4.3.2016 0 Comments

IT Pro: Dokážete sa ubrániť strate dát?

Cena hardvéru postupne klesá a pre firmy sa stal konzumným materiálom – od pevných diskov až po celé pracovné stanice. Strata firemného hardvéru však nie je len stratou niekoľkých kremíkových obvodov. Ide hlavne o uložené informácie, a to nielen stratu ich dostupnosti, ale aj ich dôvernosti, keďže dochádza k sprístupneniu citlivého materiálu nálezcovi.

Zoberme si napríklad situáciu zo Žiliny, kde sa lekárske záznamy s osobnými údajmi našli voľne pohodené na ulici. Tieto záznamy sa chybne považovali za staré a určené do bežného odpadu bez skartácie. Analogicky to platí aj pre staré pevné disky, ktoré sa bežne vyhadzujú bez riadneho odstránenia citlivých dát. Simson Garfinkel a Abhi Shelat z MIT vypracovali štúdiu, v ktorej skúmali 158 použitých a vyhodených pevných diskov. Dokázali z nich získať vyše 5000 čísel kreditných kariet spoločne s inými citlivými údajmi.

Citlivé dáta sú pre každú firmu niečo iné. Môže ísť o zoznamy zákazníkov, výplatné pásky, osobné údaje, výpisy z účtov, technické nákresy, návrhové vzory, zdrojové kódy a mnoho ďalších. Vyskytujú sa v mnohých formách – od jednoduchých textov s objemom niekoľkých kB až po rozsiahle projektové dokumentácie s veľkosťou niekoľkých desiatok GB.

Podľa Ponemon Institute, ktorý vykonáva nezávislé štúdie v oblasti IT bezpečnosti, až 66 % porušení bezpečnosti dát je spôsobených internými zamestnancami. Najrizikovejšia skupina pre únik citlivých dát z firiem je stredný manažment. Môžeme spomenúť napríklad medializovaný prípad z roku 2014, keď z e-mailového účtu manažérky Českej sporiteľne unikli informácie o odmeňovaní manažmentu a osobná komunikácia. Pravidelne sa stretávame aj so zmenou zamestnávateľa u obchodných zástupcov, ktorí si berú so sebou databázu zákazníkov a kontaktov. Z praxe poznáme i prípad, keď k nemenovanému distribútorovi áut prišiel zamestnanec konkurenčnej spoločnosti a snažil sa speňažiť cenník konkurencie.

Jeden zo spôsobov ochrany a predchádzania strate citlivých informácií je použitie riešení DLP, teda Data Loss Prevention. Hlavná funkcia týchto systémov je zabezpečiť, aby nedošlo k úmyselnému ani nechcenému opusteniu dát mimo firmy. Vykonávajú aj dôležitú záznamovú činnosť, ktorá sleduje pohyb citlivých dát vo firemnom prostredí a najmä pri prechode dát perifériami. Svojimi pomocnými funkciami pomáhajú riešiť aj situácie, keď si používatelia vymieňajú informácie v prostredí nezabezpečenom pomocou šifrovania dát a zabezpečenia komunikačných kanálov.

Riešenia DLP sú postavené na viacerých technologických princípoch. Za kolísku riešení DLP by sa dala označiť Amerika, kde v roku 1996 vstúpil do platnosti zákon HIPAA, ktorý hovorí o povinnosti chrániť citlivé informácie pacientov spracúvané v medicínskych zariadeniach. HIPAA dala možnosť vzniknúť prvým produktom DLP, ktoré označujeme ako obsahové. Tie hodnotili dáta na základe presných a špecifických znakov vyskytujúcich sa v dokumentoch, ako sú napríklad rodné čísla, čísla kreditných kariet, licenčné čísla a všeobecne dáta pevne určeného tvaru.

Postupne však firmy začali zisťovať, že to nie je jediná cesta, ako dáta ochrániť. Pre úmyselného útočníka totiž nie je problém nahradiť napríklad nejaký znak iným a obísť tak nastavenú politiku. Zoberme si rodné číslo, ktoré rozpoznávame ako 10 čísel, oddelených lomkou. Pokiaľ nahradíme všetky 0 za o alebo lomku odstránime, veľmi jednoducho sa vyhneme nastavenej politike. Z toho dôvodu sa do DLP začal pridávať kontext používateľa, ktorý pracuje s dátami. Pri použití kontextového systému rozpozná DLP to, že ide napríklad o export z CRM, obsahujúci kontakty na zákazníkov. Ten nesmie opustiť firmu bez ohľadu na to, či niekto manipuloval s jeho obsahom alebo nie. Spomeňme príklad z praxe, keď sa dostali informácie o platoch v spoločnosti hromadným e-mailom všetkým zamestnancom. Keby vo firme využívali systém DLP, pri snahe odoslať e-mail s citlivými informáciami do celej firmy by bol pokus zablokovaný.

Pre modernú firmu a moderného zamestnanca je aktuálny trend BYOD (bring your own device). Zamestnanci začínajú čoraz viac používať vlastné zariadenia na prácu a „home Office“ sú stále bežnejšia prax. Pred firmami teda stojí nová výzva: Ako zabezpečiť dáta v takomto voľnom prostredí? Stretávame sa s novými problémami, ako sú krádeže mobilných zariadení, straty notebookov na cestách, používanie vzdialených pripojení na terminálové servery, posielanie súborov cez IM, zdieľanie súborov cez cloudové služby a podobne.

Mobily, tablety a iné prenosné zariadenia vždy možno oddeliť od vnútorného prostredia firmy. Tým však obmedzíme aj používateľov a tí si začnú hľadať cesty, ako obmedzenia obchádzať. Komfort jednotnej vzdialenej správy a bezpečnosti ponúkajú produkty Mobile Device Management (MDM). Na firemnej infraštruktúre umožňujú podporu bezpečnostných smerníc a nastavenie jasných pravidiel na manipuláciu s mobilnými platformami.

Pri vzdialenom pripájaní sa do firemného prostredia je situácia odlišná. Zamestnanci využívajú svoj hardvér ako terminál, ktorý slúži na pripájanie na server. Tam pracujú vo vlastnom prostredí a citlivé dáta typicky neopúšťajú uzavretý perimeter servera. V každom prípade aj tu existujú cesty, ako by mohlo dôjsť k úniku - webové služby na zdieľanie dát, prenosné (portable) aplikácie, ktoré si na server skopírujú. Implementácia DLP umožňuje zamedziť takéto správanie a podrobne logovať všetky pokusy o vynesenie dát – či už úspešné, alebo neúspešné.

Zavedenie systému DLP, samozrejme, nevyrieši celú bezpečnosť. Je však ďalšou časťou mozaiky zabezpečenia firmy. Klasifikácia dát, zavedenie interných smerníc a pravidiel a vynútenie dodržiavania týchto pravidiel v praxi vedú k vybudovaniu bezpečnosti toho, čo je pre firmu najdôležitejšie – jej know-how.

 

Meno: Maroš Benka

Pozícia: Technical Consultant

Firma: Safetica Technologies, s. r. o.

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Žiadne komentáre

Vyhľadávanie

qubitconference

Najnovšie videá