DLP: Jak zabránit úniku citlivých informací

Cílem produktů nazvaných DLP není nic jiného, než zabránit úniku citlivých informací, ke kterému může dojít ze strany uživatele systému a to úmyslně nebo neúmyslně.

Oba tyto případy jsme si již popsali. Na trhu je několik firem, které DLP řešení nabízejí. V principu se ale nejedná o nic převratného. Snaha zabránit uživatelům, kteří přijdou do styku s citlivými informacemi v jejich zneužití, je stará jako lidstvo samo a v historii se tento požadavek řešil různě.

Datové ploty

Nejinak tomu bylo i v oblasti počítačové bezpečnosti, kdy se první řešení objevila již někdy v 80. letech minulého století. Tato řešení, nazývaná datové ploty, umožňovala zkopírovat data jen na předem schválená média (diskety), kde byla navíc zašifrovaná, takže uživatel si je mimo firmu nemohl přečíst a v případě ztráty média se k datům též nikdo nedostal. Ve své době se však toto řešení nijak výrazně neuchytilo a v okamžiku, kdy se na trhu objevila velkokapacitní média a stále více firem se začalo připojovat do internetu, se od datových plotů upustilo úplně. Nejspíš proto, že data bylo možné zcizit mnohem pohodlnějším způsobem.

DLP

Nyní zažívá řešení, které by mělo úniku citlivých informací zabránit, jakousi renesanci. Je otázka, do jaké míry to souvisí s hospodářskou krizí a snahou zaměstnanců se odškodnit zcizením dat, ke kterým mají v rámci své pracovní činnosti legitimní přístup. (Této problematice jsme se věnovali v příspěvku Řízení informační bezpečnosti v době krize). Dále se musíme ptát, zda jsou to opravdu zaměstnavatelé, kteří chtějí tuto situaci nasazením nějakého produktu řešit anebo sami výrobci těchto produktů, kteří této situace chtějí využít a přicházejí na trh s datovými ploty ve verzi 2.0 s krycím názvem DLP. Ať už je to ale jakkoliv, lze v zásadě rozlišit dvě DLP řešení a to host based a network based. Tato řešení, která mohou být nasazena samostatně nebo spolupracovat, si dále stručně popíšeme.

Host based DLP

Host based DLP (hostitelská), jak již název sám napovídá, se instalují na koncových zařízeních ve vnitřní síti. Tím je možné sledovat, jak uživatel s citlivými informacemi zachází a detekovat tak každý pokus o zkopírování citlivých informací na USB flash disk, vypálení na optický disk, vytisknutí na tiskárně, přenos přes sériový či paralelní port nebo bluetooth. Toto DLP řešení obvykle detekuje i pokus o printscreen nebo zkopírování dat přes schránku a vložení do nového dokumentu a zašifrování tohoto souboru. Je asi zbytečné zdůrazňovat, že pokud má být ochrana pomocí tohoto DLP řešení účinná, musí být tento produkt nainstalován na každém zařízení.

Network based DLP

Network based DLP (síťová) se instaluje na vyhrazený server v perimetru, který analyzuje veškerý webový a e-mailový provoz a snaží se detekovat, zda ze společnosti touto cestou neunikají citlivá data. Toto řešení má nižší TCO, neboť ho není nutné instalovat na všechny koncové stanice, ale logicky není schopno pokrýt všechny cesty, kterými mohou informace unikat.

Úskalí implementace DLP

Bez ohledu na to, jaké DLP řešení a od jakého výrobce se nakonec rozhodnete nasadit, narazíte na jeden problém a tím je definice pravidel. Jedná se o vůbec nejnáročnější fázi implementace DLP řešení a dost často také nejhůře provedenou a značně podceňovanou. Pravidla totiž nelze nastavit stylem nastav a zapomeň. Někdo se tomu musí opravdu věnovat a pravidla přizpůsobovat aktuálním potřebám firmy, reagovat na měnící se podmínky a vyhodnocovat jejich účinnost.

Bez klasifikace informací to nejde

Jestliže má systém detekovat snahu o zcizení citlivých dat, musí někdo definovat, co jsou to vlastně ta citlivá data a jak reagovat v případě, že k pokusu o jejich zcizení dojde. Znamená to tedy v první řadě klasifikovat data a definovat klíčová slova, které má systém vyhledávat. Kromě toho tato pravidla a klíčová slova musí stanovit business, neboť nikdo jiný to za něj neudělá. Nemůže to udělat ani firma, která DLP řešení dodává, ani ICT, které ho bude spravovat a dokonce ani pracovník informační bezpečnosti, protože ten o businessu obvykle také nic neví. Tihle všichni mohou businessu jen pomoci.

Pravidla vytvářejte rozumně

Nezapomínejte také na to, že mnoho informací uniká jen z pouhé nedbalosti a nevědomosti, takže to, že se zaměstnanec snaží poslat citlivé informace na freemail, nemusí být nutně proto, že by je chtěl ukrást, ale proto, že mu jeho poštovní program jako první nabídnul adresu kolegy nikoliv na firemním mail serveru, ale na internetu a daný zaměstnanec si toho nevšiml. V takovém případě by se měl systém zaměstnance dotázat, zda tuto akci chce opravdu provést a zobrazit mu vysvětlení, proč by to dělat neměl. Toto pravidlo však může fungovat jen v případě, že si někdo s nastavením jednotlivých pravidel dá práci a varovné hlášky se objevují, jen když to má smysl. Pokud taková hláška vyskakuje na uživatele v podstatě pořád, uživatel ji už ani nečte a naopak ji zcela automaticky odklikává.

Otestujete si důkladně vybrané DLP řešení

Důrazně doporučujeme vámi zvolené řešení před vlastním nasazením důkladně otestovat v reálném prostředí, protože v minulosti měly některé produkty se zajištěním ochrany citlivých informací problémy. Data bylo možné vynést např. díky nástroji pro synchronizaci dat s mobilním telefonem nebo pouhým vytisknutím na tiskárně.

Závěr: Ani na DLP řešení se nelze plně spolehnout a znovu je třeba připomenout, že celý systém je tak bezpečný, jak silný je jeho nejslabší článek. Např. v okamžiku, kdy zaměstnanci nic nebrání v tom, aby si do sítě společnosti připojil svůj vlastní notebook, může si citlivá data na svůj notebook prakticky bez jakéhokoliv omezení zkopírovat, neboť dané DLP řešení je v tuto chvíli zcela mimo hru. Zde názorně vidíme, proč je bezpečnost třeba řešit komplexně a implementovat vhodná opatření na úrovni fyzické, logické i organizační bezpečnosti a usilovat o tzv. přístup security-in-depth nebo chcete-li multilayered security.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “DLP: Jak zabránit úniku citlivých informací” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: