Ochrana citlivých informácií pred únikom z firmy

Prob­le­ma­ti­ka úni­ku in­for­má­cií z pros­tre­dia fir­my sa mô­že zdať ako jed­noz­nač­ný, ľah­ko de­fi­no­va­teľ­ný prob­lém kto­ré­ho rie­še­ne je na do­sah vo for­me pro­duk­tu, tech­no­ló­gie či pro­ce­su. V reál­nej spo­loč­nos­ti ale ten­to prob­lém čas­to pre­sa­hu­je mož­nos­ti vy­tý­če­né­ho pro­jek­tu a fi­nan­cií, rie­ši sa i nie­koľ­ko ro­kov a veľ­mi čas­to z rôz­nych dô­vo­dov nie je vy­rie­še­ný úpl­ne. Pre­čo? Tú­to otáz­ku vám skú­si­me zod­po­ve­dať v nas­le­du­jú­com texte.

V kaž­dej si­tuá­cii v kto­rej do­chá­dza ku ko­mu­ni­ká­cii me­dzi ľuď­mi je vzhľa­dom na pri­ro­dze­nú ne­jas­nosť re­či nut­né vop­red de­fi­no­vať a zjed­no­tiť kľú­čo­vé poj­my, ako napr. čo zna­me­ná po­jem cit­li­vá in­for­má­cia a či je obo­ma stra­ny vní­ma­ný rov­na­ko. Vy­tý­če­nie prob­lé­mu ochra­ny cit­li­vých in­for­má­cií sa opie­ra o zna­losť, kto­ré in­for­má­cie sú cit­li­vé, kto ur­ču­je cit­li­vosť in­for­má­cií a "ako moc" sú in­for­má­cie cit­li­vé, či­že bu­de­me ho­vo­riť o ka­te­go­ri­zá­cii do rôz­nych úrov­ní cit­li­vos­ti pod­ľa ich dô­ver­nos­ti. Tie­to ka­te­gó­rie si mô­že­me de­fi­no­vať napr. na ve­rej­né, inter­né, dô­ver­né a taj­né, ana­lo­gic­ky ako de­fi­nu­je ka­te­go­ri­zá­ciu zá­kon o ochra­ne uta­jo­va­ných sku­toč­nos­tí (č. 215/2004 Z. z.). Pro­ces spo­je­ný s ka­te­go­ri­zá­ciou in­for­má­cií do tried sa na­zý­va kla­si­fi­ká­cia in­for­má­cií. S jed­not­li­vý­mi ka­te­gó­ria­mi sú ďa­lej spo­je­né pro­ce­sy na­rá­ba­nia s cit­li­vý­mi in­for­má­cia­mi, kto­ré mu­sia byť jas­ne de­fi­no­va­né a ich dodr­žo­va­nie kon­tro­lo­va­né a vy­nu­co­va­né. Tie­to pro­ce­sy za­hŕňa­jú na­rá­ba­nie s cit­li­vý­mi in­for­má­cia­mi vo všet­kých mož­ných for­mách vý­sky­tu (elek­tro­nic­ká for­ma, pa­pie­ro­vá po­do­ba, mé­dia,..), za­ško­le­nie pra­cov­ní­kov spo­loč­nos­ti, zmluv­né ošet­re­nie v rám­ci za­mes­tna­nec­kej zod­po­ved­nos­ti, pou­ží­va­nie tech­no­ló­gií / nás­tro­jov pre ich ochra­nu apod. V jed­not­li­vých ka­te­gó­riách sa so zvy­šu­jú­cou cit­li­vos­ťou zvy­šu­je i spô­sob ochra­ny tých­to in­for­má­cií a sprís­ňu­jú pra­vid­lá, kto­ré je nut­né dodr­žo­vať. Pri ochra­ne cit­li­vých in­for­má­cií je nut­né, aby oso­by, kto­ré s ni­mi na­rá­ba­jú bo­li pou­če­né o ich cit­li­vos­ti, pro­ce­soch spo­je­ných s jed­not­li­vý­mi ka­te­gó­ria­mi a v ne­pos­led­nej ra­de o osob­nej zod­po­ved­nos­ti.

