4.3.2016 0 Comments

IT Pro: Dokážete sa ubrániť strate dát?

Cena hardvéru postupne klesá a pre firmy sa stal konzumným materiálom – od pevných diskov až po celé pracovné stanice. Strata firemného hardvéru však nie je len stratou niekoľkých kremíkových obvodov. Ide hlavne o uložené informácie, a to nielen stratu ich dostupnosti, ale aj ich dôvernosti, keďže dochádza k sprístupneniu citlivého materiálu nálezcovi.

Zoberme si napríklad situáciu zo Žiliny, kde sa lekárske záznamy s osobnými údajmi našli voľne pohodené na ulici. Tieto záznamy sa chybne považovali za staré a určené do bežného odpadu bez skartácie. Analogicky to platí aj pre staré pevné disky, ktoré sa bežne vyhadzujú bez riadneho odstránenia citlivých dát. Simson Garfinkel a Abhi Shelat z MIT vypracovali štúdiu, v ktorej skúmali 158 použitých a vyhodených pevných diskov. Dokázali z nich získať vyše 5000 čísel kreditných kariet spoločne s inými citlivými údajmi.

Citlivé dáta sú pre každú firmu niečo iné. Môže ísť o zoznamy zákazníkov, výplatné pásky, osobné údaje, výpisy z účtov, technické nákresy, návrhové vzory, zdrojové kódy a mnoho ďalších. Vyskytujú sa v mnohých formách – od jednoduchých textov s objemom niekoľkých kB až po rozsiahle projektové dokumentácie s veľkosťou niekoľkých desiatok GB.

Podľa Ponemon Institute, ktorý vykonáva nezávislé štúdie v oblasti IT bezpečnosti, až 66 % porušení bezpečnosti dát je spôsobených internými zamestnancami. Najrizikovejšia skupina pre únik citlivých dát z firiem je stredný manažment. Môžeme spomenúť napríklad medializovaný prípad z roku 2014, keď z e-mailového účtu manažérky Českej sporiteľne unikli informácie o odmeňovaní manažmentu a osobná komunikácia. Pravidelne sa stretávame aj so zmenou zamestnávateľa u obchodných zástupcov, ktorí si berú so sebou databázu zákazníkov a kontaktov. Z praxe poznáme i prípad, keď k nemenovanému distribútorovi áut prišiel zamestnanec konkurenčnej spoločnosti a snažil sa speňažiť cenník konkurencie.

Jeden zo spôsobov ochrany a predchádzania strate citlivých informácií je použitie riešení DLP, teda Data Loss Prevention. Hlavná funkcia týchto systémov je zabezpečiť, aby nedošlo k úmyselnému ani nechcenému opusteniu dát mimo firmy. Vykonávajú aj dôležitú záznamovú činnosť, ktorá sleduje pohyb citlivých dát vo firemnom prostredí a najmä pri prechode dát perifériami. Svojimi pomocnými funkciami pomáhajú riešiť aj situácie, keď si používatelia vymieňajú informácie v prostredí nezabezpečenom pomocou šifrovania dát a zabezpečenia komunikačných kanálov.

Riešenia DLP sú postavené na viacerých technologických princípoch. Za kolísku riešení DLP by sa dala označiť Amerika, kde v roku 1996 vstúpil do platnosti zákon HIPAA, ktorý hovorí o povinnosti chrániť citlivé informácie pacientov spracúvané v medicínskych zariadeniach. HIPAA dala možnosť vzniknúť prvým produktom DLP, ktoré označujeme ako obsahové. Tie hodnotili dáta na základe presných a špecifických znakov vyskytujúcich sa v dokumentoch, ako sú napríklad rodné čísla, čísla kreditných kariet, licenčné čísla a všeobecne dáta pevne určeného tvaru.

Postupne však firmy začali zisťovať, že to nie je jediná cesta, ako dáta ochrániť. Pre úmyselného útočníka totiž nie je problém nahradiť napríklad nejaký znak iným a obísť tak nastavenú politiku. Zoberme si rodné číslo, ktoré rozpoznávame ako 10 čísel, oddelených lomkou. Pokiaľ nahradíme všetky 0 za o alebo lomku odstránime, veľmi jednoducho sa vyhneme nastavenej politike. Z toho dôvodu sa do DLP začal pridávať kontext používateľa, ktorý pracuje s dátami. Pri použití kontextového systému rozpozná DLP to, že ide napríklad o export z CRM, obsahujúci kontakty na zákazníkov. Ten nesmie opustiť firmu bez ohľadu na to, či niekto manipuloval s jeho obsahom alebo nie. Spomeňme príklad z praxe, keď sa dostali informácie o platoch v spoločnosti hromadným e-mailom všetkým zamestnancom. Keby vo firme využívali systém DLP, pri snahe odoslať e-mail s citlivými informáciami do celej firmy by bol pokus zablokovaný.

Pre modernú firmu a moderného zamestnanca je aktuálny trend BYOD (bring your own device). Zamestnanci začínajú čoraz viac používať vlastné zariadenia na prácu a „home Office“ sú stále bežnejšia prax. Pred firmami teda stojí nová výzva: Ako zabezpečiť dáta v takomto voľnom prostredí? Stretávame sa s novými problémami, ako sú krádeže mobilných zariadení, straty notebookov na cestách, používanie vzdialených pripojení na terminálové servery, posielanie súborov cez IM, zdieľanie súborov cez cloudové služby a podobne.

Mobily, tablety a iné prenosné zariadenia vždy možno oddeliť od vnútorného prostredia firmy. Tým však obmedzíme aj používateľov a tí si začnú hľadať cesty, ako obmedzenia obchádzať. Komfort jednotnej vzdialenej správy a bezpečnosti ponúkajú produkty Mobile Device Management (MDM). Na firemnej infraštruktúre umožňujú podporu bezpečnostných smerníc a nastavenie jasných pravidiel na manipuláciu s mobilnými platformami.

Pri vzdialenom pripájaní sa do firemného prostredia je situácia odlišná. Zamestnanci využívajú svoj hardvér ako terminál, ktorý slúži na pripájanie na server. Tam pracujú vo vlastnom prostredí a citlivé dáta typicky neopúšťajú uzavretý perimeter servera. V každom prípade aj tu existujú cesty, ako by mohlo dôjsť k úniku - webové služby na zdieľanie dát, prenosné (portable) aplikácie, ktoré si na server skopírujú. Implementácia DLP umožňuje zamedziť takéto správanie a podrobne logovať všetky pokusy o vynesenie dát – či už úspešné, alebo neúspešné.

Zavedenie systému DLP, samozrejme, nevyrieši celú bezpečnosť. Je však ďalšou časťou mozaiky zabezpečenia firmy. Klasifikácia dát, zavedenie interných smerníc a pravidiel a vynútenie dodržiavania týchto pravidiel v praxi vedú k vybudovaniu bezpečnosti toho, čo je pre firmu najdôležitejšie – jej know-how.

 

Meno: Maroš Benka

Pozícia: Technical Consultant

Firma: Safetica Technologies, s. r. o.

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá