Lidský faktor jako největší hrozba pro bezpečnost dat

Bezpečnost dat je jedna nekonečná výzva. Na jedné straně jsou organizace povinny držet krok s regulatorními předpisy a chránit duševní vlastnictví před cílenými útoky a náhodným odhalením. A na druhé straně se musí přizpůsobit současným velkým technologickým manévrům, jako je implementace cloudových aplikací, hybridní cloudová prostředí nebo současný mega trend BYOD (tedy přístup zaměstnanců k firemním datům na soukromých zařízeních). Sečteno a podtrženo – to vše zvyšuje počet způsobů, jakými mohou data opustit vaši organizaci.

Týmy zabývající se bezpečností dat si tradičně nastavily zdánlivě logické přístupy, jak únikům dat zabránit: data je nutno najít, zařadit a dostat pod kontrolu. Bohužel, tento způsob prevence ztráty dat již není účinný, protože ignoruje nejdůležitější proměnnou v otázce bezpečnost dat – a to jsou lidé.

Místo, aby se zaměřovala čistě na data, měla by bezpečnost začínat a končit u lidí. Klíčem je mít přehled o tom, jak uživatelé zacházejí s daty a aplikacemi a soustředit se na lidi, kteří data vytvářejí, používají, nahrávají a kopírují.

Ochrana dat ve světě bez hranic

Dnešní podniky čelí složitým prostředím, kde data jsou všudypřítomná a ochrana dat je díky mobilitě potřeba na místech, která společnost nespravuje, ani nevlastní (např. kavárny, domácnosti zaměstnanců, dopravní prostředky atd.).

Kromě firemních dat (intelektuálního vlastnictví) je potřeba chránit data, která jsou považována za citlivá ze zákona (např. GDPR) a zároveň identifikovat zaměstnance s potenciálně rizikovým chováním. Co tedy pomůže bezpečnostním týmům změnit strategii ochrany dat?

Odpověď zní: DLP systém (Data Loss Prevention – ochrana před ztrátou dat), který umí analyzovat, jakým způsobem lidé data používají, identifikovat citlivá data, auditovat nebo zabránit neautorizovaným přesunům dat, řídit tok dokumentů (např. ukládání na USB, CD/DVD, tisk, nahrávání na veřejné webové servery atd.) a podávat o něm zprávy, vést lidi ke správným rozhodnutím při práci s daty a také prioritizovat incidenty podle rizikovosti. Takový systém spravuje regulovaná data z jediné řídící konzole, která má pod kontrolou všechny aplikace, které lidé používají k vytváření, ukládání a přesouvání dat, ať v cloudu, na síti nebo na koncových zařízeních.

Velká část bezpečnostních řešení již má v sobě nějakou formu DLP integrovanou, jako například DLP, jež se vyskytuje v cloudových aplikacích. Někdy to ale bezpečnostním týmům spíše komplikuje život, protože řeší zvýšenou komplexitu správy a tím i vyšší náklady a nutnost spravovat oddělené a různorodé zásady napříč celým IT prostředím.
Systémové a kvalitní DLP řešení se dá použít k jednotné kontrole dat společnosti, bez ohledu na to, kde jsou uložená, součástí bývají i funkcionality pro dohled. Je tedy jedno kde a jakým způsobem vaši zaměstnanci pracují s daty, protože DLP je jako „velký bratr“, který je neustále sleduje.

Jaké další funkčnosti DLP může mít?

Kromě již zmíněných vlastností disponují DLP systémy od renomovaných dodavatelů i funkčnostmi, které ještě donedávna byly téměř z říše sci-fi. Patří mezi ně například:

• schopnost rozpoznávat optické znaky (Optical Character Recognition – OCR), čili rozpoznání dat vložených do obrázků;
• řešení pro informace umožňující identifikaci osob (Personally Identifiable Information – PII), která nabízí např. kontrolu platnosti údajů a detekci skutečného jména;
• identifikace šifrování, které umí odhalovat data, která byla ukrytá za účelem vyhnutí se bezpečnostním kontrolám;
• identifikace regulárních výrazů (rodná čísla, čísla platebních karet, čísla účtů);
• detekce průběžného pomalého úniku dat (drip DLP detection);
• strojové učení (machine learning), které umožňuje uživatelům učit systém, aby uměl identifikovat relevantní data, se kterými se dosud nesetkal, např. podle textu určit, že jde o marketingový plán;
• označování strukturovaných i nestrukturovaných dat identifikátory (fingerprinting), které umožňuje vlastníkům dat definovat typy dat a určovat úplné i částečné shody napříč obchodními dokumenty a poté aplikovat na data tu správnou kontrolu nebo zásadu;
• analytické funkce pro identifikaci změn v chování uživatelů (behavioral analytics), které souvisí s jejich interakcí s daty, např. častější používání osobního e-mailu, odesílání e-mailů v netradiční čas, kopírování dat na USB disk, nahrávání mimo firemní síť atd.;
• algoritmy ověřující záměry uživatelů, kteří se dostávají do styku s kritickými daty.

Když chráníte svá data, splňujete regulatorní předpisy

Moderní technologické prostředí představuje pro společnosti, které mají za cíl být v souladu s desítkami různorodých předpisů o ochraně dat na celém světě, tvrdý oříšek. A to zvláště v době, kdy se přesouvají směrem ke cloudovým řešením a mobilitě práce.

Některá DLP řešení například obsahují algoritmy, či dokonce předpřipravené balíčky, pokrývající globální zásady ochrany dat a osobních údajů. Když nepočítáme notoricky známé GDPR, které platí v EU, je takových předpisů po celém světě několik desítek (říkají vám něco např. PSD2, PCI DSS, HIPAA, LGPD, FIPS 140-2 nebo PIPA?) a není snadné s nimi držet krok. Tím, že DLP integruje tyto předpisy, tak účinně zabezpečuje citlivé informace a regulovaná data zákazníků, abyste měli jistotu, že jste prokazatelně neustále s těmito zásadami v souladu.

Prostě a jednoduše – je čas zaměřit kybernetickou bezpečnost na člověka

Každá správná firma přece ví, že lidé jsou její největší kapitál. A v tomto duchu je potřeba ocenit, že jsou to vaši lidé, kteří stojí v přední linii proti moderním počítačovým hrozbám. A zvolit takovou strategii, která na jednu stranu nebude bránit lidem používat moderní technologie ani je limitovat v práci, což je přece hlavní důvod, proč je zaměstnáváte, ale také ochrání vaše duševní vlastnictví.

Kromě toho, že si uděláte přehled o datech všude, kde se vyskytují, ať už je to v cloudu, na síti, v e-mailech, v mobilech nebo na PC, tak veďte své zaměstnance k tomu, aby se uměli chytře rozhodovat. Toho dosáhnete, když jim v DLP systému budete nabízet informace, které jim pomohou zvolit správný způsob chování. Dále jim poskytněte školení o zásadách ochrany dat a osobních údajů a o osobní odpovědnosti. Řekněte uživatelům, že „DLP se dívá“. Poučte je o dopadech neautorizované manipulace a přesunu dat a rizikového chování. Poučení uživatelé budou ochotněji dodržovat pravidla, která jim určíte.

Ukažte svým lidem jak důležité je při spolupráci s partnery automatické šifrování dat založené na zásadách bezpečnosti, které chrání vaše data tehdy, když se dostávají mimo organizaci. Poučte je o přínosu štítkování a klasifikace dat a pomozte jim tím, že tyto kroky zautomatizujete pomocí integrace s předními klasifikačními řešeními pro data od třetích stran (např. Microsoft Azure Information Protection, Boldon James nebo Titus). Zabezpečte soukromí uživatelů pomocí možnosti anonymizace a řízení přístupů.

DLP systém = o hodně klidnější spaní

Zdá se, že bezpečnostní týmy i vedení firem mají důvod jásat. Našlo se spásné řešení, které zamezí úniku dat a omezí riziko porušení předpisů o ochraně osobních údajů. Jenže pokud vámi zvolené DLP řešení disponuje pouze preventivními kontrolami, frustruje to uživatele, kteří je pak obcházejí, protože jejich hlavním a jediným záměrem je dokončit zadaný úkol. A obcházení zabezpečení zbytečně zvyšuje riziko neúmyslného odhalení dat.

Problém je totiž v tom, že tradiční přístupy k ochraně před ztrátou dat přetěžují uživatele hlášením chybně identifikovaných pozitivních incidentů, například z důvodu obecné formulace algoritmů, ale ohrožená data naopak nepodchytí. Uživatelé jsou pak otrávení a nespolupracují. A všichni víme, že můžete mít své auto či dům prošpikované tou nejmodernější technologií, když ale zapomenete zavřít okno, tak je vám úplně k ničemu.

Když si „sekuriťáci“ uvědomí, jaký dopad má na bezpečnost lidský faktor a dostanou správně nastavenou technologii, která umí jeho selhání omezit, hned se jim bude lépe dýchat. Díky chytrému systému DLP se mohou zaměřit na ta největší rizika díky prioritizovaným incidentům, jež upozorňují na osoby odpovědné za vznik rizika, na ohrožená kritická data a na obvyklé vzorce chování společné většině uživatelů. Oddělení bezpečnosti tak zvyšují nejen bezpečnost společnosti, ale i soulad s globálními předpisy o ochraně dat a osobních údajů.

Vyšetřování a reakce na incidenty je v DLP systému jednodušší díky možnému nastavení workflow, jež spojují zdánlivě nesourodé události, zasazují ohrožená data do kontextu a poskytnou analytikům incidentů informace, které potřebují, aby mohli přijmout příslušná opatření.

S DLP řešením bude mít celá firma o hodně klidnější spaní.