Zna­losť cit­li­vos­ti spra­co­vá­va­ných in­for­má­cií a pro­ce­sov je u za­mes­tnan­cov pre za­bez­pe­če­nie pro­ti úni­ku in­for­má­cií nut­ná, av­šak nie pos­ta­ču­jú­ca. Tú­to zna­losť je nut­né dopl­niť tech­no­lo­gic­ky a to na via­ce­rých úrov­niach. V pr­vom ra­de je nut­né in­for­má­cie ozna­čiť za cit­li­vé a to vi­di­teľ­ným ozna­če­ním napr. pria­mo v zá­hla­ví do­ku­men­tu prís­luš­nou znač­kou od­po­ve­da­jú­cou ka­te­gó­rii cit­li­vos­ti. Tým sa do­cie­li jed­noz­nač­né­ho od­de­le­nia dô­ver­ných in­for­má­cií od bež­ných, či ve­rej­ných. Sa­mot­né zna­če­nie do­ku­men­tov ale ne­po­mô­že v prí­pa­de, že za­mes­tna­nec s prís­tu­pom k cit­li­vým in­for­má­ciám ve­do­me ale­bo ne­ve­do­me tie­to in­for­má­cie zo spo­loč­nos­ti vy­ná­ša. Ďal­ším prob­lé­mom je sa­mot­ná rep­re­zen­tá­cia ozna­če­nia, kto­rá je za­ve­de­ná a pou­ží­va­ná v bež­ných for­má­toch (napr. MS Of­fi­ce, Ope­nOf­fi­ce, PDF apod.), ale mô­že byť prob­le­ma­tic­ká u rôz­nych iných ver­ziách do­ku­men­tov (CAD, SAP apod.). Pri na­sa­de­ní kla­si­fi­ká­cie je tak nut­né zjed­no­tiť pou­ží­va­né for­má­ty, prí­pad­ne gra­fic­ké ma­nuá­ly, v rám­ci spo­loč­nos­ti a dbať na správ­ny vý­ber tech­no­ló­gie.

Kla­si­fi­ká­cia in­for­má­cií je dô­le­ži­tá i pri ochra­ne pred úni­kom tzv. sys­té­ma­mi na pre­ven­ciu pro­ti stra­te dát (z ang. Da­ta Loss Pre­ven­tion, ďa­lej len DLP). DLP sys­té­my sú dô­le­ži­tou sú­čas­ťou cel­ko­vé­ho za­bez­pe­če­nia spo­loč­nos­ti a po­mo­cou dop­re­du de­fi­no­va­ných po­li­tík chrá­nia cit­li­vé in­for­má­cie, dá­ta, pred úni­kom z chrá­ne­nej čas­ti spo­loč­nos­ti. DLP sys­té­my sú schop­né pra­co­vať na sie­ťo­vom pe­ri­met­ri spo­loč­nos­ti, kde brá­nia úni­kom dát do inter­ne­tu (napr. cez email, web apod.), na kon­co­vom za­ria­de­ní, spra­vid­la za­mes­tnan­ca, kde brá­nia pre­no­su cit­li­vých dát na iné mé­dia, neop­ráv­ne­né ko­pí­ro­va­nie, či pre­sú­va­nie tých­to dát apod. Tie­to sys­té­my sú dopl­ňo­va­né prá­ve spo­mí­na­nou kla­si­fi­ká­ciou, ale ich na­sa­de­nie nie je tri­viál­ne a zväč­ša mô­že tr­vať i nie­koľ­ko me­sia­cov.

Ak spo­loč­nosť pou­ží­va kla­si­fi­ká­ciu in­for­má­cií / do­ku­men­tov, má správ­ne na­sa­de­nú tech­no­ló­giu DLP, pro­ce­sy s tým spo­je­né a za­ško­le­ných pra­cov­ní­kov, je prav­de­po­dob­né, že do­ká­že ochrá­niť cit­li­vé in­for­má­cie pred ne­ve­do­mý­mi únik­mi zo stra­ny ich za­mes­tnan­cov. V prí­pa­de, že sa do spo­loč­nos­ti dos­ta­ne útoč­ník (fy­zic­ky ale­bo cez sieť), prí­pad­ne so­fis­ti­ko­va­ný malware, po náj­de­ní cit­li­vých dát, ich extrak­cia z pros­tre­dia spo­loč­nos­ti nie je ťaž­ká, zá­vi­sí na zna­los­tiach a ča­se, kto­rý útoč­ník pot­re­bu­je pre náj­de­nie ved­ľaj­šie­ho ka­ná­lu na od­os­la­nie tých­to dát. Mô­že nap­rík­lad pou­žiť šif­ro­va­nie cez bež­ný sle­do­va­ný ka­nál zo spo­loč­nos­ti (napr. email, či so­ciál­ne sie­te), fy­zic­kú extrak­ciu, ale­bo do­kon­ca fi­rem­nú tla­čia­reň, kto­ré mu­sia byť tak­tiež za­hr­nu­té v cel­ko­vom za­bez­pe­če­ní pro­ti úni­kom. Je nut­né po­dot­knúť, že naj­zá­važ­nej­ším útoč­ní­kom na cit­li­vé in­for­má­cie je inter­ný za­mes­tna­nec, kto­rý má dos­ta­tok ča­su i zna­losť pros­tre­dia. Ten­to za­mes­tna­nec ne­mu­sí byť pria­mo útoč­ní­kom, ale mô­že byť obe­ťou so­ciál­ne­ho in­ži­nier­stva. Pre­to nie je vhod­né sa spo­lie­hať iba na spo­mí­na­né tech­no­ló­gie a pro­ce­sy, ale je nut­né bez­peč­nosť cit­li­vých in­for­má­cií pos­ta­viť na ďal­ších vrstvách ochra­ny, me­dzi kto­ré sa ra­dí i cel­ko­vá bez­peč­nosť inter­nej sie­te spo­loč­nos­ti, mo­ni­to­ring sie­te a ak­ti­vi­ty uží­va­te­ľov, ochra­na pro­ti malwaru a úto­kom z vnút­ra sie­te.

Jed­nou z kom­pli­ká­cií ochra­ny pro­ti úni­kom sú pre­nos­né za­ria­de­nia, ako no­te­boo­ky ale­bo te­le­fó­ny. No­te­boo­ky vy­ná­ša­né z pros­tre­dia spo­loč­nos­ti mu­sia po­dlie­hať sprís­ne­né­mu za­bez­pe­če­niu v rám­ci bez­peč­nos­tnej po­li­ti­ky spo­loč­nos­ti a to hlav­ne vy­nú­te­né šif­ro­va­nie dá­to­vých úlo­žísk, sprís­ne­né za­bez­pe­čo­va­cie me­cha­niz­my, sil­né hes­lá apod. Po­li­ti­ka pre­nos­ných za­ria­de­ní ty­pu mo­bil­ný te­le­fón je ka­pi­to­la na nie­koľ­ko člán­kov spo­lu s prob­le­ma­ti­kou BYOD. Ďal­ším prob­lé­mom, na kto­rý sa bež­ne u tých­to pro­jek­tov za­bú­da je ria­de­nie prís­tu­pu tre­tích strán. V prí­pa­de, že má spo­loč­nosť exter­nis­tov, kto­rí ne­po­dlie­ha­jú za­mes­tna­nec­kým po­li­ti­kám, niek­to­ré zá­sa­hy (napr. do mo­bil­né­ho za­ria­de­nia, po­čí­ta­ča apod.) nie sú zo stra­ny spo­loč­nos­ti ve­ľa krát mož­né. Je nut­né na ten­to prob­lém my­slieť a za­hr­núť ho do bez­peč­nos­tnej po­li­ti­ky spo­loč­nos­ti.

Pr­vou vrstvou ochra­ny spo­loč­nos­ti pro­ti úni­kom cit­li­vých in­for­má­cií je zna­losť ak­tív spo­loč­nos­ti, iden­ti­fi­ká­cia cit­li­vých in­for­má­cií a ich nás­led­ná kla­si­fi­ká­cia. Ne­ve­do­mé úni­ky, kto­ré mô­žu pred­sta­vo­vať hroz­bu zo stra­ny za­mes­tnan­cov je pot­reb­né za­bez­pe­čiť for­mou ško­le­ní, kto­ré by ma­lo za­hŕňať i pou­če­nie o hroz­bách prí­pad­ných útoč­ní­kov a so­ciál­nom in­ži­nier­stve. Na úni­ky dát do inter­ne­tu, zo server­ov ale­bo cez kon­co­vé sta­ni­ce za­mes­tnan­cov sa sús­tre­dia DLP tech­no­ló­gie, kto­ré po­mo­cou vhod­ných po­li­tík kon­tro­lu­jú dá­ta pre­chá­dza­jú­ce cez kon­trol­né bo­dy. Pri za­bez­pe­če­ní cit­li­vých dát je nut­né my­slieť i na prí­pad­ných inter­ných a exter­ných útoč­ní­kov a my­slieť na cel­ko­vé za­bez­pe­če­nie sie­te spo­loč­nos­ti a ne­pod­ce­ňo­vať úlo­hu vlas­tných za­mes­tnan­cov v tvo­re­ní bez­peč­nos­ti fir­my. Pr­vým kro­kom k ochra­ne pro­ti uni­kom cit­li­vých in­for­má­cií je cel­ko­vá ana­lý­za sú­čas­né­ho sta­vu spo­loč­nos­ti a nás­led­ne vy­čle­ne­nie ďal­ších kro­kov pod­ľa mož­nos­tí da­nej spo­loč­nos­ti. V tom­to dô­le­ži­tom kro­ku od­po­rú­ča­me sús­tre­diť sa na návrh op­ti­mál­ne­ho rie­še­nia s oh­ľa­dom na fi­nan­čné mož­nos­ti, sú­čas­ný stav bez­peč­nos­ti a mož­nos­tiam spo­loč­nos­ti a to tak, aby ne­do­chá­dza­lo k pri­ja­tiu ne­sys­te­ma­tic­kých opat­re­ní a plyt­va­niu fi­nan­čných pros­tried­kov, kto­ré ne­za­pa­da­jú do cel­ko­vej bez­peč­nos­ti a z dl­ho­do­bé­ho poh­ľa­du nie sú rie­še­ním úni­ku in­for­má­cií.

Ma­roš Ba­ra­bas
IT Se­cu­ri­ty Con­sul­tant
AEC, spol. s r.o.

Ju­raj Po­rub­čan
se­nior se­cu­ri­ty kon­zul­tant
Cle­verlan­ce



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Roz­ho­vor: Pre zá­kaz­ní­ka je kľú­čo­vé, keď server­ov­é rie­še­nia do­ká­žu rásť spo­lu s ním a s je­ho ak­tuál­ny­mi po­žia­dav­ka­mi
ĽUBOŠ ŠENKERY pôsobí od decembra 2007 ako produktový manažér pre oblasť štandardných serverov v spoločnosti HP. Venuje sa projektom predaja serverov HP ProLiant na slovenskom trhu. čítať »
 
Ná­kup tech­no­ló­gií v pod­ni­koch
V priebehu augusta 2014 uskutočnila redakcia Infoware v spolupráci so spoločnosťou GRENKELEASING, s.r.o., prieskum o nákupe technológií v podnikoch. čítať »
 
Re­por­táž: VMware vFO­RUM 2014
Softvérovo definovaný podnik, investičné a technologické stratégie, ako si môžu firmy udržiavať konkurencieschopnosť v ére mobilných riešení a cloudu, zotavenie po havárii komponentov IT infraštruktúry... To boli len niektoré z tém podujatia VMware vFORUM 2014, ktoré sa konalo v Prahe. čítať »
 
Tla­čo­vé za­ria­de­nia pre ma­lé, stred­né a veľ­ké fir­my
Zariadenia pre tlač dokumentov v podnikovom prostredí ako aj procesy ich využívania sa priebežne optimalizujú. čítať »
 
Ana­lý­za tr­hu – tla­čiar­ne, ko­pír­ky a mul­ti­fun­kčné za­ria­de­nia
Digitalizácia dokumentov a procesov s nimi súvisiacich spôsobila revolúciu v ukladaní, zdieľaní a výmene dokumentov. čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky IT?
Riešenia v oblaku priniesli viac jasna. Kým v minulosti bolo vyhodnocovanie celkových nákladov na vlastníctvo informačných technológií zložitým porovnávaním množstva položiek, cloud vyhodnocovanie viacerých možností jednoznačne zjednodušuje. čítať »
 
TCO vs. ROI ale­bo Je pre­vádz­ka IT iba nák­la­do­vá po­lož­ka?
Prevádzka IT sa typicky považuje za nákladovú položku. Je to však skutočne tak? Sú náklady jediné kritérium, podľa ktorého vieme rozhodnúť, ktorý model, služba, systém, riešenie je lepšie? čítať »
 
Da­ta­cen­ter Cla­ri­ty LC – tran­spa­ren­tnosť infra­štruk­tú­ry dá­to­vých cen-tier
Spoločnosť Siemens rozšírila portfólio pre dátové centrá o riešenie Datacenter Clarity LC. Ide o systém DCIM (Data Center Infrastructure Management), ktorý umožňuje prepojenie IT manažmentu s facility manažmentom. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter