Ochrana citlivých dat není jen o DLP V současné době je většina firemních informací digitalizována, což přináší riziko jejich jednoduchého zneužití, či ztráty. Takovéto riziko hrozí jak od vlastních zaměstnanců, konkurence, či útočníků obecně. Data jsou totiž cenná a dají se zneužít, případně přímo zpeněžit. V některých případech mají přímo obrovskou hodnotu! Nechtěli byste například znát finanční poměry, nebo zdravotní stav vlivného politika? Vím, že by se mezi vámi dost zájemců našlo. Otázkou je, zdali jsou tato data proti takovému to zneužití adekvátně zabezpečená.

Je ochrana citlivých dat nutností?

Záleží v jakém oboru a na jaké pozici se pohybujete. V jednotlivých odvětvích totiž existují různé požadavky, předpisy a také legislativní nařízení. Například v bankovním sektoru spadajícím pod regulátora ČNB se DLP, nebo adekvátní technologie ochrany dat, řešit musí. V současné době tak ve většině bank DLP plánují, realizují, případně rozvíjejí. V ostatních odvětvích je nasazení pouze doporučované. Aktuální změna ale nastala díky kybernetickému zákonu pro vybrané společnosti/organizace, které například spravují osobní údaje o více než 300 tisících osobách, či zajišťují kritickou síťovou infrastrukturu. Celá oblast je ale zatím nejasně definovaná. Pro dotčené lze tak doporučit konzultaci s obeznámeným dodavatelem.

Samostatnou kategorii tvoří výrobní společnosti, které mají negativní zkušenosti v únikem výrobní dokumentace a obchodních tajemství. Kompetentní pracovníci jsou tak nuceni chránit aktiva společnosti a zabývají se aktivně bezpečností.

Zodpovědnost za ochranu dat

Uvedená tabulka shrnuje informace, které většina angažovaných lidí zná dávno. Co je ale obvykle nejasné, je to, kdo má nasazení DLP a podobných technologií řešit v rámci společnosti prakticky. IT oddělení je pouze realizátorem opatření, vše by mělo řešit a zastřešovat bezpečnostní oddělení. Neméně důležitá je také podpora vedení společnosti, ať se to týká nákladů na pořízení, změny bezpečnostních směrnic, propagace v rámci jednotlivých oddělení, navýšení počtu pracovníků, kteří se budou starat o vyhodnocení hrozeb. Pokud je celý úkol přehozen pouze na IT, nedopadne to příliš dobře. Z praxe víme, že dojde k nasazení pouze základních modulů, které se snadno implementují a přinášení okamžité a “hmatatelné“ výsledky (obvykle jsou to moduly Device Control, Network Sensor). Takto realizovaný projekt sice přináší dílčí výsledky, ale nejedná se o skutečnou ochranu dat!

Přesvědčit bezpečnostní oddělení o nutnosti nemalé investice do ochrany dat nebývá snadné. Spíše se jedná o dlouhodobý projekt plánování a postupného zavádění. Často se náležité podpory DLP dostává až po velkém bezpečnostním incidentu! Potom je zřejmá slabina v zabezpečení a nutnost ji adekvátně řešit. Kolik úniků proběhlo, než se na nějaký vlastně podařilo přijít, je otázkou. Jeden celkově? Nebo spíše jeden týdně?!

Varianty DLP systému

Pokud již máte podporu v této oblasti a dostali jste se až do fáze výběru vhodného produktu, je na místě napsat základní rozdělení. Názvy se mezi jednotlivými výrobci liší, ale funkcionalita základních komponent nikoliv. DLP systémy rozdělujeme na:

Stanicovou variantu (Endpoint DLP) – ta je složitá na nasazení, díky nutnosti kompatibility s ostatními programy, množství výstupních portů a hlavně možností, jak na jednotlivé události reagovat.

Chráněné kanály na koncových stanicích:

• USB, CD/DVD a ostatní vstupně-výstupní porty
• Nahrávání na síť/Nahrávání na web/Posílání emailem
• Print Screen
• Copy – Paste
• Změna formátu
• Tisk (lokální/síťový)

Síťovou variantu (Network DLP) – v pasivním módu se vyznačuje snadnou integrací do sítě, napojením na SPAN port switche. Díky dedikovanému zařízení disponuje vysokou výkonností. Pro monitoring/případné restriktivní akce je ale nutná integrace na webovou proxy/emailový server. To může v praxi přinést řadu komplikací.

Chráněné kanály na síti:

• Webový provoz http, https, ftp, ftps (ICAP integrace na proxy server pro možnost kontroly šifrovaného provozu)
• Emailový provoz – POP3, SMTP, IMAP
• Instant Messaging (Skype, ICQ, Google Talk, atd.)

Nezřídka se tak stává, že v rámci DLP projektu je nutná obměna i této části infrastruktury. Překvapivě to může být i finančně výhodné z důvodu zakoupení kompletního balíku produktů za dampingovou cenu. Realizace projektu se ale může značně protáhnout.

Datová varianta (DLP discover) - slouží pro vyhledání citlivých dat v jednotlivých úložištích a databázích. Jedná se o specializovaný skenovací server, jež dokáže data nejen najít, ale případně i přesunout do zabezpečeného úložiště, zašifrovat, či přímo smazat.

DLP není jen o samotné instalaci produktu

Mnozí lidé se domnívají, že nasazení data loss prevention (zkráceně DLP) produktu od libovolného výrobce je obdoba nasazení antivirového programu. V reálu tomu tak ale není! O náročnosti se přesvědčilo již hodně zákazníků a celý projekt nezřídka končívá krachem, díky podcenění nejen přípravy, ale i samotné realizace.

Na základě těchto poznatků stále více výrobců zavádí professional services a podobné programy pro zajištění úspěšného zvládnutí projektu. Podobně vám může pomoci i schopný dodavatel. Před samotným nasazením, nebo jeho první částí, musí být analytická fáze, jež odpoví na klíčové otázky ohledně nasazení. Tyto otázky znějí:

• Jaká data jsou pro firmu citlivá?
• Kde se nacházejí?
• Jsou data klasifikována?
• Kdo a jak s nimi může nakládat?
• Existuje opora v interních směrnicích/pracovních smlouvách?
• Kdo a jakým způsobem bude události vyhodnocovat a následně řešit?

DLP bez klasifikace dat?

Prvním krokem k nasazení DLP by měla být klasifikace dat podle bezpečnostních směrnic. Pokud ve společnosti bezpečnostní směrnice neexistují, je vhodná příležitost je vytvořit při přípravě DLP projektu. Jako absolutní minimum by mělo existovat třídění (klasifikace) do tří úrovní: veřejné, interní, chráněné. Prakticky se ale ve společnostech vyskytuje více klasifikačních schémat, což může z pohledu DLP přinášet i komplikace v počtu politik. Vše se dá ale zjednodušit, pokud se pro několik klasifikací nastaví stejná pravidla nakládání s nimi.

Role implementátora při ochraně dat

Pokud jste se dostali do fáze výběru produktu a taktéž implementátora, dbejte rozhodně na kvalitu a reference. Podobně, jako ve všech odvětvích, se můžete setkat s dokonalými profesionály, schopnými pracovníky, ale i nepoužitelnými dodavateli. Jak se tomu vyvarovat? Jednoduše! Ptejte se potencionálních dodavatelů předem na následující:

• Řešíte pouze samotnou implementaci produktu, nebo i pomoc s klasifikací dat, bezpečnostními směrnicemi a bezpečností obecně?
• Poradíte nám s výběrem produktu?
• Jaké máte reference?
• Pomůžete nás s návrhem, nastavením a odladěním bezpečnostních politik?
• Provádíte také následnou podporu, rozvoj a pomoc s vyhodnocením hrozeb?

Pokud bude odpověď ano na většinu otázek, směřujete při výběru správným směrem.

Kroky k nasazení DLP

Pokud to myslíte s ochranou dat vážně, máte již určitě realizována některá opatření. Pro jistotu je ale shrneme do oblastí, jež jsou potřeba řešit:

• Zabezpečení stanic (uživatelské účty pro běžné pracovníky, nasazený antivirus, firewall, patch management, nastavená přístupová práva k datům, atd.)
• Existující klasifikace dat a bezpečnostní směrnice
• Device Control – pro možnost kontroly vstupně-výstupních portů PC. Nasazení představuje první stupeň zabezpečení dat. Obvykle se již řeší dělení pracovníků do skupin s různými oprávněními, a na to navázané postupy pro nakládání s daty.
• Host DLP - monitoring činnosti uživatelů s daty
• Web/Email security - základní monitoring frází na webovém provozu jako první stupeň ochrany dat. V případě realizace celého DLP se tato část řeší plnohodnotným produktem.
• Integrace DLP do webového/emailového provozu
• Sledování úložišť (data-at-rest)
• Konfigurace a optimalizace politik
• Podpora a rozvoj produktu 

Reakce systému

Doporučeným postupem je začít s pasivním monitoringem, po optimalizaci pravidel je možné přistoupit k notifikacím uživatelů a až v poslední fázi lze bezpečně přistoupit k aktivnímu blokování. Pokud se první dvě fáze vynechají, existuje značné riziko narušení činnosti uživatelů. Celý proces je tak kontinuální a trvá obvykle několik týdnů až měsíců podle velikosti společnosti a složitosti politik.

DLP - NAC - DE - MDM a co dále?

Kromě klasických bezpečnostních produktů, které představují antivirový program, desktop firewall, síťový firewall, email a web security, network access control, patch management atd., jež jsou v dnešní době považovány za standard, existuje skupina produktů zajišťujících bezpečnost dat a nakládání s nimi. Nestačí pouze ochrana citlivých dat pomocí popisovaného data loss prevention, když si může uživatel odnést disk s daty domů a následně si disk připojit k jinému počítači. Samozřejmě takový počítač nemá DLP agenta a lze si tak vytáhnout veškerá data. Takže pokud to myslíte s ochranou citlivých dat vážně, budete časem řešit i následující:

• Šifrování souborů i celého disku, flash případně externího disku pro přenos dat
• Správu mobilních zařízení, jež se připojují k firemním systémům a dostávají se tak k firemním datům
• Fyzické zabezpečení prostor a zvláště serverové infrastruktury
• Víceúrovňové přihlašování uživatelů

Co DLP nezvládne?

Jak je uvedeno v předchozím odstavci, DLP není samospásným produktem, sám má podstatná omezení, jako jsou:

• Analýza šifrovaných souborů není možná (je potřeba monitorovat jejich obsah při vytváření, případně je blokovat)
• Není možné ochránit data, které lze jednoduše vyfotit, opsat, nebo si je zapamatovat (překvapivě to mohou být ty nejcitlivější údaje, týkající se například zdravotního stavu konkrétní osoby)

Ucelené portfolio od jednoho výrobce?

Velkou výhodou je, pokud společnost využívá bezpečnostní produkty od jednoho, nebo několika málo výrobců. Díky možnosti využít jednotné centrální správy/distribučního kanálu/dodavatele/helpdesku atd. se snižují náklady na pořízení, správu a údržbu. Bohužel ne všichni výrobci nabízejí ucelené portfolio všech produktů. Jak se s tím vypořádat? Jednoduše to nepůjde. Protože integrace produktů konkurenčních výrobců, do jedné homogenní infrastruktury, nebývá snadná. Základem je plánovat a testovat předem! Oblíbenou a hlavně úspěšnou metodou jsou pilotní nasazení (proof-of-concept), kdy se stávající bezpečnostní produkty doplní o nový pouze na zkoušku a ověřují se oblasti jako je funkčnost, kompatibilita, snadnost nasazení a správy, přívětivost pro obsluhu a napojení na návazné systémy. Pomohou i informace o úspěšně realizovaných projektech. Pozor ale na falešnou důvěru. Co dříve, se starší verzí, v jiném prostředí fungovalo dobře, může být nyní jinak.

Shrnutí

Mé doporučení na závěr je prosté, kupte si hardwarově šifrovaný flash disk, tím uděláte pro bezpečnost svých i firemních dat to nejlepší. Případná ztráta či zcizení, Vás nebude tolik trápit. Sofistikovanější zabezpečení vyžadují relativně náročná a drahá opatření, která mohou být při špatné aplikaci dokonce kontraproduktivní.

Ing. Petr Javora Autor článku působí ve společnosti AEC jako Security Consultant.