako hasicí přístroj. Zasahuje, až když je požár na střeše. Chrání majetek a minimalizuje škody, které oheň napáchá. V našem přirovnání tedy většinou zabrání zaměstnanci ohrozit bezpečnost firemních dat. Co ale bylo skutečnou příčinou požáru – tedy pomyslnou sirkou – a proč zaměstnanec ohrozil společnost, to už DLP nezajímá. Při takovém jednání se ale může stát, že někde jinde, nestřežen, škrtne zaměstnanec zápalkou znovu.
Při prevenci možného úniku dat se vždy zajímejte o to, co je skutečnou příčinou incidentu. Může to být nespokojený zaměstnanec, nabídka lepší práce od konkurence, akutní potřeba peněz, případně nepozornost způsobená ztrátou motivace. Pokud se nepoučíte jednou, podruhé vás to může zaskočit nepřipravené.

Jak tedy na prevenci?

Prevence je proces, který by měl předcházet samotnému využití DLP. DLP je již poslední hradba před tím, než je společnost poškozena. Z hlediska organizačního má smysl, aby každý zaměstnanec měl přístup pouze k informacím, které potřebuje ke své práci. Administrativně je vhodné chránit se před selháním zaměstnanců dohodou o důvěrnosti (NDA – non-disclosure agreement) a směrnicemi definujícími povinnosti personálu v oblasti práce s citlivými daty.
Důležitou roli hraje osvěta. Je třeba zaměstnancům důrazně vysvětlit, že ochrana citlivých dat společnosti je také v jejich zájmu: pokud společnost přijde vlivem úniku dat o některé zakázky, může to znamenat snížení platů nebo propuštění části nepotřebných zaměstnanců. Samozřejmě je vhodné upřednostňovat stravitelnou formu plnou příkladů a živých ukázek rizikových situací než nudné mnohahodinové bloky plné zákazů, výstrah a hrozeb.

Pohlídejte si zaměstnance – víte, k čemu se chystají?

Ani veškeré snahy zaměstnavatele se však nemusí setkat s pochopením některých zaměstnanců. Je proto vhodné sledovat, co dělají a zda při tom nevzniká riziko pro citlivé firemní informace. Pro sledování a kontrolu aktivity zaměstnanců samozřejmě existuje specializovaný software. Jeho popis a rozbor by vydal na samostatný článek, je však vhodné zmínit se o něm i zde. Právě díky sledování zaměstnanců můžete odhalit příčiny bezpečnostních incidentů. Často o dost dříve, než k ohrožení dat vůbec dojde.

Quo vadis, DLP?

Ponecháme-li stranou zatím sporné vize cloud computingu, budoucnost a expanzi DLP lze očekávat ve dvou reálných směrech. Prvním z nich je otázka inteligence softwaru. Stejně jako rozsáhlá DLP řešení existují robustní firewally, které ale nikdo nepoužívá: jejich nasazení obnáší trávit týdny nastavováním složitých pravidel. A i potom vyžadují velké množství pozornosti v běžném chodu. Současný trend ukazuje, že řešení, které dokáže sejmout z uživatelů správců velkou míru méně podstatného rozhodování, je mezi zákazníky vítáno. Ušetří totiž čas všem zúčastněným – správcům, managementu i samotným zaměstnancům.
Druhým směrem je snaha chápat ochranu citlivých informací komplexněji. Tedy nejen zavádět stále nové funkce (například ochrana databází, mobilních zařízení – smartphonů apod.), ale také vnímat více souvislostí. Pro společnost je důležité nejenom vědět, kdo je za možný únik dat zodpovědný, ale také proč k němu došlo a co lze udělat pro to, aby k podobné situaci příště nedošlo.

Josef Halíček
Autor působí ve společnosti Cosect.