+421 2 20 838 400
[email protected]
Kontaktujte nás
Vybrat region
cz
  • SK
  • CZ
  • EN
Tisk

ICTsecurity.cz / Jak předejít úniku dat

Na redakční otázky odpovídá Vladimír Sekerka, Information Security Consultant, Asseco Central Europe

1. Jak nejjistěji detekovat únik dat?

Detekovat únik dat (DLP) se na první pohled může zdát jako jednoduchý problém. Nicméně hned na začátku je nutné si uvědomit, že data jsou ve společnostech zpracována v papírové i elektronické podobě a není žádnou výjimkou, že se v organizaci používají stovky aplikací. Uživatelé se snaží v této „džungli“ aplikací a předepsaných procedur provádět svou práci jak nejlépe umí. To obvykle znamená, že používají i vlastní postupy pro rychlé řešení problémů, které ne vždy odpovídají dobré praxi z pohledu bezpečnosti. Aby data unikla, stačí provést jednu banální chybu v kterémkoliv systému a úniku nejen že nezabráníme, ale nemusíme ho ani detekovat.

Únik dat se nám v takto komplikovaném prostředí podaří detekovat pouze tehdy, pokud jsou splněny všechny následující podmínky:

1) v záplavě běžných „nedůležitých“ dat musíme být schopni rozpoznat ta data, která by organizaci neměla opustit. Dá se to ilustrovat na příkladu, kterým jsou e-maily. Detekovat možný únik dat v e-mailech jsme schopni pouze tehdy, když jsme schopni v tisících e-mailů najít ten, který obsahuje informace, jenž by neměly organizaci opustit. (viz. Třídění a katalogizování dat),

2) prostředky (HW, SW, datové toky), kterými mohou data uniknout, musí být identifikované a dostatečně monitorované. Když například nemonitorujeme použití USB portů, každý uživatel si může stáhnout celé databáze na USB disk a my se o tomto úniku nikdy nedovíme,

3) někdo musí průběžně vyhodnocovat podezřelé události a provádět následné akce. Ty mohou být automatizované (zablokování posílaného mailu), případně personální (vypořádání se se zaměstnanci, kteří pravidelně porušují pravidla), technická (implementace dalších opatření pro zabránění úniku dat), apod.

Úniku informací se bohužel nedá zabránit úplně. Vždy musíme počítat s tím, že máme v systému slabší místa. Důležité však je, abychom výrazně omezili objemy úniku dat.

2. Jakým způsobem nejlépe třídit a katalogizovat data, abychom je mohli adekvátním způsobem chránit?

Existují v podstatě tři možné postupy:
 
• Manuální katalogizování (klasifikace) dat uživatelem – například uživatel manuálně označí dohodnutým způsobem dokumenty v hlavičkách souborů, vlastnostech dokumentů, apod. Nástroje pro detekci úniku dat pak vyhledávají v dokumentech definované řetězce.

• Automatické vkládání informací o klasifikaci aplikacemi, které data vytvořily (např. umístění označení v hlavičce tiskové sestavy)

• Automatizované rozpoznávání, třídění a katalogizování dat na základě definovaných charakteristik (např. obsahu, místa uložení dat, apod.). Když například najdeme v dokumentu číselný řetězec ve tvaru RRMMDD/XXXX  a tento je dělitelný 11, tak systém může (s jistou mírou jistoty) prohlásit, že tento dokument obsahuje rodné číslo.

Každý z těchto způsobů třídění a katalogizování údajů klade různé nároky na spolupráci s uživateli a má různou úroveň chybovosti. Je na společnosti rozhodnout, který způsob třídění a katalogizování dat je v jejich podmínkách ten nejvhodnější.

3. Nakolik je ochrana před úniky dat otázkou technickou a nakolik administrační/organizační?

Ochrana před úniky dat se podle mne dá dobře řešit pouze jako projekt, tj. jako kombinace technických, organizačních a administračních opatření. (viz odpověď k první otázce)

4. Co je podle vás největší překážkou rozšíření kvalitních DLP technologií?

Organizace obvykle nemonitorují možné úniky dat a bohužel jen málokdy se data, která uniknou, dostanou do veřejných médií, aby se o úniku vedení organizace dovědělo. A je úplně přirozené, že když o problému nevíme, tak ho ani nemáme tendenci řešit.

Určitě byste se divili, co všechno se dá zjistit interním auditem, který by provedl například kontrolu:

• odcházejících e-mailů, 
• dat uložených na USB flash discích, 
• konfigurace notebooků (WiFi, Bluetooth, šifrování dat na discích apod.),
• používání nezabezpečených mobilů pro práci s elektronickou poštou,
• kde všude jsou uložené data (aplikace, souborové servery, zálohovací pásky, elektronická pošta, papírové dokumenty, lokální disky uživatelů, USB flash disky, …) a zda je každý výskyt těchto dat dostatečně chráněný.

Když se nakonec vedení náhodou rozhodne, že ochrana dat v organizaci je nedostatečná, tak je problém identifikovat adekvátní úroveň investic do DLP nástroje. Obvykle totiž není možné dobře finančně ohodnotit možné úniky dat před, ale ani po implementaci DLP technologie. Neumíte tedy vyčíslit finanční benefity, které získáte implementací DLP technologie. Absolutně jasné jsou jedině potřebné náklady na její pořízení a provoz. A tyto náklady bývají obvykle poměrně vysoké. Sám se nedivím, že v této situaci vedení mnohých organizací váhá.

5. Která technologie v oblasti DLP by rozhodně neměla uniknout naší pozornosti?

Před tím, než se budete zajímat o jakoukoliv technologii, zjistěte si nejdříve, jaké vlastnosti od DLP aplikace skutečně očekáváte. Každá technologie má svá omezení, silné i slabé stránky a DLP aplikace, která 100 % vyhovuje jedné organizaci, může být absolutně nevyhovující pro druhou. Žádná DLP aplikace nevyřeší problém s úniky dat na 100%. Proto je nutné být realistou a nevzbuzovat ve vedení společnosti přehnaná očekávání typu „…a už nám žádná data neuniknou“.

http://www.ictsecurity.cz/10/02/2-data-leak-/-loss-prevention/jak-predejit-uniku-dat.html

Tisk