Image
9.9.2016 0 Comments

Ako ochrániť vytlačené dokumenty

Keď sa povie bezpečná tlač, väčšina z nás si predstaví to, že niekto uvidí alebo ukradne dôležité dokumenty predtým, ako si ich stihneme vyzdvihnúť u tlačiarne. Podobne ako u akéhokoľvek iného typu cesty úniku dát, aj tlač dokumentov je možné s využitím rôznych technológií obmedzovať a riadiť. Ako ale zabezpečiť dôležité informácie pri ich vytlačení tak, aby sa nedostali do nepovolaných rúk?

Pozrime na to, ako to vyzerá v praxi. Pri služobnej ceste v zahraničí mal zamestnanec jednej brnenskej firmy na počítači namapované bežné vnútrofiremné (“domáce”) tlačiarne, ale aj niekoľko kusov tlačiarní dodávateľskej firmy, pre ktorú dočasne pracoval. Hneď prvý deň mimo kanceláriu od neho prišla kolegovi v Českej republike správa: “Rýchlo utekaj k tlačiarni, vyzdvihni to, čo sa tam vytlačilo, nepozeraj na to a hneď to skartuj.”. Stalo sa to, že zamestnanec dal omylom tlačiť databázu osobných údajov o zákazníkoch, avšak na tlačiareň v sídle firmy, ku ktorej v tom momente nemal fyzický prístup.

Podobné incidenty sa dejú denne v každej firme. Reálnym problémom je to, že sa k dôležitému dokuemntu takto môže dostať ľubovoľný človek zo spoločnosti. A asi nie je nutné zdôrazňovať, že náhodný príjemca nemusí mať zlý úmysel zneužiť nájdené dáta, aby podobné zverejnenie napríklad dôležitých zmlúv, či dokonca platov a odmien managementu nespôsobilo interný rozruch vo firme. Potenciálny útočník si samozrejme môže takto dokumenty z tlačiarne jednoducho vziať. Keď autor tlače nenájde dôležitý dokument na tlačiarni, skôr má tendenciu prisúdiť to hardwarovému problému ako bezpečnostnému incidentu.

Aby k podobným situáciám nedochádzalo, je dôležité riadiť tlač dôležitých dokumentov. Jednou z možností je použiť Data Loss Prevention (DLP) riešenie, ktoré dokáže selektívne určiť, ktoré dáta môžu byť vytlačené a na akej tlačiarni. Tento systém neautorizovanú tlač priamo zakáže, alebo upozorní užívateľa, že koná v rozpore so zavedenými pravidlami. V prípadne nadmernej tlače dôležitých dokumentov je potom schopný poslať varovanie bezpečnostnému manažérovi. Pomôcť ale môžu taktiež ďalšie riešenia na riadenie efektivity tlače. Tie umožňujú tlačiť napríklad až po explicitnej autentizácii užívateľa na tlačiarni použitím čipovej karty, alebo inej formy prihlásenia.

Pri auditoch v menších, rastúcich firmách nachádzame v tlačiarňach a na stoloch najčastejšie životopisy uchádzačov, niekedy tiež s poznámkami a posudkami manažérov. Vo väčších firmách to bývajú rôzne faktúry, zmluvy a niekedy informácie o zákazníkoch. V jednej firme som mal napríklad možnosť ako inkognito auditor nahliadnuť v nepozorovanej chvíli do dokumentu, odloženého na tlačiarni na chodbe. 20 sekúnd stačilo, aby som mal informáciu o nehnuteľnosti, ktorú firma plánuje kúpiť, aké ceny už vyjednala, kontakty na všetky zainteresované osoby, obchodný potenciál lokality a výsledky internej SWOT analýzy tejto transakcie. Keby som po niečom podobnom šiel cielene, stačil by mi pripravený fotoaparát a 2-3 sekundy času. V ďalšej organizácií zo sektoru zdravotníctva som napríklad našiel pri čakaní na schôdzku vo fyzicky neoddelených priestoroch pre návštevy dokument s osobnými údajmi niekoľkých pacientov a ich anamnézami.

Zabudnuté citlivé dokumenty sú primárne problémom fyzickej bezpečnosti. Ako prevenciu pred tým, aby sa vám nepovaľovali vytlačené dôverné dáta v priestoroch firmy je dôležité mať vhodne vymedzené interné priestory a tiež zavedené pravidlo prázdneho stolu. Je podstatné školiť na tieto pravidlá zamestnancov a pravidelne ich dodržovanie overovať. Pokiaľ je zavedená klasifikácia informácií, je dobré označiť citlivé dáta vo fyzickej podobe viditeľnou značkou “dôverné”, “interné”, “tajné” a podobne. V tom prípade je aj pre užívateľov jasnejšie, ktoré dáta by mali primárne chrániť pred zneužitím.

Najväčším problémom u vytlačených informácií je to, že incidenty s nimi sa dejú často a tak je veľmi pravdepodobné, že skôr či neskôr zanechajú na organizácií významné následky. Podobne ako u celej informačnej bezpečnosti, aj u ochrany dát vo fyzickej podobe platí, že zabezpečiť by sa mali kombináciou organizačných, fyzických a technických opatrení.

  • Ako vhodný prvý krok je možné doporučiť audit bezpečnosti tlače, ktorý odhalí bezpečnostné problémy - napríklad citlivé dáta, ktoré sa tlačia úplne zbytočne, alebo problémy vo fyzickej bezpečnosti.
  • Ďalšia logická cesta ako dokumenty ochrániť je aplikovať bezpečnostné opatrenia - napríklad zaviesť pravidlá, pravidelne školiť zamestnancov, implementovať riešenie pre efektivitu tlače alebo DLP systém.
  • Ako u ostatných oblastí práce s citlivými informáciami, aj tlač dokumentov by mala byť pravidelne auditovaná a na základe výsledkov by mali byť prijaté potrebné opatrenia.
  • Je dobré pamätať na to, že vo finále je najdôležitejším článkom samotný zamestnanec, ktorý pracuje s dátami, ktoré má k dispozícii. Je preto dobré pracovať na ich vzdelávaní, motivácií a loajalite k firme, aby nedošlo k incidentu, z ktorého sa firma nemusí zotaviť.

Mgr. Matej Zachar
Project & Security Manager
Safetica Technologies s.r.o.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá