Image
9.9.2016 0 Comments

Ako ochrániť vytlačené dokumenty

Keď sa povie bezpečná tlač, väčšina z nás si predstaví to, že niekto uvidí alebo ukradne dôležité dokumenty predtým, ako si ich stihneme vyzdvihnúť u tlačiarne. Podobne ako u akéhokoľvek iného typu cesty úniku dát, aj tlač dokumentov je možné s využitím rôznych technológií obmedzovať a riadiť. Ako ale zabezpečiť dôležité informácie pri ich vytlačení tak, aby sa nedostali do nepovolaných rúk?

Pozrime na to, ako to vyzerá v praxi. Pri služobnej ceste v zahraničí mal zamestnanec jednej brnenskej firmy na počítači namapované bežné vnútrofiremné (“domáce”) tlačiarne, ale aj niekoľko kusov tlačiarní dodávateľskej firmy, pre ktorú dočasne pracoval. Hneď prvý deň mimo kanceláriu od neho prišla kolegovi v Českej republike správa: “Rýchlo utekaj k tlačiarni, vyzdvihni to, čo sa tam vytlačilo, nepozeraj na to a hneď to skartuj.”. Stalo sa to, že zamestnanec dal omylom tlačiť databázu osobných údajov o zákazníkoch, avšak na tlačiareň v sídle firmy, ku ktorej v tom momente nemal fyzický prístup.

Podobné incidenty sa dejú denne v každej firme. Reálnym problémom je to, že sa k dôležitému dokuemntu takto môže dostať ľubovoľný človek zo spoločnosti. A asi nie je nutné zdôrazňovať, že náhodný príjemca nemusí mať zlý úmysel zneužiť nájdené dáta, aby podobné zverejnenie napríklad dôležitých zmlúv, či dokonca platov a odmien managementu nespôsobilo interný rozruch vo firme. Potenciálny útočník si samozrejme môže takto dokumenty z tlačiarne jednoducho vziať. Keď autor tlače nenájde dôležitý dokument na tlačiarni, skôr má tendenciu prisúdiť to hardwarovému problému ako bezpečnostnému incidentu.

Aby k podobným situáciám nedochádzalo, je dôležité riadiť tlač dôležitých dokumentov. Jednou z možností je použiť Data Loss Prevention (DLP) riešenie, ktoré dokáže selektívne určiť, ktoré dáta môžu byť vytlačené a na akej tlačiarni. Tento systém neautorizovanú tlač priamo zakáže, alebo upozorní užívateľa, že koná v rozpore so zavedenými pravidlami. V prípadne nadmernej tlače dôležitých dokumentov je potom schopný poslať varovanie bezpečnostnému manažérovi. Pomôcť ale môžu taktiež ďalšie riešenia na riadenie efektivity tlače. Tie umožňujú tlačiť napríklad až po explicitnej autentizácii užívateľa na tlačiarni použitím čipovej karty, alebo inej formy prihlásenia.

Pri auditoch v menších, rastúcich firmách nachádzame v tlačiarňach a na stoloch najčastejšie životopisy uchádzačov, niekedy tiež s poznámkami a posudkami manažérov. Vo väčších firmách to bývajú rôzne faktúry, zmluvy a niekedy informácie o zákazníkoch. V jednej firme som mal napríklad možnosť ako inkognito auditor nahliadnuť v nepozorovanej chvíli do dokumentu, odloženého na tlačiarni na chodbe. 20 sekúnd stačilo, aby som mal informáciu o nehnuteľnosti, ktorú firma plánuje kúpiť, aké ceny už vyjednala, kontakty na všetky zainteresované osoby, obchodný potenciál lokality a výsledky internej SWOT analýzy tejto transakcie. Keby som po niečom podobnom šiel cielene, stačil by mi pripravený fotoaparát a 2-3 sekundy času. V ďalšej organizácií zo sektoru zdravotníctva som napríklad našiel pri čakaní na schôdzku vo fyzicky neoddelených priestoroch pre návštevy dokument s osobnými údajmi niekoľkých pacientov a ich anamnézami.

Zabudnuté citlivé dokumenty sú primárne problémom fyzickej bezpečnosti. Ako prevenciu pred tým, aby sa vám nepovaľovali vytlačené dôverné dáta v priestoroch firmy je dôležité mať vhodne vymedzené interné priestory a tiež zavedené pravidlo prázdneho stolu. Je podstatné školiť na tieto pravidlá zamestnancov a pravidelne ich dodržovanie overovať. Pokiaľ je zavedená klasifikácia informácií, je dobré označiť citlivé dáta vo fyzickej podobe viditeľnou značkou “dôverné”, “interné”, “tajné” a podobne. V tom prípade je aj pre užívateľov jasnejšie, ktoré dáta by mali primárne chrániť pred zneužitím.

Najväčším problémom u vytlačených informácií je to, že incidenty s nimi sa dejú často a tak je veľmi pravdepodobné, že skôr či neskôr zanechajú na organizácií významné následky. Podobne ako u celej informačnej bezpečnosti, aj u ochrany dát vo fyzickej podobe platí, že zabezpečiť by sa mali kombináciou organizačných, fyzických a technických opatrení.

  • Ako vhodný prvý krok je možné doporučiť audit bezpečnosti tlače, ktorý odhalí bezpečnostné problémy - napríklad citlivé dáta, ktoré sa tlačia úplne zbytočne, alebo problémy vo fyzickej bezpečnosti.
  • Ďalšia logická cesta ako dokumenty ochrániť je aplikovať bezpečnostné opatrenia - napríklad zaviesť pravidlá, pravidelne školiť zamestnancov, implementovať riešenie pre efektivitu tlače alebo DLP systém.
  • Ako u ostatných oblastí práce s citlivými informáciami, aj tlač dokumentov by mala byť pravidelne auditovaná a na základe výsledkov by mali byť prijaté potrebné opatrenia.
  • Je dobré pamätať na to, že vo finále je najdôležitejším článkom samotný zamestnanec, ktorý pracuje s dátami, ktoré má k dispozícii. Je preto dobré pracovať na ich vzdelávaní, motivácií a loajalite k firme, aby nedošlo k incidentu, z ktorého sa firma nemusí zotaviť.

Mgr. Matej Zachar
Project & Security Manager
Safetica Technologies s.r.o.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

ITPro

Programujeme pre Android 26 / Session Initiation protocol API

11.12.2016 00:00

Nie je žiadnym prekvapením, že Android API (od verzie 9) obsahuje podporu SIP protokolu a to vo forme automatizovaných služieb, pomocou ktorých manažuje prichádzajúce a odchádzajúce hovory. SIP spojen ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá