Léty zažitá praxe oddělení relativně bezpečné zóny lokální sítě od zóny vnímané jako nebezpečné, tedy vnějšího světa internetu, bere velmi rychle za své. Dnes tedy rozhodně nestačí pořídit kvalitní firewall a věřit, že máme vše zabezpečeno. Díky stále více rostoucí oblibě cloudu v různých podobách, využívání mobilních zařízení nebo práci z domova či na cestách musíme definovat nové principy a zásady ochrany naší IT infrastruktury.

V první řadě si musíme určit, kde všude se nacházejí naše citlivá data. Tedy nejen, kde jsou uložena na diskových polích nebo v cloudovém úložišti, ale hlavně kde s nimi pracují uživatelé, jakými cestami se k uživatelům dostávají a kde mohou zůstat nechráněna. Většinou velmi rychle zjistíme, že zabezpečit všechny přenosové trasy a dočasná úložiště je nadlidský výkon. Proto bychom měli uvažovat o ochraně dat samotných, nejlépe kvalitním šifrováním. Ať již šifrováním celých disků například pro případ ztráty nebo krádeže notebooku nebo šifrováním jednotlivých souborů pro případ úmyslného či neúmyslného úniku dat. Ideálně obě metody kombinovat pro dosažení maximální ochrany a šifrovat data i během přenosů například e-mailem či cestou do cloudových úložišť. Mnoho uživatelů i administrátorů na šifrování pohlíží s nedůvěrou, neboť mají obavu, aby jim nebyl znemožněn přístup k těmto datům lidskou či jinou chybou. Asi není pro manažera horší představa, než že se nachází na služební cestě a před důležitou schůzkou zjistí, že pro obnovu hesla k zašifrovanému disku musí notebook fyzicky dostat ke svému adminovi. Proto je důležité vybírat kvalitní řešení, tedy taková, která mají i nástroje pro řešení mimořádných událostí, ale i taková, která jsou pro běžného uživatele naprosto transparentní a nepřidávají mu žádnou práci navíc. Většinou je uživatel tím nejslabším článkem řetězu a my musíme minimalizovat rizika jeho chybného rozhodnutí.

Pokud se rozhodneme pro šifrování jednotlivých souborů, mějme na paměti, že je nutno definovat, za jakých podmínek může dojít k dešifrování daného souboru do otevřené čitelné formy. Většinou to bude definice, zda daný uživatel je oprávněn takový soubor otevřít, dále zda proces, který se snaží soubor otevřít, je důvěryhodný. U dobrých řešení též můžeme definovat, zda se zařízení, na kterém se chystám soubor otevřít, nachází v dobrém stavu z pohledu bezpečnosti. Synchronizovaná bezpečnost je novou revoluční myšlenkou, jež je nám některými výrobci nabízena. Stejně jak je jednoduchá, tak je revoluční – představme si situaci, kdy dojde ke kompromitaci našeho počítače. V tu chvíli může nástroj endpointové ochrany uvědomit ostatní prvky zabezpečení o změně svého bezpečnostního statusu a tyto další prvky mohou provést automatizované kroky k zajištění vyšší bezpečnosti. V našem případě například odebrání šifrovacích klíčů na kompromitovaných zařízeních. I pokud by se útočník dostal k našim datům, budou v zašifrované formě, a únik informací tedy nehrozí.

Další samostatnou kapitolou v otázce zabezpečení dat našich uživatelů jsou mobilní zařízení. Tento fenomén je dá se říci všudypřítomný a málokterý uživatel se dnes smíří s tím, že firemní data nebude mít na svém mobilním zařízení dostupná. Tlak doby je takový, že uživatelé chtějí ke svým datům přistupovat kdykoliv a odkudkoliv. Naším úkolem zůstává data zabezpečit i v takovýchto situacích. Musíme si definovat podmínky, za jakých jsme ochotni citlivá data na mobilní zařízení synchronizovat. Máme-li takovou definici, pak musíme použít technické nástroje, jak tyto podmínky vynutit. Málokdy se můžeme spolehnout pouze na vydání nařízení, například že mobilní telefon, kam je synchronizována firemní e-mailová komunikace, musí být chráněn kódem PIN. Nařízení, které nejsme schopni efektivně kontrolovat a případně vynutit, postrádají svůj smysl. Vybírejme proto taková řešení pro správu mobilních zařízení, která umožní nejen definovat podmínky, kdy považujeme taková zařízení za bezpečná, ale také umožní definovat, co nastane po porušení těchto podmínek. Tím může být automatická reakce sahající od odebrání citlivých dat (např. e-maily) až po smazání celého zařízení.

V posledních letech se jako lavina šíří používání vlastních mobilních zařízení zaměstnanci, ono populární BYOD. Zdánlivě je tato situace výhodná pro obě strany, tedy jak pro zaměstnance, který může používat zařízení, na které je zvyklý, tak pro zaměstnavatele, který ví, že k vlastnímu mobilu se bude zaměstnanec chovat lépe než k firemnímu. Z našeho pohledu, tedy pohledu toho, kdo musí tato zařízení zabezpečit, se jedná o další poměrně závažnou komplikaci. Nejen že se nám tím může znásobit variabilita použitých mobilních zařízení, ale hlavně se k takovému zařízení musíme chovat zcela jiným způsobem. Musíme si být vědomi, že na takovém zařízení se může a bude nacházet mix firemních a soukromých dat i aplikací. Budeme tedy nuceni najít nástroje, jak tyto dvě skupiny dat oddělit a firemní data zabezpečit. Ideálním prostředkem se v takové situaci jeví použití šifrovaných kontejnerů pro firemní data, jako jsou e-maily, kontakty nebo dokumenty. Tím jsme schopni docílit toho, že firemní data budou bezpečná jak před jinými aplikacemi (jde přece o zařízení zaměstnance a on si může nainstalovat i neprověřenou aplikaci), tak před uživateli, kterým můžeme vynutit další ověření nebo omezení v případě přístupu k firemním datům. Například chránit tento přístup ještě dodatečným heslem, nebo limitovat jej na určité časové úseky. Pokud navíc námi vybrané řešení spolupracuje s nástroji na šifrování souborů, které jsme zmiňovali výše, pak se jedná, dá se říci, o ideální stav.

Značnou komplikací je v případě BYOD zařízení možná přítomnost soukromých dat. Tím nám zcela odpadá možnost celé zařízení vymazat bez souhlasu zaměstnance, oprávněně by se mohl domáhat náhrady škody za ztrátu těchto soukromých dat. Potřebná situace může nastat nejen při ztrátě a odcizení zařízení, ale též například při ukončení pracovního poměru zaměstnance. Tím, že se jedná o jeho zařízení, IT administrátor jej již nemusí vidět či mít v ruce. Zde opět mohou přijít ke slovu šifrované kontejnery, kde pouhým zneplatněním použitých certifikátů znemožníme přístup k citlivým datům uvnitř těchto kontejnerů.

Tyto příklady mimo jiné ukazují na komplexnost problematiky zabezpečení v dnešní době cloudů, mobilních zařízení a uživatelů. Pochopitelně bychom nalezli celou řadu dalších problémů, které musíme řešit, chceme-li mít zabezpečení kvalitní. Hlavně je nutné změnit tradiční přístup našeho uvažování, dobře si popsat hrozící rizika a definovat, co a kde přesně chceme chránit. Dalším krokem je pak výběr nástrojů, které pro náš účel použijeme. Naštěstí jsou na trhu řešení, která nám takovýto komplexní přístup umožní a podpoří. Je dobré se zamyslet, zda zvolit kombinaci řešení od různých výrobců pro různé oblasti zabezpečení, nebo více či méně komplexní řešení od výrobce jediného. Druhý přístup nám může usnadnit nasazení a správu jednotnou administrací, a navíc může přinést benefity ve formě synchronizace jednotlivých prvků systému.

Michal Hebeda Autor článku je Sales Engineer ve společnosti SOPHOS. Michal je zkušený IT profesionál s více než 15letou zkušeností z oblasti IT bezpečnosti.