Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky. Diplomová práce Bc. Tomáš Brejla

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky

Diplomová práce

2012

Bc. Tomáš Brejla

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky

Návrh koncepce prevence ztráty dat

Vypracoval: Bc. Tomáš Brejla Vedoucí práce: doc. Ing. Vlasta Střížová, CSc. Rok vypracování: 2012

Čestné prohlášení: Prohlašuji, že jsem tuto diplomovou práci vypracoval samostatně. Veškeré použité podklady, ze kterých jsem čerpal informace, jsou uvedeny v seznamu použité literatury a citovány v textu podle normy ČSN ISO 690.

V...................... dne .........................

Podpis: .................................................

Poděkování: Děkuji doc. Ing. Vlastě Střížové, CSc. za vedení mé diplomové práce, její trpělivost, vlídnost, ochotu, vynikající přístup, komunikaci a cenné připomínky. Poděkování patří také všem vyučujícím, které jsem za svého studia potkal, měl tu čest od nich čerpat jejich vědomosti, a kteří mě k sepsání práce inspirovali.

Abstrakt Práce se zabývá vytvořením koncepce implementace procesů a softwarových nástrojů směřujících k zajištění prevence úniku citlivých dat z prostředí organizace. Strukturu tvoří tři klíčové části. V první z nich jsou popsána teoretická východiska práce. Je vysvětleno, co to prevence ztráty dat je, z čeho vychází, proč je třeba ji řešit a jaké jsou její cíle. Je také popsáno, jakým způsobem zapadá tato oblast do celého prostředí podnikové ICT bezpečnosti. Dále jsou v práci definována veškerá rizika spojená s únikem citlivých dat, možnosti jejich řešení a jsou popsána úskalí, která jsou s těmito řešeními spojená. První část práce také analyzuje současný stav prevence ztráty dat v organizacích. Ty jsou rozděleny dle své velikosti a pro každou skupinu je vypsán přehled nejčastějších nedostatků a rizik. Je zhodnoceno, jak organizace aktuálně oblast prevence ztráty dat řeší a jak mají problematiku pokrytou z procesního pohledu, i z pohledu softwarových nástrojů. Přímo na softwarové nástroje se soustředí druhá část práce. Je charakterizován princip fungování těchto systémů a vysvětlena jejich síťová architektura. Dále jsou popsány a zhodnoceny aktuální trendy vývoje nástrojů pro prevenci ztráty dat a nastíněn další možný vývoj. Jsou rozděleny do jednotlivých kategorií podle toho, jaké funkce nabízejí a jakým způsobem pokrývají potřeby organizací. V závěru druhé části jsou porovnána softwarová řešení od nejvýznamnějších dodavatelů na trhu podle zkušeností z praxe, se zaměřením na jejich silné a slabé stránky. Třetí část práce představuje stěžejní obsah. Dochází v ní ke spojení dvou předchozích částí a výsledkem je vytvoření celkové koncepce zavádění prevence ztráty dat s důrazem na rozdělení dle několika různých rovin – procesů, času a velikosti společnosti. Na začátku třetí části je popsáno, co předchází samotnému zavádění prevence ztráty dat a na co by si organizace měla dát pozor. Dále je definováno jakým způsobem a podle čeho by si organizace měla nastavit svá vlastní očekávání, aby byl celý projekt řiditelný. Hlavním bodem je vytvoření postupu zavádění prevence ztráty dat, od vytvoření strategie, přes výběr řešení, až po implementaci tohoto řešení a souvisejících procesů. V závěru třetí části jsou řešeny právní a personální otázky, které se zaváděním prevence ztráty dat velmi úzce souvisí. Jsou vytvořena doporučení, založená na analýze právních norem a tato doporučení jsou doplněna do personálního rámce přístupu k zaměstnancům. Na úplný závěr jsou jmenovány přínosy zavedení prevence ztráty dat a celá vytvořená koncepce je shrnuta formou best practices. Klíčová slova: Citlivé informace, data, dokumenty, ICT bezpečnost, implementace, koncepce, organizace, prevence ztráty dat, proces, riziko, softwarový nástroj, únik.

Abstract This work deals with the making of conception of implementation of processes and software tools designed to ensure sensitive data leakage prevention from the organization infrastructure. The structure consists of three key parts. The first one describes theoretical basis of the work. It explains what is the data loss prevention, what it comes from, why it is necessary to deal with it and what its goals are. It also describes how this fits into the whole area of corporate ICT security environment. There are defined all the risks associated with leakage of sensitive data and there are also defined possible solutions and problems that are associated with these solutions. The first part also analyzes the current state of data loss prevention in organizations. They are divided according to their size and for each group there is a list of the most common weaknesses and risks. It is evaluated how the organizations currently solve prevention of data loss and how they cover this issue from both a procedural point of view and in terms of software tools. The second part focuses directly on the software tools. It is characterized the principle of operation of these systems and it is explained their network architecture. There are described and evaluated current trends in the development of the data loss prevention tools and it is outlined possible further development. They are divided into different categories depending on what features they offer and how these categories cover the needs of organizations. At the end of the second part there are compared the software solutions from leading vendors in the market against actual experience, focusing on their strengths and weaknesses. The third part presents the core content. IT joins two previous sections and the result is the creation of the overall concept of the implementation of data loss prevention with focus on breakdown by several different levels – processes, time and size of the company. At the beginning of this third section it is described what precedes the implementation of data loss prevention, and what the organizations should be careful of. It is defined by how and what the organizations should set their own expectations for the project could be manageable. The main point is the creation of a procedure of data loss prevention implementation by creating a strategy, choice of solutions, to the implementation of this solution and related processes. The end of the third part deals with the legal and personnel issues which are with the implementation of DLP very closely related. There are made recommendations based on analysis of the law standards and these recommendations are added to the framework approach of HR staff. At the very end there are named benefits of implementing data loss prevention, and the created concept is summarized as a list of best practices. Key words: Sensitive information, data, documents, ICT security, implementation, conception, organization, data loss prevention, process, risk, software tool, leakage.

Obsah ABSTRAKT ........................................................................................................................................ 5 ABSTRACT ........................................................................................................................................ 6 OBSAH ............................................................................................................................................. 7 ÚVOD............................................................................................................................................... 9 1

PROBLEMATIKA PREVENCE ZTRÁTY DAT ................................................................................12 1.1 KONTEXT PREVENCE ZTRÁTY DAT V CELOPODNIKOVÉ BEZPEČNOSTI .................................................... 12 1.2 CO JE PREVENCE ZTRÁTY DAT?.................................................................................................... 15 1.3 ÚNIKY DAT ............................................................................................................................. 16 1.4 RIZIKA ZTRÁTY DAT A ZPŮSOBY JEJICH POKRYTÍ RŮZNÝMI NÁSTROJI .................................................... 19 1.4.1 USB ................................................................................................................................ 21 1.4.2 E-mail ............................................................................................................................. 21 1.4.3 Internet .......................................................................................................................... 22 1.4.4 Přenosné počítače.......................................................................................................... 22 1.4.5 Mobilní zařízení.............................................................................................................. 23 1.4.6 Síťová úložiště ................................................................................................................ 23 1.4.7 Tiskárny, faxy ................................................................................................................. 24 1.5 ŘEŠENÍ ÚNIKU DAT POMOCÍ DLP NÁSTROJE .................................................................................. 24 1.6 SOUČASNÝ STAV V ORGANIZACÍCH .............................................................................................. 25 1.6.1 Drobné organizace......................................................................................................... 26 1.6.2 Malé organizace ............................................................................................................ 27 1.6.3 Středně velké organizace ............................................................................................... 28 1.6.4 Velké organizace ............................................................................................................ 29

2

SOFTWAROVÉ NÁSTROJE .......................................................................................................30 2.1 CHARAKTERISTIKA DLP NÁSTROJŮ .............................................................................................. 30 2.1.1 Princip DLP řešení .......................................................................................................... 30 2.1.2 Architektura řešení ........................................................................................................ 36 2.2 AKTUÁLNÍ TRENDY VE VÝVOJI DLP TECHNOLOGIE ........................................................................... 38 2.3 POROVNÁNÍ NÁSTROJŮ DLP OD JEDNOTLIVÝCH VÝROBCŮ................................................................ 42 2.3.1 Symantec ....................................................................................................................... 42 2.3.2 McAfee........................................................................................................................... 42 2.3.3 RSA ................................................................................................................................. 43 2.3.4 CA................................................................................................................................... 44

3

NÁVRH KONCEPCE PREVENCE ZTRÁTY DAT ............................................................................45 3.1 CO PŘEDCHÁZÍ ZAVÁDĚNÍ PREVENCE ZTRÁTY DAT ........................................................................... 45 3.1.1 Základní ICT bezpečnost ................................................................................................ 46 3.1.2 Lidský faktor v informační bezpečnosti .......................................................................... 47 3.1.3 Bezpečnostní klasifikace informací ................................................................................ 49 3.2 OČEKÁVÁNÍ ORGANIZACÍ VS. ŘÍZENÍ TĚCHTO OČEKÁVÁNÍ.................................................................. 49 3.3 ZAVÁDĚNÍ PREVENCE ZTRÁTY DAT ............................................................................................... 50 3.3.1 Strategie implementace – vědět, kam směřovat ........................................................... 51 3.3.2 Výběr technického řešení ............................................................................................... 52 3.3.3 Implementace DLP jako proces ...................................................................................... 56 3.3.4 Implementace prevence ztráty dat v čase ..................................................................... 61 3.4 PRÁVNÍ A PERSONÁLNÍ OTÁZKY ZAVÁDĚNÍ DLP.............................................................................. 66 3.4.1 Právní rámec .................................................................................................................. 66 3.4.2 Interpretace práva ......................................................................................................... 67 3.4.3 Posouzení oprávněnosti monitoringu ............................................................................ 68 3.4.4 Vyplývající právní doporučení ........................................................................................ 69 3.4.5 Personální rámec ........................................................................................................... 70

3.5 PŘÍNOSY ZAVEDENÍ DLP ........................................................................................................... 71 3.5.1 ICT bezpečnost ............................................................................................................... 71 3.5.2 Práce s daty ................................................................................................................... 71 3.5.3 Úpravy procesů a další rozvoj ........................................................................................ 72 3.6 BEST PRACTICES ZAVÁDĚNÍ PREVENCE ZTRÁTY DAT.......................................................................... 73 ZÁVĚR .............................................................................................................................................75 SEZNAM POUŽITÉ LITERATURY .......................................................................................................79 SEZNAM INTERNETOVÝCH ZDROJŮ.................................................................................................79


Úvod Ve své práci se budu zabývat tématem prevence ztráty dat, které spadá do oblasti IT bezpečnosti. Problematiku bezpečnosti firemní ICT infrastruktury sleduji a aktivně řeším již přes dva roky a za tuto dobu pozoruji výrazný posun v možnostech softwarových nástrojů, jejichž činnostmi je detekce citlivých informací ve společnosti, vynucování pravidel pro práci s nimi a bránění v jejich úniku mimo prostředí organizace. Právě během posledních dvou let se z těchto nástrojů staly plnohodnotné systémy, které doplňují stávající portfolio řešení pro zajištění ICT bezpečnosti v organizaci. Společně s rozvojem podnikové hardwarové i softwarové infrastruktury, schopnostmi a znalostmi uživatelů, ale hlavně s rostoucím počtem informací v podobě elektronických dat, jsou nástroje pro zajištění prevence ztráty dat důležitým prvkem, jehož implementace se pro organizace stává nezbytností. Zaměstnanci firem dnes již běžně používají ke své práci notebooky, jejichž hlavní výhoda – přenosnost – je také jejich slabinou. Lidé totiž na těchto zařízeních pracují především s firemními daty, jejichž povaha je vždy více či méně citlivá. Tato data pak na svých noteboocích nosí s sebou a citlivé informace tak logicky opouští prostředí organizace, kde jsou velmi zranitelná. Typickým případem je krádež notebooku, se kterou se setkaly více jak dvě třetiny firem a i já sám jsem již několikrát krádež notebooku ve svém okolí řešil. Hodnota informací, které se na notebooku nacházejí, několikanásobně převyšuje hodnotu samotného zařízení a důsledky, které ztráta dat pro firmy může mít, jsou obrovské – diskreditace před klienty, únik informací ke konkurenci, nebo třeba vyzrazení soukromých údajů zaměstnanců a klientů. Takřka stejný problém může nastat u ztráty nebo odcizení USB flash disku. Pokud se jedná o firemní zařízení, je pravděpodobnost, že na něm budou citlivá data, velmi vysoká. Stejně tak pravděpodobné je, že tato data nebudou nijak šifrována. Nejde ale jen o ztráty firemního hardwaru. Chybu může udělat i zaměstnanec, který má k citlivým datům přístup, například odesláním na špatný e-mail. Nejhorší variantou potom je, pokud se nejedná o chybu, ale záměr. V takovém případě jsou způsobené škody obrovské a pro firmu zdrcující. Všechny tyto problémy a mnoho dalších dokážou systémy pro prevenci ztráty dat spolehlivě a hlavně efektivně pokrýt. Spolu s rozvojem těchto systémů proto roste i zájem ze strany firem o jejich nasazení. Informace jsou pro většinu organizací největším nositelem hodnoty a tato hodnota neustále stoupá. Velké 9


firmy, především z finančního, pojišťovacího a telekomunikačního sektoru si hodnotu svých informací velmi dobře uvědomují, proto již aktivně oblast prevence ztráty dat řeší. Ostatní společnosti pomalu zjišťují, že také v jejich případě je hrozba úniku citlivých dat mimo jejich infrastrukturu zcela reálná a proto se začínají zajímat o možnosti, jak tomu zabránit. Problém většiny organizací je ve způsobu, jakým na řešení ztráty nebo úniku citlivých dat pohlíží. Mnoho z nich totiž považuje za dostatečné řešení nasazení softwarového nástroje z kategorie prevence ztráty dat. Navíc mají tyto firmy představu, že se jedná pouze o další software stejného typu jako je "antivir", tedy takový, který stačí koupit nasadit, nastavit a nechat být, aby pracoval. To je bohužel absolutně špatně a důvodů je několik. Je třeba si uvědomit, že prevence ztráty dat je především o stanovení a implementaci procesů a pravidel pro nakládání s citlivými daty a softwarový nástroj slouží pouze jako prostředek k realizaci těchto procesů. Nelze se ale domnívat, že ho organizace nasadí a posléze ponechá svému osudu a všechnu práci za ni nástroj udělá. Systémy pro prevenci ztráty dat patří mezi řešení, kterým je potřeba se neustále věnovat, vyhodnocovat výsledky jejich činnosti a přizpůsobovat tomu jejich nastavení. Krom toho musí organizace udělat obrovský kus práce ještě předtím, než vůbec samotný nástroj do své infrastruktury zapojí. Bez kvalitní přípravy celého projektu totiž není možné očekávat ani kvalitní výstupy. To si ale bohužel firmy většinou neuvědomují, ať už kvůli lehkomyslnému přístupu, nebo nedostatku zkušeností. Organizace netuší, podle čeho vybrat vhodný nástroj, nebo jakým oblastem by se měly věnovat. Chybí jasná koncepce a někdy i cíl implementace. Pokud si nestanovím dobře cíl, nemohu ho pak ani dosáhnout. Nemohu ho dosáhnout ani tehdy, pokud nevím, jak se k němu dostat. A pokud jdu špatnou cestou, je sice možné dostat se zdárně do cíle, ovšem za cenu patřičných obtíží. Cílem této práce je proto zaměřit se na téma prevence ztráty dat v organizacích, jakožto na jedno z témat, které aktuálně většina firem v oblasti informační bezpečnosti řeší, případně bude nucena v nejbližší budoucnosti začít řešit. Chtěl bych vytvořit multidimenzionální analýzu současného stavu problematiky prevence ztráty dat a to jak z pohledu společností (jejich velikosti a potřeb), tak z pohledu softwarových nástrojů (srovnání nástrojů, aktuální trendy, možnosti řešení problematiky prevence ztráty dat). Tato analýza nebude pouze na teoretické úrovni, ale bude zohledňovat také mé znalosti 10


získané z praxe se zaváděním nástrojů pro prevenci ztráty dat. Dalším cílem práce je vyřešit procesní otázky, které jsou s problematikou prevence ztráty dat spjaty, tedy definovat proces zavádění prevence ztráty dat a zahrnout do něj také řešení personálních a právních otázek ohledně chování zaměstnanců a ochrany jejich soukromí. Výsledkem mé práce bude vytvoření všestranné (ve smyslu použití ve všech typech firem a případech užití z pohledu jejich potřeb) koncepce zavedení procesů a nástrojů prevence ztráty dat, která bude respektovat všechny výše jmenované aspekty a zpracované informace. Mým záměrem je, aby pro organizace byla mnou vytvořená koncepce vstupním bodem pro definici strategie zavedení prevence ztráty dat.

11


1 Problematika prevence ztráty dat 1.1 Kontext prevence ztráty dat v celopodnikové bezpečnosti Digitální informace jsou všudypřítomné a lehce přenosné. V informační společnosti musíme chránit informaci, protože pro velké procento firem jsou právě informace nositelem přidané hodnoty. A pokud nejsou přímo nositelem, jsou alespoň nedílnou součástí procesu vytváření této hodnoty (například ve výrobních firmách to jsou různé výrobní postupy, nákresy, popisy konstrukčních prvků a podobně). Je tedy logické, že s rozvojem internetu bylo v celém historickém kontextu vývoje bezpečnostních řešení zapotřebí ochránit firemní síť před příchozími hrozbami. Z pohledu informační bezpečnosti si lze organizaci (respektive její infrastrukturu – hardware a software) představit jako pevnost. Jednotlivé prvky bezpečnosti pak představují v této analogii různé úrovně zabezpečení pevnosti – stráže, obranné zdi, střílny, obranný val, apod. Kolem roku 1995 začaly organizace zjišťovat, že propojení vnitřního IT prostředí s okolním světem s sebou přináší úskalí v podobě narůstajících bezpečnostních hrozeb. Prvním logickým krokem tedy bylo zavádění antivirových systémů. Antiviry lze chápat jako obránce uvnitř pevnosti. Pomáhají ochránit koncové stanice (PC, notebooky,...), ale jejich účinnost je omezená především na známé hrozby a obecné virové nákazy. Neřeší ani problematiku ochrany podnikové sítě jako celku. To začaly řešit až zhruba o dva roky později korporátní firewally. Nespornou výhodou korporátního firewallu je to, že se soustředí na celý perimetr podnikové sítě, funguje proto jako obranná zeď pevnosti. Nevýhodou je ale to, že občas se lidé uvnitř pevnosti potřebují dostat za tuto zeď, aby mohli vyřešit běžné záležitosti. Stejné je to ve firmách – zaměstnanci potřebují pro výkon svých pracovních povinností zpřístupnit některé specifické porty, aby jim požadované webové služby mohly fungovat. Správce sítě je nucen udělovat těmto zaměstnancům výjimky a z pevné zdi v podobě firewallu se tak postupně stává spíše děravý plot. [1] Kolem roku 1999 proto přišly na řadu personální firewally, které částečně vyřešily problémy korporátního firewallu. V analogii s pevností se jedná o osobní strážce chránící každého uvnitř pevnosti proti cíleným útokům. Personální firewall chrání před škodlivými kódy, viry, červy, kontroluje jednotlivé aplikace, přenášené pakety apod. Přístup firem ke komunikaci jednou provždy změnil nástup e-mailu jako hlavní platformy pro sdílení informací, delegování úkolů a organizaci času. Každý rozmach 12


technologie s sebou ale logicky přináší také její zneužití. V případě elektronické pošty se jedná o spam, jehož počet až do posledních let každoročně rapidně stoupal. Dalším posílením obranné zdi pevnosti – firmy – se proto kolem roku 2002 staly systémy pro filtraci pošty – antispamy. Díky postupnému zdokonalování antispamových řešení se podařilo docílit stavu, kdy procento spamu není exponenciálně rostoucí, naopak klesá a tato forma narušení bezpečnosti přestává být lukrativní. [13] Jak již bylo napsáno, korporátní firewally se staly děravými ploty a slabinou ochrany podnikové sítě, a to především kvůli otevírání různých portů a povolování protokolů. Dalším prvkem ochrany se proto okolo roku 2002 staly aplikační firewally, díky kterým je možné kontrolovat „velikost díry v plotu“. Identifikují a klasifikují aplikace, poskytují přehled o přístupu uživatelů k různým aplikacím a obsahu a také automatizují správné reakce na jakákoliv rizika. Díky tomu poskytují přehled o aktivitách v síti. Obranná zeď tak získala v pomyslné pevnosti znovu svoji ochrannou funkci. Dalším krokem na poli informační bezpečnosti byla potřeba organizací umět v síťové komunikaci zjistit, kdo je útočník a kdo je regulérní uživatel. Tuto analýzu umožnili zhruba v roce 2005 IDS a IPS sondy, které ve firemní pevnosti působí jako vysunuté střílny. IDS sonda sleduje datové toky a hledá v nich pokusy o útok na konkrétní aplikace. Následně prostřednictvím upozornění a statistik poskytuje informace o útocích. IPS sonda doplňuje IDS v tom, že pokusy o útok nejen detekuje, ale zároveň je schopna dle nastavených pravidel aktivně zareagovat a útoku zabránit. Posilou obranné zdi pevnosti se okolo roku 2007 stala i kontrola (autentizace) přístupu. Funguje jako vstupní brána, která inteligentně rozpozná, kdo se snaží do podnikové sítě přistoupit a pomáhá tak odhalit „černé pasažéry“ síťového provozu. Kontrola přístupu je v dnešní době prosazování jako více-faktorová, ověření tedy probíhá na několika souběžných úrovních – například kontrola heslem je doplněna o kontrolu pomocí tokenu, nebo biometrických údajů, apod. [1] Jako další prvek bezpečnosti se začaly kolem roku 2008 prosazovat Security Information and Event Management (SIEM) systémy. Nástroje tohoto typu umožňují řízení bezpečnostních informací a událostí v celé síti. Všechny výše vyjmenované bezpečnostní systémy a prvky produkují řadu informací (ať už ve formě logů, upozornění, nebo doporučení), jejichž množství v průměrné organizaci dosahuje denně objemu v řádech několika gigabajtů a které mohou bezpečnostnímu manažerovi lehce přerůst přes hlavu. Pro udržení přehledu o dění v celé podnikové infrastruktuře je třeba 13


informace agregovat na jednom místě a právě to je práce systému SIEM, který tato data sdružuje, propojuje a koreluje a umožňuje tak vyhodnotit všechny informace ve vzájemných souvislostech. Dokáže odhalit sofistikované hrozby a komplexní útok na „pevnost“ a zároveň mít souvislý „high-level“ přehled o dění v infrastruktuře. Dalším prvkem bezpečnosti se okolo roku 2009 stal URL filtering. Ten slouží k blokování přístupu uživatelů na konkrétní webové aplikace a k zabránění používání některých protokolů nebo služeb (v dnešní době typicky například sociální sítě jako Facebook, Twitter, nebo služby typu Skype, ICQ, a jiné). Pro naši pevnost je tak spíše vnitřní ochranou, bránící otevření „brány“ zevnitř. Posledním trendem začaly v letech 2010 a 2011 být cloudové technologie. Jejich využití je výhodné pro organizace, které nemají dostatek serverových kapacit pro pokrytí všech potřebných služeb, nebo pro menší firmy, u kterých je využívání služeb v cloudu ekonomicky výhodnější než vlastní pořízení dané technologie.

Obrázek 1: Prevence ztráty dat jako další krok informační bezpečnosti, zdroj: autor

Ohlédněme se nyní na provedený výčet a podívejme se nyní na všechny technologie. Antivir, korporátní firewall, personální firewall, antispam, aplikační firewall, IDS a IPS sondy, kontrola přístupu, SIEM a URL filtering. Firmy chrání infrastrukturu, chrání koncové stanice, chrání se před příchozími hrozbami. Ani jedna ze zmíněných technologií ale nechrání data firmy proti jejich odcizení nebo ztrátě. Ochrana firemních dat před únikem směrem ven je velmi často, a neprávem, opomíjena a prevence ztráty dat je proto dalším logickým krokem na poli informační bezpečnosti, který tento problém komplexním způsobem řeší.

14


1.2 Co je prevence ztráty dat? Zkratkou pro prevenci ztráty dat je DLP. Tato zkratka vychází z anglického pojmenování problematiky – Data Loss Prevention. Nicméně DLP můžeme vyjádřit také dalšími třemi způsoby: •

Data Loss Protection – Ochrana před ztrátou dat

•

Data Leakage Prevention – Prevence úniku dat

•

Data Leakage Protection – Ochrana před únikem dat

Čtyři pojmenování, všechna jsou však synonymem pro jednu konkrétní oblast. Cílem DLP je zabránit ztrátě, odcizení, nebo nechtěnému úniku citlivých dat z firemního prostředí směrem ven. To je důležité mít na paměti, i když bude v této práci používáno více různých pojmenování, případně zkratka DLP. Pro jednoznačné pochopení problematiky je v tomto místě práce vhodné definovat si také další základní pojmy, které jsou v práci použity: •

Organizace – ve smyslu hospodářské organizace je otevřený systém, formálně vnitřně diferencovaný a hierarchicky uspořádaný. Tvoří ho lidské a věcné prvky a vykonává určitou hospodářskou činnost. Vzniká a existuje v rámci okolí. [19]

•

Citlivá data – jedná se o taková data, informace, údaje nebo dokumenty, které jsou vlastnictvím společnosti nebo jejích klientů, jsou důvěrného charakteru (tzn. neměly by se dostat mimo rámec organizace a jejích partnerů či zákazníků) a mají pro organizaci nebo její klienty vysokou hodnotu. Tato hodnota citlivých dat je přímo či nepřímo vyčíslitelná – patenty, konkurenční výhoda, údaje o klientech, apod. Hodnota může být snížena působením hrozby (zde ztráty dat). [4], [12]

•

Ztráta dat – situace, kdy citlivá data opouští hranice organizace a dostávají se mimo kontrolu této organizace. Způsoby, jakými může tato situace nastat a důsledky, které ztráta dat přináší, jsou popsány dále v textu této práce. Ztráta dat je z pohledu řízení rizik hrozbou, tedy náhodně nebo úmyslně vyvolanou akcí či událostí, která má nebo může mít negativní dopad na jednotlivce nebo organizaci. [12]

•

Incident – proces realizace hrozby. Indicent má svůj životní cyklus, který se skládá z prevence, vzniku incidentu (případně vzniku škody), detekce incidentu a nápravy (korekce) incidentu. [12]

15


Prevence ztráty dat je sada procesů a pravidel. Ty ve firmě definují, jak je možné a nutné s citlivými daty ve firmě nakládat. Implementace procesů zajistí, že zaměstnanci budou vědět, které operace mohou s citlivými daty provádět, jaké postupy práce s daty jsou správné a kde všude mohou mít citlivá data uložená. Systémy pro prevenci úniku dat představují technické nástroje, které slouží jako prostředek k realizaci těchto procesů. Pomáhají pokrýt dva základní problémy, se kterými se každá firma, která chce ochránit svá citlivá data, musí vyřešit – detekovat výskyt citlivých informací a vynucovat pravidla pro manipulaci s nimi. [5] Prevence ztráty dat je velmi aktuální oblast a probírané téma. Zároveň je to oblast nová a pro trh firem o to více atraktivní. Hodně firem proto o zavedení DLP uvažuje, nicméně jen málo z nich ví, co přesně problematika DLP obnáší, kde začít a jak se připravit. I proto je většina firem spíše ve fázi rozhodování a „okoukávání“ konkurence – nikdo nechce být tím prvním, kdo s implementací začne, právě kvůli tomu, že si neumí představit, jak velkého rozsahu projekt zavedení prevence ztráty dat bude. Cílem prevence ztráty dat je definovat, co jsou pro firmu citlivá data, zjistit kde taková data jsou, nastavit pravidla pro práci s nimi a tato pravidla vynucovat. Jde o obdobný typ projektů jako BPM (Business Process Management) = základem je nástroj, ale nejdůležitější je implementace procesů. DLP podobně jako BPM hodně mění chování a chod celé firmy. [7] Prevence ztráty dat je určena zejména (ale nejen) pro větší firmy, které nějakým způsobem pracují s citlivými daty a jejich únik by pro ně znamenal velký problém. Typicky se jedná o banky, pojišťovny, inovativní průmyslové firmy (např. únik fotografií auta před oficiálním představením...), velké obchodní řetězce (záznamy o kreditních kartách, databáze zákazníků...) a výrobní podniky. Obecně se však se ztrátou důležitých a hlavně citlivých údajů může potýkat jakkoliv velká organizace, jelikož každá organizace pracuje s citlivými daty, ať již svými, nebo svých zákazníků a musí mít proto zajištěnou bezpečnost těchto dat.

1.3 Úniky dat Krádež notebooku, ztráta USB flash disku, špatně nastavený přístup k síťovým složkám a důvěrná data odesílaná e-mailem – to jsou jen některé z nejčastějších příčin ztráty nebo odcizení citlivých dat. Největším rizikem bývají ve většině případů sami zaměstnanci. Kromě krádeže či ztráty firemního hardwaru mohou zaměstnanci

16


informace nechtěně nebo i záměrně vynášet – nahráním na internetové úložiště, pomocí e-mailu, flash disků, CD, DVD nebo prostě tím, že si je vytisknou. Únik firemních dat může nastat v jednom ze dvou případů (viz definice incidentu): •

Cílený únik dat

•

Náhodný únik dat

Cílený i náhodný únik dat hrozí v případě těch zaměstnanců, kteří mají přístup k citlivým údajům, znají jejich hodnotu a mohou s nimi volně nakládat, například si je odnést zkopírovaná na USB flash disku. V případě cílených úniků se zpravidla jedná o krádež dat, jejíž motivace může být různá – pomsta zaměstnance, snaha obohatit se na úkor společnosti, nebo zneužití dat v rámci konkurenčního boje. Cest, jak lze citlivá firemní data ukrást, je velké množství. Nejjednodušším způsobem je odeslání souboru s informacemi pomocí e-mailu, a to jak firemního, tak soukromého. Dalšími nejčastěji zneužívanými možnostmi je zkopírování dat na USB flash disk, případně prosté vytištění dokumentu. Trochu jiná situace nastává v případě náhodného úniku dat. Tyto úniky jsou způsobené zpravidla lidskou chybou a nechtěným jednání zaměstnanců. Mezi nejčastější případy patří ztráta fyzických zařízení – přenosných počítačů, USB flash disků, apod. – na kterých se nachází citlivá data v různé podobě. Zde opět funguje analogie s výše popisovanou představou organizace jako pevnosti. Když uživatelé vyrazí ven s notebookem, USB flash diskem nebo třeba smartphonem, vyjdou „ven z pevnosti“. Systémy pro prevenci ztráty dat pak představují brnění, které zajistí kontrolu nad prací s daty a ochranu těchto dat i když je uživatel „off-line“ z firemní sítě. Zaměstnanci si citlivá data kopírují na své počítače a flash disky zpravidla proto, že je potřebují ke své práci. Mnohdy ani netuší, že se jedná o citlivá data, jelikož neznají informační kontext těchto dat. To souvisí se dvěma problémy citlivých dat, respektive informací, a sice že každá organizace má jiná citlivá data a pro každého zaměstnance konkrétní společnosti se liší pojetí toho, co jsou citlivá data. První z těchto dvou problémů je jasný – každá organizace má těžiště svého podnikání v jiné oblasti a proto se liší i definice toho, co jsou citlivá data. Například pro pivovar je to seznam restaurací s informací o tom, kolik litrů piva daná restaurace vytočí. Pro pojišťovny jsou klíčovými daty kmeny pojistitelů, kde nejčastější riziko je to, že si propuštěný pojišťovací agent odnese „svůj“ kmen pojistitelů s sebou. Pro vývojářskou firmu jsou

17


pak citlivými daty jednoznačně zdrojové kódy vyvíjeného softwaru. Obecně se dá říci, že citlivá data jsou jakékoliv personální údaje. [4] Druhý problém ohledně definice citlivých dat je však složitější – je jím chápání citlivých dat jednotlivými zaměstnanci ve společnosti. Každý zaměstnanec, počínaje sekretářkou, přes účetní, manažera, právníka, vývojáře, obchodníka až po samotného majitele firmy, pracuje s citlivými daty. Prací zde chápeme přístup k datům, tisk, odesílání klasickou nebo elektronickou poštou, kopírování dat například na USB disk nebo notebook, nebo zpřístupňování těchto dat na Internet. Co se však liší je osobní interpretace, neboli pojetí toho, co jsou pro konkrétní osobu citlivá data. Pro majitele jsou citlivá data finanční údaje, protože zdrojovým kódům nerozumí. Pro vývojáře jsou citlivá data právě zdrojové kódy, ale již ne smlouvy, které jsou z jeho pohledu nedůležité nebo kterým on nerozumí. Rozumí jim naopak firemní právník, který se ale neorientuje v účetních datech. A takto by bylo možné pokračovat. Závěr, který z toho vyplývá, je jednoznačný – lidé si neuvědomují důležitost všech citlivých dat organizace. Nelze se proto spoléhat na osobní odpovědnost zaměstnanců, protože ti mnohdy ani nevědí, že pracují s citlivými daty, a podle toho se k nim také chovají – vystaví je na internet, posílají je poštou, nebo je nezašifrované umisťují na USB flash disky. [4] Výše popsané skutečnosti podporuje studie společnosti Symantec, ze které vyplývají zajímavá data. Například 48% zaměstnanců připouští variantu, že by si při odchodu vzalo důvěrné firemní informace s sebou. 79% zaměstnanců opouští pracoviště s důvěrnými informacemi na USB, notebooku nebo smartphonu. Téměř polovina firem již někdy zaznamenala ztrátu notebooku a naprostá většina považuje za větší nebezpečí ztrátu důvěrných dat než ztrátu samotného zařízení. 64% zaměstnanců pak odesílá firemní soubory na soukromé maily, přičemž většina z těch, kteří takto činí, to obhajuje tím, že k dokumentům chce mít přístup z domova. Ať už se jedná o cílený únik dat, nebo náhodný incident způsobený neopatrnými zaměstnanci, výsledek je vždy stejný – organizace přijde o cenná data, svá, nebo svých klientů. Pokud přijde o svá data, je situace o něco lepší, než pokud přijde o data svých klientů, neboť v takovém případě musí únik dat všem svým klientům ohlásit, v případě akciové společnosti o tom musí také informovat všechny své akcionáře. Dopady v případě ztráty dat mohou být pro organizaci často fatální, neboť kromě vysokých nákladů spojených s nezbytnými opatřeními utrpí největší škodu dobré jméno společnosti a kredibilita mezi klienty. 18


Nejčastější činnosti, které musí organizace podniknout, a náklady, které jsou s těmito činnostmi spjaty, jsou: •

Upozornění zákazníků

•

Oznámení policii

•

Nápravná opatření (technologického a finančního rozsahu)

•

Platby za vyšetřování

•

Platy za audit bezpečnosti

•

Poškození jména, ztráta důvěry

•

Dopad na cenu akcií

•

Snížení příjmů

•

Monitorování a náprava kredibility / pověsti

Příklady toho, že úniky dat nejsou pouze hrozbou, ale jsou smutnou realitou, lze nalézt i v České a Slovenské Republice: •

Slovenská armáda ztratila USB flash disk s citlivými vojenskými dokumenty – manuály, zprávy z cvičení a další materiály. Jednalo se přitom již o třetí případ ztráty USB disku slovenskou armádou. [14]

•

Ministerstvu školství unikl na web seznam dotovaných romských středoškoláků. Seznam obsahoval citlivé údaje jako například jméno, datum narození, bydliště, apod. Data byla zobrazena jako příspěvek na webu ministerstva, který si mohl kdokoliv přečíst. [15]

•

Pojišťovně Uniqua unikla citlivá data jejích klientů. Na internetu byl volně ke stažení soubor s čísly cestovních smluv, rodnými čísly a jmény několika tisíců pojištěnců. Ve spojení s vyhledávačem smluv, který má pojišťovna na svém webu a kde lze hledat smlouvy podle jejich identifikace a rodného čísla, si tak každý mohl dohledat, kdy se konkrétní klient pojistil, na jak dlouho, kolik zaplatil a kam cestoval. [16]

1.4 Rizika ztráty dat a způsoby jejich pokrytí různými nástroji Nejčastější bezpečnostní rizika spojená s citlivými daty se mohou v dnešní době týkat především následujících oblastí: •

USB flash disky / přenosné disky

•

E-mail

•

Internet 19


•

Přenosné počítače

•

Mobilní zařízení

•

Síťová úložiště

•

Tiskárny, faxy

Obrázek 2: Rizika ztráty dat v organizaci, zdroj: autor

Přístupy k řešení konkrétních problémů jsou vždy trojího druhu: •

První možností je zakázat veškeré činnosti spojené s příslušným rizikem, tedy zabezpečit systém tak, aby byla možnost vzniku rizika nulová. Výhodou je jednoznačná účinnost takového řešení, která je však vykoupena radikálním omezením činnosti a pohodlí zaměstnanců.

•

Druhou možností je povolit všechny činnosti, které se ke konkrétní oblasti vážou (zaměstnaci mohou neomezeně posílat soubory přes e-mail, nahrávat si data na USB disky, sdílet dokumenty a podobně). Důvod je jasný – co nejméně omezovat zaměstnance v jejich pracovní činnosti a poskytnout jim dostatečné pracovní pohodlí a soukromí. Bohužel však zároveň ponecháváme citlivá data napospas uživatelům.

•

První dvě možnosti leží na opačných koncích spektra možných řešení a představují extrémní varianty přístupu k zabezpečení citlivých dat. Ideální je proto snažit se vyvážit přístup k rizikům tak, abychom vybrali co nejúčinnější metodu a zároveň co nejméně omezovali zaměstnance v organizaci.

V následujícím textu jsou výše jmenované přístupy rozebrány podrobně – jaká konkrétní bezpečnostní rizika přináší a jakým způsobem je lze v rámci organizace řešit (z pohledu tří popsaných přístupů). 20


1.4.1 USB Nejčastější rizika spojená s USB flash disky a USB přenosnými disky (externími disky) jsou následující: •

Ztráta disku s citlivými daty

•

Krádež disku s citlivými daty

•

Užití disku ke krádeži citlivých dat

Způsoby, jak data před těmito riziky chránit, uvádí následující tabulka. Způsob ochrany

Účinnost

Přívětivost

Bezpečnostní řešení

Zablokování přístupu k USB

Antivir

Povolení přístupu pouze vybraným uživatelům

Antivir

Povolení přístupu pouze vybraným USB zařízením

Antivir

Zakázání kopírování určitého obsahu podle jména souboru

Antivir

Zákaz kopírování pouze citlivého obsahu

DLP

Šifrování obsahu

DLP + šifrování

Vysvětlivky:

- vysoká;

- střední;

- nízká

1.4.2 E-mail Nejčastější rizika spojená s e-mailem jsou následující: •

Odeslání dat nesprávnému příjemci

•

Odeslání nepatřičných dat

•

Zneužití e-mailu ke krádeži dat

•

Zneužití dat obsažených v e-mailu cestou k příjemci


Účinnost

Přívětivost


Zablokování přístupu k e-mailu

---


---

Povolení odesílání pouze na vybrané adresy

Mailfilter

Zákaz odesílání příloh podle jména souboru

Mailfilter

21


Zákaz odesílání citlivého obsahu, resp. jeho povolení pouze na vybrané příjemce

DLP

Šifrování obsahu e-mailu

DLP + šifrování

1.4.3 Internet Nejčastější rizika spojená s použitím internetu jsou následující: •

Publikování dat na internetu (facebook, freemaily, internetová úložiště – Dropbox, Rajče, Ulož.to,...)

•

Odeslání dat nesprávnému příjemci na freemail (zpravidla soukromý e-mailový účet, zřizovaný zdarma u některého z poskytovatelů – Seznam, GMail, Email, Volný, Hotmail,...)

•

Odeslání nepatřičných dat na freemail

•

Zneužití internetu ke krádeži dat

•

Zneužití dat obsažených v HTTP POST (dotazovací metoda HTTP protokolu, která slouží k přenosu dat mezi serverem a klientem)


Účinnost

Přívětivost


Zablokování přístupu k internetu

Antivir


Antivir

Povolení přístupu pouze na vybrané adresy, protokoly Zákaz přístupu na potenciálně nebezpečné adresy, protokoly Zákaz odesílání citlivého obsahu, resp. jeho povolení pouze na vybraných adresách

Webová gateway Webová gateway DLP

1.4.4 Přenosné počítače Nejčastější rizika spojená s přenosnými počítači (notebooky, netbooky, ultrabooky, tablet PC,...) jsou následující: •

Ztráta přenosného počítače

•

Krádež přenosného počítače

•

Použití přenosného počítače pro krádež dat

•

Ohrožení hromadně šířeným škodlivým kódem (viry, malware,...) 22


•

Ohrožení cíleným škodlivým kódem (vedený útok)


Účinnost

Přívětivost


Omezení práv uživatele

Řízení práv

Omezení aplikací na přenosném počítači

Antivir

Ochrana před škodlivými kódy

Antivir

Zákaz práce s citlivými daty

---

Šifrování disku

Šifrování

Vynucení chování dle pravidel

DLP

1.4.5 Mobilní zařízení Nejčastější rizika spojená s použitím mobilních zařízení (chytré telefony, tablety,...) v organizaci jsou následující: •

Ztráta mobilního zařízení

•

Krádež mobilního zařízení

•

Použití mobilního zařízení pro krádež dat

Způsoby, jak data před těmito riziky chránit, uvádí následující tabulka. Způsob ochrany Zablokování přístupu mobilních zařízení k citlivým datům Povolení přístupu pouze vybraným uživatelům

Účinnost

Přívětivost

Bezpečnostní řešení Správa mobilních zař. Správa mobilních zař.


---

Šifrování obsahu

Šifrování

Umožnit práci s citlivými daty a zajistit ochranu – viz internet, e-mail

DLP

1.4.6 Síťová úložiště Nejčastější rizika spojená se síťovými úložišti (file servery) jsou následující: •

Neoprávněný přístup k síťovým složkám 23


•

Krádež (kopírování) dat ze síťového úložiště

•

Mazání dat a jiné záměrné i nechtěné poškozování složek na síťovém úložišti


Účinnost

Přívětivost


Zablokování přístupu k síťovým úložištím

---


---

Logování práce se soubory

---

Zakázání kopírování určitého obsahu podle jména souboru

---

Zákaz kopírování pouze citlivého obsahu

DLP

1.4.7 Tiskárny, faxy Nejčastější rizika spojená s možností tisku nebo faxování dokumentů v organizaci jsou následující: •

Tisk citlivých dokumentů

•

Faxování citlivých dokumentů

•

Zneužití tiskárny/faxu k soukromým účelům

Způsoby, jak data a dokumenty před těmito riziky chránit, uvádí následující tabulka. Způsob ochrany

Účinnost

Přívětivost


Zablokování přístupu k tiskárnám a faxům

---


---


---

Vynucení práce (tisku, faxování) s citlivými daty

DLP

1.5 Řešení úniku dat pomocí DLP nástroje Nejefektivnější řešení úniků dat nabízí nástroje kategorie DLP. Lze zakázat kopírování citlivých dat do schránky (clipboardu), takže uživateli pak nejde při práci s citlivými daty použít obligátní „CTRL+C“ a „CTRL+V“. Stejně tak lze zakázat pořizování snímků (printscreenů) obrazovky. V případě kopírování excelu s čísly 24


bankovních účtů na flash disk lze uživateli zobrazit dialogové okno, ve kterém bude zobrazena například zpráva ve znění: „Právě se snažíte zkopírovat citlivá data, což je zakázáno dle vnitřního předpisu“ a následně může být kopírování těchto dat přerušeno. Může ale klidně být povoleno, ovšem uživatel musí napsat, proč tak dělá (uvede, že mu to povolil nadřízený, což je následně automatickým workflow, nebo pověřeným administrátorem prověřeno). V případě například tisku dokumentů s citlivými daty (smlouvy, databáze údajů) lze tisk jednoduše opět zakázat, nebo omezit. Pokud je nežádoucí, aby uživatel uchovával data na notebooku, protože by tento notebook mohl ztratit, lze při pravidelných skenech koncových stanic hledat citlivá data. Pokud jsou jakákoliv taková data na disku, kde nemají co dělat, nalezena, například výpis rodných čísel ve výše zmíněném excelu, mohou být z tohoto excelovského souboru smazána. V souboru zůstane pouze informace o tom, že obsahoval citlivé údaje a proto byl smazán a pokud chce uživatel tato data zpět, musí kontaktovat administrátora. Jak lze vidět, lze omezit prakticky jakoukoliv práci – kopírování, tisk, uchovávání dat, posílání emailů a další. Stejně tak lze k opatřením přistupovat v několika stupních upozorňovat, zamezovat, mazat apod. Podrobné možnosti a vlastnosti softwarových nástrojů z kategorie DLP popisuje druhá část práce (Softwarové nástroje).

1.6 Současný stav v organizacích Pokud na oblast prevence ztráty dat budeme nahlížet z pohledu samotných organizací, je důležité rozdělit tento pohled podle velikosti organizací. Prevence ztráty dat je totiž z pohledu zajištění bezpečnosti informací velice komplexní oblast, která klade vysoké nároky jak na zralost procesů (nejen těch bezpečnostních), tak na firemní zdroje – finanční i personální. Organizace proto přistupují k řešení prevence ztráty dat právě podle kapacity těchto svých zdrojů a podle zralosti jednotlivých svých procesů. Nařízení komise Evropské Unie č. 364 z roku 2004 vymezuje organizace následovně: [11] •

Mikro/drobný podnik – s počtem zaměstnanců menším než 10

•

Malý podnik – s počtem zaměstnancům menším než 50

•

Střední podnik – s počtem zaměstnancům menším než 250

Z pohledu procesů, především těch, které souvisí se sdílením a zabezpečením informací lze toto rozdělení s drobnými odchylkami respektovat a vycházet z něj. V následujících podkapitolách je popisován aktuální stav problematiky DLP 25


v jednotlivých typech organizací. Není popisován stav žádoucí, to je předmětem třetí části této práce. 1.6.1 Drobné organizace Jelikož v České Republice existuje velké množství společností, které mají do deseti až patnácti zaměstnanců, je dobré se o takto malých organizacích v této práci také zmínit. Model fungování takových organizací je zpravidla stejný, jedná se o takzvané „garážové“ firmy, jejichž organizační struktura je liniová a silně horizontální (majitel a jeho podřízení). Velikost organizace a typ organizační struktury hraje v tomto případě pro prevenci ztráty dat velkou roli. V praxi se totiž tyto dva parametry projevují takzvanou „rodinnou atmosférou“ organizace, kdy mezi zaměstnavatelem a zaměstnanci a také mezi zaměstnanci vzájemně převažují velmi osobní vazby. Loajalita pracovníků vůči organizaci je proto na vysoké úrovni a riziko úniku dat se naopak pohybuje ve velmi nízkých mezích. [10] Hlavním problémem tohoto typu organizací tak není nebezpečí úmyslného úniku dat, ale především riziko úniku dat z nedbalosti. Právě kvůli vstřícné atmosféře uvnitř firmy a relativně volnému pracovnímu prostředí nejsou zaměstnanci nuceni dodržovat tak přísná bezpečnostní pravidla jako ve velkých korporacích, kde je jasně definovaný postih za případnou škodu způsobenou únikem citlivých dat. Z velikosti organizace naopak vyplývá problém sdílení dat, kdy vzhledem k rozdělení pracovní náplně a zátěže pracují mnohdy všichni zaměstnanci se všemi daty. Takto nejasně stanovené vlastnictví dat a odpovědnost za tato data způsobují, že zaměstnanci mají tendenci s citlivými daty nakládat volně, až nezodpovědně, neboť v mnoha případech neznají jejich hodnotu a význam, tedy jednoduše neví, že se jedná o data citlivá. Ačkoliv organizace tohoto rozsahu mají tendence tvrdit, že jsou schopny si data „ohlídat“, riziko ztráty dat z nedbalosti či dokonce dobrého úmyslu je v takto nastaveném prostředí velmi vysoké, protože organizace nemá nad daty dohled a to jak procesní, tak ani personální. Prevence ztráty dat není u tohoto typu organizací proto prakticky nijak zavedena. Zaměstnanci mohou jednoduše přistupovat k datům, která jsou buď volně přístupná na sdíleném úložišti, v horším případě jsou držena v několika kopiích na různých pracovních stanicích. Tato data lze volně kopírovat na USB zařízení, zasílat e-mailem, nahrávat na internet či jinak distribuovat a pracovat s nimi. Řešení, jak v takovém případě zabránit úniku dat je několik, jsou popsána v třetí části této práce.

26


Samozřejmě nelze ani vyloučit riziko úmyslného odcizení dat, jak bylo popsáno výše, možností, jak toho dosáhnout je hodně. Bohužel pro takto malé organizace není možné toto riziko komplexně a efektivně pokrýt za přijatelné finanční náklady. Řešení se proto pohybuje spíše na personální úrovni. 1.6.2 Malé organizace Pro potřeby kategorizace v rámci prevence ztráty dat můžeme navýšit počet zaměstnanců a do této kategorie tak v České Republice řadit společnosti čítající cca 15 až 100 zaměstnanců. Charakteristika těchto společností je podobná jako u výše popsaných drobných organizací – lineární organizační struktura, povětšinou horizontálního typu. Řádově několikanásobně větší počet zaměstnanců s sebou ale již přináší rostoucí anonymizaci vztahu zaměstnavatel-zaměstnanec. Loajalita pracovníka v takovém prostředí proto ztrácí jasné rysy a společně s tím se zvyšuje riziko záměrného odcizení citlivých dat. [10] Vyšší počet zaměstnanců nutí organizace přemýšlet nad definicí bezpečnostní politiky pro nakládání s citlivými daty společnosti, což se projevuje konkrétními právními úpravami především v pracovní smlouvě, někdy také formulací různých směrnic (pro používání výměnných zařízení, pro tisk dokumentů a podobně). Společnosti cítí potřebu podpořit tuto legislativní stránku také technologickým řešením. Nejjednodušší a nejčastější je proto řízení přístupu na USB flash disky, nastavování uživatelských práv pro přístup ke sdíleným úložištím, blokování přístupu k vybraným internetovým službám, apod. Riziko ztráty dat hrozí jak z nedbalosti, tak i z úmyslu. Nedbalost je opět způsobena klasickými faktory, tzn. tím, že zaměstnanci mají přístup k citlivým datům, minimálně těm, se kterými oni sami pracují, a s těmito daty jsou zvyklí nějakým způsobem nakládat. Úmysl je způsoben poměrně solidní „rouškou anonymity“, kterou větší prostředí organizace, které není tak dobře zabezpečené, poskytuje. Nutno podotknout, že riziko ztráty dat u malých organizací je téměř nejmenší, protože organizace mají potřebu toto téma řešit alespoň na základní úrovni a jsou proto nejčastější rizika schopny relativně efektivně pokrýt. Je to ale vykoupeno snížením pohodlí dotčených zaměstnanců organizace, protože přívětivost jednodušších bezpečnostních řešení dosahuje velmi malé úrovně (viz předchozí kapitola Rizika ztráty a způsoby jejich pokrytí různými nástroji). Navíc zde více než například u středně velkých nebo velkých organizací platí, že kdo chce data ukrást, cestu si vždy najde. 27


1.6.3 Středně velké organizace Do středně velkých organizací řadíme podniky s počtem zaměstnanců menším než 250. Pro takto velké organizace je již typická větší složitost organizační struktury, které se od liniové přesouvá spíše k liniově štábní. Důvodem je specializace a strukturalizace v rámci organizace. Dochází k rozrůstání organizační struktury do vertikálního směru a struktura tak dostává více stupňů řízení. [11] V takto nastaveném prostředí se již plně projevuje velikost organizace a způsob komunikace vyplývající právě z komplexní organizační struktury. Výsledkem je anonymizace jednotlivce a nutnost důsledného řízení práce s daty. Organizace proto mají definované směrnice, které stanovují, jak mohou zaměstnanci nakládat s firemními daty. Častým problémem je vágnost definice těchto směrnic, která se zpravidla omezuje na odlišení krádeže dat od ostatních způsobů práce s daty. Neřeší však problémy nesprávného zacházení s daty, které vede k neúmyslným únikům dat. [1] Dalším znakem tohoto typu organizací je velký počet zaměstnanců, kteří pracují s informačními technologiemi a komplexnost IT infrastruktury. Ve společnosti se obvykle nachází více různých serverů pro práci s daty (file servery, Exchange servery, databázové servery, apod.) a je také typická různorodost koncových zařízení (kromě PC jsou to typicky notebooky a v dnešní době také rostoucí počet mobilních zařízení). Tyto prvky kladou zvýšené nároky na aplikační podporu celého procesu prevence ztráty dat. Organizace proto využívají především zabezpečení na úrovni antiviru, které je nejjednodušší z pohledu nasazení – antivir je součástí instalace každého koncového zařízení. Funkce antiviru však nabízí pouze základní možnosti zajištění proti úniku dat, nejčastěji je to blokování USB flash disků. Ty lze blokovat buď úplně, nebo pouze zamezit zápisu dat podle jména souboru. Oba dva způsoby jsou ale nejen nedostatečné a snadno překonatelné, ale také omezují práci uživatelů a tím přináší častěji více škody, nežli užitku. Zaměstnanci mají tendence si stěžovat na takovýto způsob omezování práce s daty, což vede buď k vypnutí funkcionality u vybraných zaměstnanců, nebo záměrnému obcházení tohoto řešení jinými cestami (posílání souborů e-mailem, nahrávání na internet, vypalování na CD a podobně). V obou případech ochrana proti úniku dat získává trhliny, nehledě na fakt, že IT bezpečnost je v očích zaměstnanců „vnitřní nepřítel“, který omezuje jejich každodenní činnost. Dalším způsobem, jak se středně velké organizace brání úniku dat, je na úrovni antispamu. Nejtypičtějším případem je nastavení pravidel pro odchozí poštu v podobě 28


omezení možné velikosti odesílaného souboru a zákazu odesílání souborů s konkrétním pojmenováním nebo typem souboru. Kromě zamezení odesílání přesně definovaných nebo nadměrně velkých souborů, potenciálně obsahujících citlivá data, je motivací k tomuto kroku také záměr ulehčit mailserveru od nadměrného zasílání příliš velkých souborů. Bohužel, úspěšnost tohoto způsobu řešení je opět minimální ve srovnání s náklady na jeho pořízení a správu. Řešení různých problémů a incidentů, které se v souvislosti s elektronickou poštou vyskytují, vede uživatele k obcházení nastavených pravidel (změna jmen souborů, nahrávání velkých souborů na internetová úložiště) a administrátory k přidělování výjimek vybraným uživatelům. Výsledkem je děravost řešení, které jsou si všichni vědomi. Třetí oblastí, kterou organizace řeší je práce s daty na síťových úložištích. Zde je ochrana zajištěna formou nastavení přístupových práv podle organizační struktury. V případě využití adresářových služeb typu LDAP (nejčastěji Active Directory), je situace usnadněna určitou mírou automatizace. Problémem však zůstává odpovědnost jednotlivých uživatelů, kteří v rámci svých práv a rolí mají k citlivým datům přístup a ať už cílenou, nebo nevědomou činností mohou zapříčinit únik dat. 1.6.4 Velké organizace Mezi velké organizace řadíme podniky s více jak 250 zaměstnanci. V praxi je situace taková, že počet koncových stanic málokdy přesáhne 750, neboť se zpravidla jedná o výrobní či jiné průmyslové podniky, kde většina zaměstnanců představuje hrubou pracovní sílu. Z pohledu informační bezpečnosti je proto situace velmi obdobná jako u středně velkých firem, pouze s menšími odchylkami. Rozdílem je především větší roztříštěnost celého IT prostředí, které může být rozděleno do různých divizí, často rozdílně geograficky rozmístěných. Tato vlastnost velkých organizací klade vyšší nároky na správu a přehled o IT infrastruktuře a firemních datech. Organizace se proto potýkají s problémem efektivní centralizace bezpečnosti z pohledu jejího řízení a z pohledu přehledu o rozmístění a pohybu dat. Nicméně způsoby zabezpečení jsou velmi podobné jako ty, které byly popsány u středně velkých organizací, liší se pouze větší striktností jejich dodržování, která vyplývá z pevně stanovených korporátních pravidel a velmi vysoké anonymizace jednotlivce (ve smyslu minimálních možností udělování individuálních výjimek).

29


2 Softwarové nástroje 2.1 Charakteristika DLP nástrojů 2.1.1 Princip DLP řešení V této kapitole je popsán princip fungování DLP nástrojů, tedy proces podpory firemních pravidel konkrétními softwarovými řešeními. Instalace a zapojení Prvním krokem je instalace a zapojení samotného DLP systému. Nejprve je třeba vybrat, které oblasti má systém pokrýt. DLP systém dokáže monitorovat: •

Pohyb dat po síti – šifrovaná a nešifrovaná komunikace. Tento modul pokrývá SMTP e-mail, exchange, webmail (například GMail, Seznam, apod.), instant messaging (ICQ, MSN, Skype) a protokoly FTP, HTTP, HTTPS, TCP/IP.

•

Výskyt dat na síťových úložištích – Modul vyhledává sdílených úložištích, serverech (Windows, Unix, NAS / SAN) dokumentových serverech (SharePoint, Documentum, CMS) a v databázích (SQL, Oracle, Access).

•

Data na koncových bodech – Sleduje výskyt a použití dat na koncových bodech (PC, notebooky, smartphony). Použitím se rozumí ukládání a kopírování dat, jejich přenos (na USB flash disk, CD, DVD), tisk nebo fax.

Obrázek 3: Oblasti, které dokáže prevence ztráty dat pokrýt, zdroj: autor

Podle toho, které z těchto oblastí chceme DLP nástrojem podpořit, jsou zapojeny odpovídají moduly. Detaily architektury (topologie) a technického řešení jsou popsány v další kapitole. Definice citlivých dat Po instalaci nástroje je možné přistoupit k jeho konfiguraci. V případě DLP se jedná o definici

pravidel,

podle

kterých

lze

rozpoznávat

citlivá

data

a vytváření

30


bezpečnostních politiky, jejichž dodržování bude DLP systém hlídat. Rozpoznání citlivých dat se řídí tím, o jaký typ dat se jedná: •

Popisná data

•

Strukturovaná data

•

Nestrukturovaná data

Pro definici popisných dat obsahují DLP nástroje metody pro detekci slovníkových výrazů, nebo regulárních výrazů. Pojmem popisná data chápeme například rodná čísla, čísla kreditních karet, SPZ, PSČ, e-mailové adresy, číselné řady dokumentů (např. objednávek, smluv) a podobně. Tento typ dat lze definovat jednoduše pomocí specifického řetězce znaků, který vytvoří masku (vzor), identifikující konkrétní textový řetězec. Pro strukturovaná data je využíván vstup například ve formě tabulky, jako je třeba Oracle, MSSQL, Excel, MS Access a další. Takto může být jednoduše importován jakýkoliv strukturovaný seznam, například seznam obchodních partnerů, zaměstnanců, poboček, zákazníků, seznam kreditních karet, telefonních čísel, adres a mnoho dalších. Většina organizací drží nejcennější informace právě v tabulkách, proto je tato metoda základním kamenem při implementaci pravidel. Při importu vstupních dat je možné určit, které buňky jsou pro organizaci důležité a v jakém pořadí. Například: jméno, příjmení a rodné číslo jsou zakázány, ale křestní jméno a příjmení je v pořádku. V rámci této metody lze data zadat i ručně, přímo v systému, jako klíčová slova. Při definici nestrukturovaných dat se jako vstupní data používají vzory smluv, reportů, prezentací, výkresů, zdrojových kódů a dalších dokumentů, například ve formátech Word, Powerpoint, PDF, Visio, AutoCad, atp. Shoda je vyhodnocována podle percentuálního zastoupení textu (nebo jiných dat) ve zkoumaném dokumentu oproti předloze / šabloně. Při následné detekci citlivých dat lze zjistit, jak velká část souboru byla odeslána nebo zkopírována (v procentech), lze tedy nalézt i neúplný nebo pozměněný dokument. Detekce nestrukturovaných dat pomocí vzorů (otisků) dokumentů přináší dvě hlavní úskalí. Za prvé vyžaduje shromáždění všech dokumentů, které musí být centralizovány na jednom místě a vzhledem k tomu, že jde o citlivá data, která chceme chránit, musí být také odpovídajícím způsobem zabezpečeny. Za druhé musí mít DLP systém do tohoto centralizovaného místa, obsahujícího otisky dokumentů, vždy přístup, aby mohl porovnat, zda se nalezené dokumenty shodují se stanovenými vzory. To ale může být 31


problém v případech, kdy chceme provozovat DLP systém také na přenosných zařízeních, jako například noteboocích nebo smartphonech, které nemusí být vždy připojené do podnikové sítě a tedy k definovanému úložišti šablon. Řešením je metoda „učení“ z pozitivních a negativních příkladů, kterou některé DLP nástroje nabízejí. Pozitivní příklady jsou dokumenty, které v textu v náhodné formě obsahují citlivé informace. Negativní příklady jsou jiné (obecné) dokumenty. Ze vzorového

dokumentu

jsou

rozpoznány

specifické

vlastnosti

dokumentu

a identifikovány jemné rozdíly mezi citlivými a běžnými daty. Z pozitivních a negativních dokumentů vygeneruje technologie DLP nástroje statistický model výskytu citlivých informací a ten se následně používá při vyhodnocování. Během detekce citlivých dat se následně hodnotí míra shody zkoumaných dokumentů s pozitivními příklady předloženými v rámci učení. Tyto informace slouží také jako zpětná vazba a pomáhají zpřesnit a doladit celou samoučící metodu. Výhodou tohoto způsobu porovnávání dokumentů je, že pracuje s mnohem menším objemem dat, což zrychluje detekční proces a snižuje nároky na potřebnou paměť. Hlavní výhodou ale je, že na přenosných zařízeních nemusí být uloženy rozsáhlé slovníky nebo šablony dokumentů. Nevýhodou naopak je, že pro tuto metodu je důležité poskytnout dostatek času na učení a dostatek pozitivních i negativních příkladů dokumentů. [8] Konfigurace politik (pravidel) Jak již bylo napsáno výše, spolu s definicí, jaká citlivá data má systém hledat, se provádí také přiřazení doplňujících vlastností, které definují, jak a kde mají být data hledána. Tím dochází k definici politik, podle kterých budou vytvářeny jednotlivé bezpečnostní incidenty. Incidentem rozumíme porušení definované politiky, tedy únik citlivých dat. Definice politik pro strukturovaná data je tedy určena výčtem klíčových slov (pomocí jejich prostého výčtu, pomocí regulárních výrazů, definicí slovníků, nebo nahráním seznamu), určením závažnosti incidentu (s možností stanovit závislost této závažnosti na počtu výskytu údajů v jedné zprávě nebo dokumentu) a určením míst pro vyhledávání citlivých dat (například definice, že data mají být hledány pouze v těle emailu, předmět nebo příloze,...).

32


Obrázek 4:: Konfigurace DLP systému - definice klíčových ových slov, zdroj: interní dokumentace spole společnosti Unicorn

Obrázek 5: Konfigurace DLP systému s - definice šablon dokumentů,, zdroj: interní dokumentace společnosti spole Unicorn

Politiky pro hledání nestrukturovaných dat jsou založené na šablonách dokumentů. dokument Princip těchto chto politik spočívá spo v určení míry shody přenášeného enášeného dokumentu se šablonou. Systém je schopen načítat nač šablony dokumentů z dedikovaného síťového síť úložiště nebo 33


zip archivů či jednotlivých dokumentů nahraných do systému DLP. Konfigurace těchto politik sestává z nahrání (zaindexování) samotných dokumentů, určení míst pro jejich vyhledávání a určení citlivosti na míru shody kontrolovaného dokumentu se šablonou. Dokument se tedy nemusí shodovat na sto procent a lze tedy najít i dokumenty pozměněné (například vyplněná smlouva versus její vzor, část textu vykopírovaná z původního

dokumentu

a podobně).

Výsledkem

celého

procesu

je

sestava

definovaných politik, které je samozřejmě možné průběžně upravovat a ladit podle toho, jaké přesné je vyhodnocení incidentů. Provoz DLP systému Pokud je DLP nástroj požadovaným způsobem nakonfigurován, tzn. jsou nastaveny veškeré potřebné politiky, je možné zahájit provoz DLP systému. Fungování systému lze rozdělit do čtyř oblastí / procesů: •

Hledání

•

Monitorování

•

Ochrana

•

Řízení

Návaznost a propojení těchto čtyř oblastí lze vidět na následujícím obrázku.

Obrázek 6: Provoz DLP systému jako soubor čtyř procesů, zdroj: autor

Hledání – Proces hledání dat slouží ke zjišťování, kde se citlivá data a důvěrné informace nachází, tzn. kde jsou data uložena. Tato činnost probíhá pomocí pravidelných automatických skenů sítě a koncových bodů. Nejprve jsou vybrány šablony, podle kterých jsou data a dokumenty vyhledávány, následně jsou určeny cíle skenování (síťová úložiště, servery, apod.) a posléze jsou spuštěny skeny za účelem lokalizace citlivých dat. Pro skenování koncových stanic (počítače, notebooky, 34


smartphony) je třeba na tato zařízení nejprve instalovat potřebné agenty, které proces skenování zajistí (více viz kapitola věnovaná architektuře DLP řešení). Monitorování – Monitoring slouží ke sledování dění na síti a na koncových bodech. Jsou kontrolována přenášená data a sledován jejich pohyb, tzn. je monitorováno, jak se s daty v organizaci pracuje. Je zjišťováno, kam jsou data posílána, kopírována, přesouvána apod. Monitoring probíhá jak na síti (včetně zasílání e-mailů a nahrávání na Internet), tak na koncových bodech. Během hledání dat i během monitorování toho, jak se s nimi pracuje, jsou uplatňovány politiky, jejichž vytváření bylo zmíněno výše v textu. Tedy v případě hledání dokumentů, které obsahují citlivá data, jsou koncové body a úložiště skenovány a veškeré obsažené dokumenty (soubory typu Word, Excel, PowerPoint, PDF, AutoCAD výkresy apod.) jsou porovnávány s šablonami, které má DLP systém k dispozici, jsou v nich hledána klíčová slova, případně je systém porovnává pomocí samo-učícího mechanizmu. Stejně tak pokud jsou data posílána přes síť (posílání firemních e-mailů, nahrávání na webová úložiště, používání soukromých webmailů, apod.), jsou veškeré přenášené dokumenty porovnávány se šablonami a veškeré e-maily jsou podrobeny analýze klíčových slov. Ochrana – Proces ochrany dat představuje aktivní složku DLP systému, která provádí

konkrétní

bezpečnostní

úkony sloužící

k ochraně dat

při

porušení

bezpečnostních politik. V rámci nastavení systému je proveden výběr vhodného opatření proti ztrátě dat, v závislosti na tom, o jakou konkrétní situaci se jedná. Například pokud jsou na koncových bodech (PC, notebooky), síťových úložištích nebo file-serverech nalezeny dokumenty obsahující citlivá data, lze tyto inkriminované dokumenty automaticky přemístit na jejich správné umístění, zkopírovat, vložit do karantény, nebo dokonce smazat. Místo dokumentů obsahujících citlivá data lze vložit zástupný dokument (tzv. „placeholder“), ve kterém je uživateli řečeno, proč byl originální dokument odstraněn a co má dělat proto, aby jej získal zpět. Pokud se během monitorování činností na koncových bodech zjistí pokus o kopírování citlivých dat, jejich přesun, nebo je zjištěna jiná nepovolená činnost, lze takovéto činnosti úplně zabránit (nebude provedena), nebo ji lze povolit s omezujícími podmínkami. Například je uživatel dotázán, proč danou činnost provádí, a jeho odpověď je následně zaznamenána jako jeden z detailů incidentu. V případě, že se jedná o kopírování dat na přenosný disk, lze data automaticky šifrovat. Celý proces ochrany dat může být 35


prováděn transparentně (tzn. zaměstnanec, který politiku porušil je o tom informován prostřednictvím upozornění ze strany DLP systému), nebo skrytě, kdy je incident zaznamenán a řešen bez vědomí zaměstnance (například je detail incidentu zaslán jeho nadřízenému, který zváží relevantnost incidentu a zajistí další postup). Posledním případem ochrany citlivých dat ochrana v rámci pohybu dat na síti. Pokud je během monitoringu síťového provozu zjištěn pokus o odeslání dat e-mailem, nahrání na internetové úložiště, nebo pokus o poslání pomocí webmailové aplikace (typicky GMail), lze postupovat opět stejně, jako v předešlém případě – přenos dat lze zablokovat, šifrovat, povolit s omezením, apod. Řízení – Posledním, avšak neméně významným procesem je řešení incidentů a správa celého DLP systému. Správa DLP systému spočívá jednak v úpravě stávajících politik pro práci s daty, vytváření nových politik, ale hlavně v řešení vzniklých incidentů. DLP systém dodává celou řadu výstupů a umožňuje tvorbu souhrnných přehledů a reportů spolu s analýzou celkové bezpečnostní situace. Je mylnou představou některých organizací, že nasazení DLP systému je jednorázová záležitost a systém dále pracuje bez potřeby většího zásahu. Incidentům, které DLP systémy generují, je třeba se soustavně věnovat, vyhodnocovat je a zajistit jejich následné řešení. Samozřejmě není možné, aby všechny incidenty řešil jeden člověk, neboť incidentů vznikají denně desítky až stovky, v závislosti na velikosti organizace. Nejenže to není možné, ale není to ani procesně správné, protože správce DLP systému většinou není schopen vyhodnotit, zda incident, který vzniknul, je opravdu porušením bezpečnostních politik, nebo se jedná o běžný pracovní proces. Proto je vhodné, respektive nutné, delegovat vznikající incidenty na kompetentní pracovníky (například vedoucí oddělení, kam spadá zaměstnanec, který incident způsobil). Ti jsou schopni relevantně posoudit, zda se opravdu jedná o bezpečnostní incident, nebo zda jde o činnost, kterou má jeho podřízený stanovenou v náplni práce. Stejně tak jsou schopni posoudit, zda data, která byla během incidentu zachycena, jsou opravdu citlivá, nebo ne. 2.1.2 Architektura řešení Základem systému je centrální server, ke kterému se připojují sondy, jejichž role a počty závisí na požadované funkcionalitě, požadavcích na výkon, dostupnosti, struktuře podnikové sítě apod. Následující schéma znázorňuje minimalistickou variantu zapojení DLP řešení, kdy je pouze monitorován nešifrovaný síťový provoz. Tato

36


topologie je využívána při p i pilotních projektech, tzv. security assessmentu, assessmentu což je nejjednodušší způsob, ůsob, jak s nasazením DLP systému začít. [8]

Discover sonda

Centrální server (enforcer)

Síťová sonda Mirror port (SPAN)

Internet Síťová úložiště

Vnitřní síť

Switch / Hub

Firewall

Tok dat z vnitřní sítě do internetu

Obrázek 7: Minimalistická inimalistická varianta zapojení DLP řešení pro monitoring pouze síťové s komunikace, zdroj: autor

V tomto nejjednodušším případě p je nasazena pouze monitorovací ací síťová sí sonda, která nevyžaduje integraci se stávající infrastrukturou – jen pasivněě přijímá př kopii síťového provozu např. z hraničního hranič firewallu. Pokud je potřeba eba komunikaci i řídit (tj. např. blokovat), je vyžadována těsnější t integrace se stávající infrastrukturou rastrukturou organizace. Podobným způsobem ůsobem je také zapojena e-mailová sonda,, která je obdobou obd např. antispamové gateway. Pošta je přeposílána z mailserveru (SMTP serveru) na DLP emailovou sondu, která provede analýzu obsahu, aplikuje pravidla a následně vrátí e-mail (nebo náhradní zprávu o provedené akci) zpětt na mailserver, který jej dále zpracuje. Druhou možností je přeposlání př zprávy z DLP sondy rovnou na další mailserver / MTA (Mail Transfer Agent). Agent) Toto zapojení znázorňuje schéma níže. [8]

Obrázek 8:: Detail zapojení síťové sí sondy a průběhu hu komunikace, zdroj: interní dokumentace společnosti spole Unicorn

37


Analogicky vypadá také zapojení síťové ové sondy pro analýzu šifrované komunikace, která se propojuje se stávajícím proxy serverem pomocí pomocí ICAP protokolu. Opakem tomuto jednoduchému nasazení je maximalistická varianta zapojení, která má následující charakteristiky: charakteristiky [8] •

Dedikovaný databázový server (databázi je možné také instalovat přímo p na centrální server nebo využít existující databázový databázo server)

•

Integrace s LDAP serverem (např. (nap Active directory) – není vyžadována, ale umožňuje ňuje získat podrobnější podrobn jší popis detekovaných incidentů, incidentů lépe řídit přístupová práva, podrobnější podrobně reporting apod.

•

Dedikované sondy pro detekci aktivit na koncových bodech, bodech webové komunikaci, e-mailové komunikaci, síťových ových úložištích atd. Sondy jsou zapojeny ve vysoké dostupnosti pro zamezení ztráty dat.

Toto schéma zapojení ukazuje následující obrázek.

Obrázek 9: Varinat plného nasazení DLP systému, zdroj: interní dokumentace společnosti spole Unicorn

Topologii systému je možné přizpůsobit p sobit konkrétním požadavkům požadavků – např. je plně podporována virtualizace, virtualizace není nutné tné instalovat všechny sondy apod. apod

2.2 Aktuální trendy ve vývoji DLP technologie tech DLP nástroje jsou na trhu již zhruba druhým rokem a za tu dobu došlo k vyprofilování různých ůzných segmentů. segment DLP řešení od různých zných výrobců se proto rozdělila na tři kategorie: [3]

38


•

Enterprise DLP – Jedná se o samostatné a robustní systémy s propracovanou správou v podobě samostatných konzolí pro management, vyhledávání a sledování citlivých dat na základě obsahu (tato kategorie reprezentuje „původní“ DLP technologie).

•

Channel DLP – Takto je pojmenovaná kategorie, kde je vyhledávání a sledování citlivých dat zabudováno do nějakého již existujícího produktu nebo aplikace, typicky například e-mailové gatewaye.

•

DLP-lite – Jedná se o produkty nabízející specifickou sadu funkcí a schopností, které jsou směřovány na úzký okruh požadavků z oblasti prevence ztráty dat. Typicky jde například pouze o hledání dat, nebo pouze monitoring některých protokolů, blokování přístupu k zařízením apod. Tato řešení jsou zaměřena na malé a střední podniky a nabízí jednoduché workflow a správu. Taktéž nasazení nevyžaduje takovou míru zralosti procesů.

Obrázek 10: Kategorie DLP nástrojů, zdroj: autor

Dalším signifikantním trendem je pokračující integrace DLP funkcionalit do stále více produktů z celkového bezpečnostního portfolia výrobců (tedy do antivirů, antispamů, nástrojů pro správu koncových bodů, a podobně). Čím dál více je funkce pro rozpoznání obsahu integrována do více produktů a tak pokryje lépe životní cyklus dokumentů. Tento trend je označován jako „content-aware enterprise“ (volně přeloženo jako podnik řízený na základě obsahu). Cílem je umět identifikovat napříč celým podnikem obsah (informace), porozumět kontextu jejich použití a aplikovat příslušná DLP pravidla. Pozitivním trendem je pokles ceny řešení, ať již samotného, nebo 39


v propojení s dalšími produkty. Na druhou stranu je třeba si dát pozor na slibovanou funkcionalitu DLP od konkrétního výrobce (některé funkce jsou podmíněny instalací dalšího SW/klienta, některé fungují jen na určité platformě, jiné fungují jen do určitého stupně zátěže...). [3] Za velmi pozitivní lze také považovat fakt, že stále více organizací má reálnou představu o tom, co obnáší nasazení DLP a díky tomu mají v plánu takové řešení nasadit. To souvisí s tím, že oblast prevence ztráty dat již není čerstvou novinkou, ale začíná být vnímána jako nezbytná součást dalšího zabezpečení firemní sítě. Tedy jako další logický krok obrany námi prezentované „pevnosti“. Pokud se firmy rozhodnou přejít k implementaci DLP nástroje, jsou tato nasazení DLP stále úspěšnější. Jedním z důvodů je změna přístupu firem – ty se již vyhýbají tomu, že by chtěli nasadit „všechno a hned“ (myšleno z pohledu funkcí, modulů a pokrytí procesů DLP řešením). Místo toho se organizace snaží začít tím, co opravdu potřebují a na co především mají prostředky (ať už se jedná o prostředky finanční, časové, nebo lidské). V tomto ohledu je pro firmy důležité začít odpovědí na otázku „čeho chtějí nasazením DLP dosáhnout“. Mnoha organizacím totiž k pokrytí jejich potřeb stačí nasazení pouze specifické funkcionality DLP. Díky tomu zaznamenávají značný rozmach Channel DLP a DLP-lite kategorie produktů. Druhou roli hraje fakt, že si firmy uvědomují, že nelze nasadit veškerou funkcionalitu na všechny části infrastruktury (koncové body, úložiště, e-mailový provoz). Důvody jsou dva, tím prvním je skutečnost, že pokud by došlo k nasazení a zprovoznění všech funkcí DLP, začalo by se objevovat tolik incidentů porušení pravidel práce s citlivými daty, že by nebylo možné tyto incidenty ani vyhodnotit, ani na ně reagovat. Procesy firem totiž zpravidla nejsou pro práci s citlivými daty uzpůsobeny. S tím souvisí druhý důvod a to ten, že pokud by došlo k blokování všech citlivých dat (ať již kopírování, nebo odesílání), provoz firmy by se jednoduše zastavil. Je totiž smutným faktem, že ve většině firem představuje nesprávné nakládání s citlivými daty a nesprávně probíhající procesy rutinu pracovního dne. [3] Firmy tak zpravidla nejprve nasadí pouze jednu nebo maximálně dvě ze tří funkcionalit DLP, kterými jsou: •

monitoring sítě

•

monitoring koncových bodů

•

hledání informací 40


Organizace mají problém s jasnou a ucelenou definicí potřeb v oblasti DLP a doporučením proto je, že by se měly zdržet jakýchkoliv investic, dokud nebudou schopny zhodnotit nabídku výrobců podle toho, co chtějí. Hlavní přínos monitoringu koncových bodů je v ochraně citlivých dat před krádeží, odcizením nebo ztrátou. Naopak hlavní přínos monitoringu sítě a hledání informací je v tom, že lze odhalit a napravit procesní, bezpečnostní a workflow chyby a lze podpořit aktivity v oblasti auditu a compliance (shody se zákony a normami). Organizace si také čím dál více uvědomují potřebu zahrnout do rozhodování o DLP především non-IT bezpečnostní management. Ten totiž rozhoduje o tom, zda nějaká událost, workflow nebo činnost uživatelů porušuje stanovené politiky a jaké jsou odpovídající bezpečnostní postupy a protiakce. Ohledně propojení DLP s moderními trendy ICT jako celého oboru lze vidět také určitý pokrok. Například v souvislosti se sociálními médii začíná být znatelný význam prevence ztráty dat – firmy více než kdy jindy musí řešit posílání citlivých dat na sociální sítě (Facebook, Twitter,...) nebo různé služby umožňující sdílení (Dropbox, Flickr,...) a právě v této oblasti dokáže DLP účinně pomoci. Velkým a více než aktuálním problémem a výzvou k řešení je prudký rozvoj v používání mobilních zařízení. Organizace se potýkají s problémem jak stanovit a hlavně vynutit bezpečnostní pravidla jejich používání ve firemní síti. Tuto oblast momentálně dostatečně nepokrývá žádný z předních dodavatelů DLP řešení, což je způsobeno jednak rozličností platforem a jednak menší atraktivností této oblasti pro dodavatele. Nicméně výrobci jsou si vědomi, že tato oblast je aktuální a začínají svá řešení obohacovat i o funkce správy mobilních zařízení. [3] Dále někteří výrobci experimentují s DLP řešením poskytovaným jako službou (Software as a Service – SaaS), resp. nabízeným v cloudu. Takový přístup má ovšem určité nevýhody. Tou hlavní je, že citlivá data musí opustit firmu, byť zabezpečeně, což je samo o sobě protichůdným a kontraproduktivním přístupem z pohledu prevence ztráty dat. Negativním „trendem“ je bohužel zatím silně omezená podpora virtuálních prostředí (především možnost přímo skenovat soubor virtuálního disku), podpora jiných než Windows platforem a také risk management reporting. Hodně implementací DLP řešení je zamýšleno a prováděno jako nasazení nástroje pro pokrytí aktivit v oblasti risk managementu, většina DLP řešení na toto ale není vybavena (neobsahuje patřičné dashboardy, neumí výsledky podpořit odpovídající zpětnou vazbou, a podobně). 41


2.3 Porovnání nástrojů DLP od jednotlivých výrobců Dle studie Gartner Magic Quadrant 2011 jsou lídry v oblasti prevence ztráty dat následující výrobci DLP nástrojů: Symantec, McAfee, RSA (bezpečnostní divize EMC), CA, Websense a Verdasys. Níže jsou sepsány hlavní přínosy, silné stránky, ale také hrozby čtyřech největších lídrů. [3] 2.3.1 Symantec Symantec DLP je nejlépe hodnocen z hlediska vize a jejího plnění a to konkrétně díky šířce a hloubce svých schopností. Nabízí ucelené schopnosti jak pro oblast monitorování sítě, tak pro hledání (discovery) citlivých dat, tak i pro monitorování koncových bodů. Má dobře integrované workflow, které je vhodné pro velká a komplexní ICT prostředí. Silné stránky: •

Dobrá podpora sociálních médií

•

Velmi dobrá lokalizace (management konzole a agentů)

•

Integrace DLP funkcí a propojení datových toků s ostatními produkty Symantec (vytváří rámec pro „content aware enterprise“)

•

Vyspělá metodologie zavádění DLP – navíc dobře podpořená společností Symantec a jejími partnery

•

Příslib do budoucna v podobě dalšího silného rozvoje celého řešení

Hrozby: •

Plná verze DLP je stále velmi drahá a možnosti licencování (tvorby ceny) nejsou příliš flexibilní

•

Nasazení je poměrně složité v důsledku komplexní architektury řešení

2.3.2 McAfee Tento výrobce nabízí velmi vyspělé řešení, podporující monitoring sítě, hledání citlivých informací a monitoring koncových bodů – tyto tři části jsou konkrétně integrované skrz ePolicy Orchestrator (ePO). McAfee se také snaží rozšiřovat funkce tak, aby zvýšil hodnotu a atraktivitu celého DLP řešení. Silné stránky: •

DLP má silnou přidanou hodnotu pro stávající zákazníky McAfee (ve spojení s antiviry, antispamy, apod.)

42


•

Řešení má schopnost tvorby velké databáze každodenní interakce uživatel versus data. Díky tomu poskytuje data pro testování nových politik a tak výrazně redukuje chybně hlášené incidenty (false positives)

•

Silná podpora sociálních médií

•

Přepracovaná konzole nabízející lepší a rychlejší správu

•

Integrace skrz ePO může usnadnit nasazení pro stávající klienty McAfee

Hrozby: •

Nepodporuje lokalizaci rozhraní pro administrátory

•

DLP řešení od McAfee si vybírají klienti hlavně kvůli tomu, že již něco od McAfee mají, ne proto, že by jej považovali za nejlepší řešení

•

Stávající klienti si občas stěžují na technickou podporu a některé omezené možnosti DLP

2.3.3 RSA RSA DLP poskytuje ucelené řešení pro monitoring síťového provozu, koncových bodů a pro hledání citlivých informací. Řešení je licencování skrze OEM přes jiné velké výrobce (například Cisco nebo Microsoft). Integrace s ostatními produkty RSA a EMC je zatím malá, řešení se proto sice začíná prosazovat, ale rozhodně nedrží tempo s ostatními lídry. Silné stránky: •

Dobré schopnosti klasifikace dat – obsahuje hodně mechanizmů pro rozpoznání citlivých dat

•

Distribuovaní agenti pro hledání dat – díky tomu je řešení vhodné pro komplexní systémy s velkou náročností na hledání dat

•

Inovativní systém hodnocení vážnosti incidentů, založený na kontextovém přístupu k informacím

•

Silná podpora virtuálních prostředí

Hrozby: •

Agent pro koncové body je slabý v kritických funkcích jako jsou e-mail, webmail a podpora sociálních sítí

•

Administrační konzole není lokalizovaná do více světových jazyků

•

RSA je známo jako výrobce s DLP řešeními pro hledání a monitoring informací v síti, nicméně na koncových stanicích není zatím brán jako silný výrobce 43


•

Management konzole vyžaduje příliš mnoho manuální obsluhy („klikání“ a „skrolování“), aby bylo dosaženo požadované akce – to může obtěžovat při každodenním používání

2.3.4 CA V posledním roce řeší CA mnoho nedostatků z předchozích verzí, včetně funkce detekce obsahu. Na druhou stranu rozšiřuje integraci s dalšími produkty CA. Silné stránky: •

Má silné vize do budoucna, především chce dosáhnout vzájemné integrace DLP, log managementu a správy a přístupu identit

•

Toto řešení je dobré pro izolované citlivé informace a pro zajištění shody s předpisy – tzv. Rapid Implementation Services Offering (RISO)

•

Řešení je škálovatelné a má dobré reference pro zabezpečení v oblasti zpráv

•

Nabízí silný workflow a event management a podpora sociálních médií

Hrozby: •

Řešení postrádá pokročilé funkce hledání dat podle přirozeného obsahu – v budoucnu toho chce docílit zmiňovanou integrací

•

Management konzole je fragmentovaná na více rozhraní, které mají velmi zastaralý vzhled a nabízí pouze anglickou lokalizaci

•

Řešení postrádá zralost a proto celkově je stále co dohánět oproti konkurenci

44


3 Návrh koncepce prevence ztráty dat V první kapitole (Problematika prevence ztráty dat) bylo popsáno, jakou roli hrají v celopodnikové bezpečnosti citlivá data a proč je nutné se jejich ochranou zabývat. Dále bylo popsáno, jaké hrozby se mohou v rámci organizace při práci s citlivými daty vyskytovat, kdo je jejich původcem a jak lze na tyto hrozby reagovat. Druhá kapitola (Softwarové nástroje) byla věnovaná tomu, jakým způsobem lze procesy prevence ztráty dat podpořit ze strany softwarových řešení. Byl popsán princip fungování těchto nástrojů a uvedeny příklady konkrétních řešení, která jsou na trhu dostupná. Cílem této třetí části práce je propojit výše uvedené dvě kapitoly a vytvořit jasnou koncepci toho, jak za podpory softwarových nástrojů efektivně implementovat procesy prevence ztráty dat a účinně tak reagovat na rozmanité hrozby úniku dat. Potřeba vzniku takové koncepce vychází z toho, že organizace, které nemají rozmyšlenou strategii zavádění prevence ztráty dat, skončí často v situaci, kdy mají pouze zaveden softwarový nástroj, jehož potenciál ale nedokážou využít. Důvodem je nízká zralost firemních procesů v oblasti bezpečnosti dat a tedy nepřipravenost na zavádění jakýchkoliv komplexních softwarových nástrojů. Výsledkem je stav, kdy DLP systém generuje příliš mnoho incidentů, příliš mnoho false-positive incidentů, nebo v extrémním případě žádné (relevantní) incidenty. Aby byl proces zavádění prevence ztráty dat úspěšný, je třeba mít co nejlépe připravené firemní procesy, vyřešenou základní, nejlépe také pokročilou bezpečnost a mít jasně stanovenou strategii – tzn. věnovat se nejen softwarovým nástrojům, ale i právním otázkám, personálním důsledkům a očekávaným přínosům.

3.1 Co předchází zavádění prevence ztráty dat Nesmíme zapomínat, že ačkoliv se prevence ztráty dat dotýká základních bezpečnostních témat, tedy především samotné bezpečnosti informací, patří tato problematika do oblasti pokročilé bezpečnosti. Navíc DLP není jen o technologii. Výraz prevence ztráty dat se často používá jako synonymum pro konkrétní řešení a systémy, ty jsou ale spíš špičkou ledovce. Implementaci DLP by například měla předcházet bezpečnostní klasifikace firemních informací, což zpravidla bývá náplň pro samostatný projekt. Stejně tak bychom DLP systému měli jeho úlohu co nejvíce usnadnit správným nastavením základní bezpečnostní infrastruktury. 45


V praxi to znamená, že úspěšná a efektivní implementace prevence ztráty dat vychází z dobře vyřešené a pokryté základní ICT bezpečnosti. Tato kapitola se proto soustředí na všechny aspekty, které by měla mít organizace vyřešeny, než se pustí do projektu zavádění prevence ztráty dat a především pak než začne řešit implementaci konkrétního DLP systému. Hranice mezi základní a pokročilou bezpečností nicméně není nikdy ostrá a dalo by se diskutovat, co ještě patří do nutných požadavků před zavádění DLP a co je již součástí samotné implementace. Níže uvedený text proto nelze brát jako dogma, nýbrž jako doporučený způsob vycházející z většinové situace v organizacích. Cílem je uvědomit si, že dobře nastavený DLP systém provozovaný ve vhodně řízeném ICT prostředí umožní organizacím maximálně eliminovat možnosti úniku dat z firmy prakticky jakoukoliv cestou – odesláním mailem, přes web či jinými protokoly, odnesením na flash disku, vytištěním, zkopírováním apod. [8] 3.1.1 Základní ICT bezpečnost Je zřejmým a proto i esenciálním předpokladem, že pokročilé bezpečnostní procesy a nástroje nemohou fungovat bez perfektně vyřešených stavebních kamenů v podobě základní ICT bezpečnosti. V opačném případě se mohou veškeré snahy o prevenci ztráty dat zbortit jako domeček z karet, v lepším případně je zbytečně snížena účinnost prováděných opatření, procesů a pravidel. Při posuzování míry pokrytí základní bezpečnosti je nutné mít na paměti, že každý systém je právě tak silný, jak silný je jeho nejslabší článek. Z pohledu informační bezpečnosti je a vždy bude nejslabším článkem uživatel. Proto je klíčové zamyslet se nad tím, co všechno lze z pohledu práce uživatele a jeho přístupu k datům vyřešit ještě předtím, než se organizace začne zaobírat využitím pokročilého zabezpečení pomocí nástrojů pro prevenci ztráty dat. Je důležité zamyslet se nad konkrétní situací v organizaci a vybrat odpovídající a vhodná technická řešení. Tím základním, co lze pro bezpečnost informací udělat je vyřešit: [7] •

Přístupová oprávnění – Omezení práv přístupu uživatelů dle jejich opravdových potřeb a dle bezpečnostní klasifikace dat (viz dále).

•

Omezení přístupu k internetu – Typicky zamezení přístupu k internetovým stránkám nesouvisejícím s výkonem práce jako jsou Facebook, zpravodajské servery, webmaily atd. Dále nastavení práv pro uživatele, kteří přes internet musí komunikovat (to vše zajistí webová brána).

46


•

Komplexní nastavení antiviru a firewallu – Důsledné nastavení kontroly veškeré komunikace a to jak dovnitř, tak ven z organizace. Správné nastavení firewallu dokáže zamezit uživatelům v přístupu k problémovým internetovým službám.

•

Řízení přístupu k výměnným zařízením – Základní nastavení práce s výměnnými zařízeními, jako jsou USB flash disky, přenosné disky a jiné. Řešením je i možnost vybavit zaměstnance firemními USB disky, u kterých je pak možné lépe specifikovat možnosti práce s daty a jejich zabezpečení, nebo například omezit možnost používání USB flash disků jen na administrátory a vedoucí pracovníky (takovou funkci mají dobré antiviry).

•

Další prvky zabezpečení – Například zavedení přístupových karet, volba vhodné topologie sítě, centrální řízení bezpečnostních systémů, volba zavést pro ty nejdůležitější dokumenty šifrovací technologie, apod.

Cílem pokrytí základní bezpečnosti je omezit spektrum možností úniku informací na co nejmenší možnou úroveň, aby bylo možné se na zbylé možnosti zaměřit o to důkladněji. Jinými slovy jde o to nemuset zbytečně tříštit síly na pokročilé zabezpečení tam, kde je možné použít jiná, jednodušší řešení. 3.1.2 Lidský faktor v informační bezpečnosti Jak již bylo napsáno, nejvíce problémovým prvkem z pohledu zabezpečení informací a s tím souvisejících procesů je vždy zaměstnanec, díky kterému vzniká mnoho bezpečnostních problémů, ať již neúmyslných, nebo záměrných. Neméně důležitou oblastí je proto personální a organizační bezpečnost. Nejsnadnější a také základní cestou k tomu, jak snížit rizika spojená s únikem informací, je snižování motivace zaměstnanců k cílenému zneužívání informací. Tato úloha spadá na vrub personálním útvarům a spočívá v jasné motivaci a vedení zaměstnanců tak, aby potřeba záměrně zneužívat informace byla eliminována a naopak školit zaměstnance v přístupu k bezpečnosti informací tak důsledně, aby riziko neúmyslné ztráty dat bylo taktéž sníženo na minimum. V této personální oblasti se lze inspirovat fungujícím modelem, který lze spatřovat v podobě drobných organizací (viz první část této práce). Důvodem, proč v těchto velmi malých organizacích nemají zaměstnanci potřebu úmyslně zcizit citlivá firemní data a dokumenty je jejich loajalita, která vyplývá z velmi pozitivní, až rodinné atmosféry takové organizace. Pro personální

47


oddělení z toho vyplývá nutnost budovat a udržovat firemní kulturu, pozitivní vztah zaměstnavatele vůči zaměstnancům a posilovat individuální přístup. [10] Hned vedle personální politiky stojí nutnost definice přesných pravidel. Pouze ten systém (a to nejen informační), kde jsou jasně definována konkrétní personální pravidla, je možné z pohledu lidského faktoru považovat za zabezpečený. Mezi tato pravidla řadíme zejména přesně stanovenou odpovědnost jednotlivých uživatelů systému, definici oprávnění pro přístup do systému a také workflow schvalování mimořádných požadavků a událostí, které tato oprávnění a workflow ovlivňují. Pouze definice pravidel samozřejmě nestačí, nesmí se proto pochopitelně zapomínat ani na prověřování daných pravidel (například formou interních auditů), či na postihy za jejich porušení. [17] Další možností, jak vyřešit problém bezpečnosti informací z pohledu zaměstnanců, kteří s daty přicházejí do styku je omezení jednotlivých osob, respektive rolí, které s informacemi přicházejí do styku. Cílem je snížit počet zaměstnanců, kteří musí mít přístup k citlivým datům, na nezbytné minimum. Příkladem může být třeba revize workflow zpracování smluv, stanovení odpovědných rolí pro komunikaci s externími dodavateli, vymezení důvěryhodných osob pro archivaci dokumentů, apod. [6] Při pohledu na problém lidského faktoru je důležité si uvědomit velkou proměnlivost lidského chování. Náhodný přístup k citlivým datům se velmi lehce může změnit v cílený a záměrný únik dat v momentě, kdy si zaměstnanec uvědomí povahu dat, se kterými přišel do styku. Nelze se proto spoléhat na lhostejnost uživatelů k obsahu citlivých informací a je nutné předpokládat, že každý zaměstnanec představuje potenciální riziko. Existují také případy, kde ani sebelepší definice pravidel a postupů nezabezpečí jejich účinnost v případě specifických problémů či potřeb uživatelů. Klasickým případem je například použití hesla pro zabezpečení systému (složky, souboru, informací všeobecně). Pokud má zaměstnanec přístup k citlivým datům a své heslo si například napíše na kus papíru, který si přilepí na monitor, je efektivita takového zabezpečení sražena na minimum. Řešením je například více faktorová autentizace, kdy pro přihlášení do systému je vyžadováno například ještě ověření pomocí tokenu (typicky se jedná o HW zařízení, které generuje jednorázový, časové omezený přihlašovací kód).

48


3.1.3 Bezpečnostní klasifikace informací Aby bylo možné definovat pravidla a procesy pro řízení bezpečnosti informací, je nutné vědět, jaká data chci chránit. Detailní analýza struktury dat a jejich formalizace pro potřeby nastavení pravidel DLP systému (jako vytipování klíčových slov, definice algoritmů, zpřístupnění dokumentů pro DLP systém apod.) je prvním krokem v rámci implementace DLP systému (viz další kapitoly). V rámci usnadnění této činnosti je ale dobré (neřkuli nutné) provést bezpečnostní klasifikaci informací. Ta umožňuje dobré zmapování a rozdělení informací do tříd dle jejich důvěrnosti, což je významným předpokladem pro snadnou a přesnou definici pravidel pro vyhodnocení a zpracování dat v rámci DLP systému. [8] Vedlejším účinkem klasifikace dat podle jejich důvěrnosti je vytvoření povědomí o citlivosti dat mezi zaměstnanci. Pokud se zaměstnanci do rukou dostane dokument s označením „pouze pro vnitřní potřebu společnosti“, uvědomí si zaměstnanec, že pracuje s dokumentem, který velice pravděpodobně obsahuje informace citlivého charakteru a jehož případná ztráta, či zveřejnění by pro firmu mohly mít neblahé následky. Viditelnou klasifikací a označením dokumentů důvěrného charakteru lze také odstranit možnost alibismu, jelikož zaměstnanec pracující s takto označeným dokumentem se nemůže vymlouvat na skutečnost, že nevěděl o tom, že dokument citlivá data obsahuje.

3.2 Očekávání organizací vs. řízení těchto očekávání Před zaváděním prevence ztráty dat je dobré, aby si organizace stanovila svá očekávání a v průběhu celého projektu sledovala výsledky a tato očekávání řídila. Pokud chce střelec trefit terč, musí jej nejprve najít a pak na něj zamířit. Stejně tak organizace, která chce opravdu efektivně zabránit úniku citlivých informací, si musí rozmyslet cíle zavedení prevence ztráty dat. Tedy musí vědět, co jsou pro ni citlivá data a jaké oblasti IT infrastruktury chce pokrýt. Firma by ovšem neměla zvažovat pouze to, co chce, ale měla by být také schopna racionálně posoudit, jaké jsou její možnosti. Pro drobné a malé podniky pravděpodobně nebude finančně a ani personálně přijatelné, aby zavedly DLP systém z kategorie „enterprise“ (viz rozdělení nástrojů v druhé části práce). Pro takto malé organizace se vyplatí zvážit nasazení jen vybrané části DLP řešení případně nasazení menších nástrojů, které disponují DLP funkcionalitou a vhodným způsobem doplňují potřebné procesy prevence ztráty dat.

49


Dalším aspektem, který je třeba zvážit, je rozsah a trvání celého projektu. Z pohledu rozsahu je nutné vědět, kam chceme celý projekt implementace prevence ztráty dat směřovat. Tedy zda postačuje monitoring práce s informacemi nebo je potřeba probíhající činnosti i řídit, zda chceme hlídat pouze síť nebo i pracovní stanice apod. Zde opět platí, že organizace by se měla řídit nejen tím, čeho chce dosáhnout, ale také čeho je schopna dosáhnout. Častou chybou organizací je vůle pokrýt všechny oblasti práce s daty (tzn. koncové body, síť i firemní úložiště) a to vše ještě zvládnout v co nejmenším možném čase. Nejčastěji se takto děje ve firmách, kde má prevence ztráty dat fungovat nikoliv jako prevence, ale jako „hasicí přístroj“, kterým chce firma rychle vykompenzovat nedostatky v procesní oblasti a v základní ICT bezpečnosti. Takové organizace ale zapomínají na to, že by se měly zaměřit na to, co je opravdovou příčinou vzniku požáru – tedy proč vzniklo riziko ztráty dat. Chyby jsou ve špatně nastavených procesech a v personálních a organizačních úrovních organizace. A tyto zdroje požáru nejenže nelze odstranit pouhým nasazením „nějakého“ bezpečnostního nástroje, ale hlavně to nelze udělat ze dne na den, dokonce ani ne v průběhu pár měsíců. Ideální je proto vzdát se myšlenky na rychle zavedení prevence ztráty dat a naopak postupovat po menších krocích, které jsou pro firmu přijatelné jak z pohledu zdrojů, tak z pohledu procesů a jejich změn.

3.3 Zavádění prevence ztráty dat Implementace ochrany proti úniku citlivých dat z prostředí organizace je komplexní proces a jako takový vyžaduje náležitou přípravu, postup a zpětnou vazbu. V této kapitole je proto popsán postup zavedení prevence ztráty dat tak, aby všechny tyto tři oblasti byly vhodným způsobem vyřešeny. Ačkoliv má prevence ztráty dat (a nástroje spadající do této kategorie) koncepčně blízko k antivirům a firewallům, vyžaduje při zavádění mnohem větší péči. Zavedení sestává z několika kroků, jejichž respektování je zárukou úspěšné implementace. Na začátku je potřeba mít dobře rozmyšleno, která data je třeba sledovat, jak je lze identifikovat, jak reagovat na zjištěné incidenty. Jinými slovy musí být jasné, kam chce organizace celý proces zavádění DLP směřovat. Druhým důležitým krokem je vědět, kdo bude za výše vyjmenované kroky odpovědný. Nelze očekávat, že definice dat, konfigurace nástroje, vyhodnocení incidentů a jejich řešení bude probíhat automaticky, bez nutnosti administrace a řízení. Také je potřeba mít rozmyšleno, na jaké oblasti se chce organizace zaměřit. Únikům dat lze bránit na koncových bodech, na síťových 50


úložištích, nebo na síti, přičemž každá z těchto oblastí vyžaduje jiný přístup. Každou z nich je také možné řešit samostatně, ať již z pohledu priorit, nebo dostupných prostředků. V případě že již organizace ví, co a jak chce sledovat, může přistoupit k výběru odpovídajícího technického řešení, jeho nasazení, konfiguraci, implementaci a provozu. Zprovoznění DLP systému ale činnosti v oblasti prevence ztráty dat nekončí, je potřeba vznikající incidenty vyhodnocovat, řešit a formou zpětné vazby upravovat firemní procesy. [5] Následující kapitoly popisují výše nastíněné kroky zavádění prevence ztráty dat, především z pohledu nasazení konkrétního softwarového nástroje a s tím souvisejících procesů. 3.3.1 Strategie implementace – vědět, kam směřovat Aby mohla organizace stanovit, jakým způsobem bude celou oblast prevence ztráty dat implementovat a jaké řešení (z jaké kategorie, jakého rozsahu, apod.) zvolí, měla by si nejprve vytvořit strategii celého procesu zavádění DLP. Tato strategie by měla zahrnovat následující body a na každý body by měla být známa odpověď a měla by být jasná koncepce jak tyto body pokrýt: [18] •

Identifikaci rolí a odpovědností uvnitř organizace

•

Povědomí všech zaměstnanců o bezpečnosti informačních systémů

•

Výběr a implementace vhodných ochranných opatření

•

Management rizik, včetně identifikace a odhadu: o Aktiv, která je třeba chránit o Hrozeb o Zranitelností o Dopadů o Rizik o Ochranných opatření o Zbytkových rizik o Omezení

•

Způsob údržby a rozvoje systému

•

Provádění bezpečnostního auditu

•

Revize (procesů, systému, politik)

•

Zacházení s incidenty, jejich řešení 51


Vhodným způsobem, jakým si lze výše uvedené požadavky ujasnit, je zpracování bezpečnostní studie respektive definování bezpečnostní politiky. Mnoho organizací již takový dokument zpracovaný má (někdy aniž by vůbec věděly, k čemu jim může sloužit, nebo jak ho propojit s praxí, tedy zaváděním odpovídajících procesů a nástrojů ICT bezpečnosti), případně je možné jej zpracovat přímo pro požadavky zavedení prevence ztráty dat. 3.3.2 Výběr technického řešení Pokud má organizace jasný směr, kterým se chce vydat, může přistoupit k výběru nástroje (případně i více nástrojů), které jí pomohou dosáhnout stanoveného cíle. Výběr technického řešení závisí především na dvou faktorech – velikost organizace a oblast, kterou chci v rámci prevence ztráty dat pokrýt. Konečná volba by měla být průnikem těchto faktorů tak, aby došlo k optimálnímu napojení funkcí nástroje na potřeby a možnosti organizace. Prvním parametrem je velikost organizace. V první části této práce byly popsány organizace z pohledu členění dle jejich velikosti – drobné, malé, střední a velké – a byl popsán stávající způsob pokrytí bezpečnosti informací v těchto různě velkých organizacích. Následující text popisuje vhodný způsob pokrytí prevence ztráty dat softwarovým nástrojem pro různě velké organizace. Faktor velikosti organizace Drobné organizace – Velikost kolem 15 zaměstnanců vylučuje využití enterprise DLP systémů. Robustnost těchto nástrojů a především pak jejich cena nejsou pro implementaci v takto malých organizacích přijatelné. Vhodným řešením jsou nástroje z kategorie DLP-lite, tedy bezpečnostní nástroje, které nabízejí specifickou sadu funkcí z oblasti prevence ztráty dat. Často jsou tyto funkce součástí antiviru, a proto je jejich pořízení finančně i procesně nenáročné. Výhodou je totiž jednoduché workflow, konfigurace a správa a naopak nízké nároky na zralost firemních bezpečnostních procesů. Jak již bylo napsáno v první části práce, drobné organizace se ze své podstaty mohou potýkat primárně s nechtěnými úniky dat, způsobenými neopatrností zaměstnanců. Pro tyto organizace jsou proto důležité především nástroje, které poskytují následující funkce: řízení přístupu k přenosným USB zařízením (blokování, přístup podle přenášených dokumentů), šifrování (dat na USB flash discích, na přenosných a mobilních zařízeních, e-mailové komunikace, odchozích dat nahrávaných na internet), monitoring vybraných protokolů, hledání citlivých dat na koncových 52


bodech a na sdílených úložištích. Tyto požadavky lze řešit odděleně a vzhledem k velikosti organizace není potřeba centrální správa, nebo řízení složitého wokrflow. Pokud by však organizace kladla vyšší nároky na automatizaci procesů bezpečnosti a na řízení celého procesu prevence ztráty dat, je možné nasadit řešení z kategorie channel DLP. Nástroje tohoto typu poskytují vyhledávání, sledování a ochranu citlivých informací v rámci existujícího produktu, například antispamu a vyznačují se centralizovanou správou a pokročilými možnostmi řešení incidentů. Malé organizace – Větší velikost tohoto typu podniků (až do sta zaměstnanců) vyžaduje odpovídající přístup k prevenci ztráty dat. Rozdíl oproti drobným podnikům je především v nutnosti centralizované správy bezpečnostního řešení (definice citlivých dat, definice politik, apod.) a v potřebě řízení vznikajících incidentů (počet incidentů je totiž několikanásobně větší, než u společností s jednotkami zaměstnanců). V dnešní době mají tyto organizace zavedeny nástroje z kategorie DLP-lite, jejichž využívání je však z principu jejich fungování pro malé organizace výrazně neefektivní. To, co dobře funguje u velmi malých společností, je u větších organizací nedostatečné. Řeč je především o omezené funkcionalitě, nedostatečné správě a absenci širší koncepce. Pro malé organizace jsou proto vhodné nástroje z kategorie channel DLP. Tato řešení dokážou komplexně pokrýt vybrané oblasti podniku (síť, koncové body, úložiště, mobilní zařízení) a nabídnout funkce blížící se rozsahem a možnostmi funkcím, které nabízí nástroje z kategorie enterpise DLP. V praxi se totiž velice často jedná de facto o samostatně

implementovatelné

moduly enterprise

DLP

nástrojů,

nebo

jde

o zjednodušené edice těchto robustních DLP řešení. Výhodou této kategorie DLP nástrojů je, že si berou z obou „světů“ to nejlepší. Poskytují pokročilé funkce hledání a monitorování citlivých dat a dokumentů, centrální správu, nastavování bezpečnostních politik a workflow pro zaznamenávání a řešení incidentů. Zároveň jsou ale méně náročné na implementaci a stojí zlomek toho, co kompletní DLP nástroje. Jak již název kategorie těchto softwarových řešení napovídá, pokrývají vždy určitý kanál (segment) práce s citlivými daty. Pomocí channel DLP nástrojů se lze zaměřit na: hledání dat na koncových stanicích a kontrolu práce s těmito daty, pohyb dat na síti, monitoring emailové komunikace, hledání dat na síťových úložištích, řízení práce s daty na mobilních zařízeních. Střední a velké organizace – Pokud společnost čítá více jak sto zaměstnanců, měla by se zaměřit na komplexní pokrytí celé oblasti prevence úniku dat. Motivací pro 53


středně velké organizace je implementace prevence ztráty dat dříve, nežli se problém rozroste natolik, že pro ni bude implementace procesů a robustního nástroje velmi drahá (a to jak finančně, tak i nutností zasahovat do firemních procesů a do pracovních zvyklostí zaměstnanců). Motivací pro velké organizace by měl být fakt, že pokud se ještě nestal žádný závažný incident, je jen otázkou času a čisté statistiky, než může jeden ze zaměstnanců společnosti způsobit doslova katastrofu. Střední a velké organizace by neměly dělat žádné kompromisy – počet zaměstnanců, organizační i geografická roztříštěnost, složitost procesů, topologie infrastruktury a především pak množství citlivých dat – to vše jsou parametry, které vyžadují zodpovědný přístup. Jediným správným řešením je proto nasazení softwarových nástrojů z kategorie enterprise DLP. Tyto nástroje pokrývají všechny oblasti, kde je třeba data sledovat – síť, koncové body i síťová úložiště. Dokážou poskytnout hledání a sledování citlivých dokumentů na základě obsahu, definici bezpečnostních politik podle propracovaných pravidel a centralizovanou správu incidentů. Faktor oblasti prevence ztráty dat Jak již bylo řečeno v předchozích částech této práce, nástroje pro prevenci ztráty dat umožňují zaměřit se na tři klíčové oblasti: •

Síťová komunikace – šifrovaná a nešifrovaná komunikace, posílání souborů emailem, odesílání souborů na Internet

•

Koncové body – stolní počítače, notebooky, mobilní zařízení, apod.

•

Síťová úložiště – sdílené složky, fileservery, SharePoint, apod.

Ideálním stavem je nasazení nástroje na všech těchto třech částech infrastruktury, nicméně ne ve všech firmách je to možné, nebo žádoucí. Důvodem mohou být omezené finanční a personální zdroje organizace, nebo i nedostatečná připravenost IT prostředí pro pokrytí všech oblastí. Je samozřejmě vždy lepší postupovat rozvážně a pokrýt komplexně a důsledně raději pouze tu oblast, která je pro firmu nejvíce klíčová, než se snažit o zabezpečení všech tří oblastí za cenu nedostatečně propracovaného projektu celé implementace. Níže jsou popsány všechny tři zmiňované oblasti z pohledu nasazení softwarového řešení pro prevenci úniku dat. Síťová komunikace – Nasazení DLP nástroje pro monitorování síťového provozu pokrývá nejčastější rizika práce s citlivými daty ve firmě. Přenos dokumentů po síti je totiž nejsnadněji zneužitelným (ať již neúmyslně, nebo záměrně) způsobem úniku dat a proto je pro firmy primárním cílem pokrýt právě tuto oblast. Mezi největší rizika patří 54


odesílání korporátních informací na soukromé freemaily zaměstnanců, zneužívání síťových

protokolů,

neoprávněný

přístup

neautorizovaných

osob

k interním

dokumentům, nevhodné využívání e-mailové komunikace (například pro posílání přihlašovacích údajů, přeposílání hromadných řetězových emailů s prezentacemi a videi, které jsou často nositeli malware a zahlcují servery, posílání soukromých dokumentů na firemní e-mail za účelem například tisku těchto dokumentů, apod.) nebo nevhodné využívání webové komunikace (nákupy na internetu, hraní her, sjednávání dovolených, apod.). Díky monitorování provozu na síti lze pokrýt SMTP e-mail, Exchange, webmail (například nejčastěji používaný GMail, Seznam, apod.), instant messaging (Skype, ICQ, MSN) a protokoly FTP, HTTP, HTTPS, TCP/IP (tedy v ČR často využívané nahrávání dat na servery jako Ulož.to, Rapidshare, Rajče a podobné). Data lze nejen monitorovat, ale především aktivně bránit v jejich přesunu. Tzn. zabránit zaměstnancům v posílání dokumentů a-mailem na základě obsahu dotčeného a-mailu nebo jeho přílohy, zabránit v nahrávání na internetová úložiště, nebo zamezit zaměstnancům používat soukromé e-mailové aplikace (Seznam, GMail), jejichž zabezpečení je mimo kontrolu organizace. [8] Koncové body – Vedle síťové komunikace firmy často řeší výskyt dat na koncových bodech (PC, notebooky, mobilní zařízení) a to, jak je s daty na těchto zařízeních pracováno. Především v malých a středně velkých organizacích je velmi těžké vysledovat, kde všude se dokumenty, obsahující citlivá data, nachází. Důvodem je špatně nastavený přístup zaměstnanců k těmto dokumentům, což vede ke vzniku mnohanásobných

kopií

jednotlivých

dokumentů

a jejich

neřízenému

a nemonitorovanému přesunu po firemní síti a na jednotlivých zařízeních. Monitoring koncových bodů dokáže na stanicích nebo přenosných zařízeních hledat dokumenty s citlivými daty, bránit neoprávněným osobám v práci s těmito dokumenty (odesílání poštou, kopírování na flash disky a jiná přenosná zařízení, tisk nebo faxování apod.), nebo tyto dokumenty přesouvat do karantény či rovnou mazat (v případě smazání je soubor nahrazen zástupným dokumentem, kde místo obsahu je uživateli zobrazena zpráva o tom, z jakých důvodů byl dokument smazán a jak je možné jej získat zpět). Skenování stanic je možné provádět i vzdáleně, případně i offline, což je velmi důležité, pokud například zaměstnanec pracující na notebooku není připojen do firemní sítě a tedy i k centrálnímu serveru DLP nástroje.

55


Síťová úložiště – Tuto oblast řeší především velké organizace, které využívají centrální servery pro uložení firemních dat. I když mohou být pro uživatele nastavena potřebná oprávnění k přístupu na tato úložiště, nikdy nelze stoprocentně zaručit, že zaměstnanci nezneužijí svých práv, případně se nebudou snažit pracovat s dokumenty nevhodným způsobem (a to jak neúmyslně, tak záměrně). Pomocí monitoringu síťových úložišť lze zjistit, kde všude na síťových úložištích jsou citlivá data ve společnosti uložena (například v nezabezpečené formě) a kdo s nimi pracuje. Monitoring spočívá ve skenování síťových úložišť a hledání citlivých dat a dokumentů dle definovaných šablon a politik. Definice těchto politik je stejná jako u monitoringu síťového provozu, tedy dokumenty jsou hledány jak podle klíčových slov, tak podle šablon. 3.3.3 Implementace DLP jako proces Podrobné fungování DLP nástrojů již bylo popsáno v druhé části této práce. V této kapitole je proto pohlíženo na zavádění prevence ztráty dat jako na proces a to z pohledu řízení práce s daty. Tento proces lze rozdělit na pět fází, jejichž úspěšné dokončení vyžaduje systémový přístup. Cílem je definovat, co jsou pro organizaci citlivá data, mít přehled o tom, kde jsou citlivá data uložena a jak je s nimi nakládáno (tedy jejich pohyb, ať již v rámci koncových bodů, úložiště, nebo po síti), umět tato data chránit (respektive mít k tomu vhodné prostředky) a mít přehled o vzniklých incidentech a tyto incidenty dále řešit. Pět fází, které k tomuto cíli vedou, jsou: •

Definice citlivých dat – včetně pravidel a politik jak s nimi má být nakládáno

•

Skenování – hledání citlivých dat

•

Monitoring – přehled o práci s citlivými daty

•

Reakce – upozorňování na porušování politik a ochrana před ztrátou či únikem

•

Management událostí – řízení vzniklých incidentů

56


Obrázek 11: Implementace DLP jako proces, zdroj: autor

Proces lze průřezově popsat následovně – po vytvoření základní sady pravidel a zprovoznění DLP systému následuje hledání citlivých dat – organizace zejména zjišťuje, kde se citlivá data vyskytují. Na tuto fázi navazuje období monitoringu - po tuto dobu je sledováno, jak se s daty obvykle pracuje. Teprve když si organizace dostatečně ověří platnost předpokladů, se kterými DLP řešení implementovala, zapojí do procesu uživatele – pomocí DLP systému je začne upozorňovat na porušování nastavených politik a sbírat zpětnou vazbu. Ta je využita k dalšímu zpřesňování pravidel. Až v úplně posledním kroku je možné začít dodržování vybraných politik vynucovat, tj. např. blokovat odchozí e-maily nebo zamykat soubory do karantény. [7] Definice pravidel – První, nejdůležitější a také nejnáročnější částí implementace DLP řešení je definice jednotných pravidel. Proto je důležité tuto fázi nepodcenit a provést ji důkladně. Je také potřeba mít na paměti, že se nejedná o jednorázový proces nastavení sledovaných hodnot, ale o kontinuální činnost zpřesňování a úprav těchto vytvořených pravidel. Definic a správě monitorovacích politik se musí neustále někdo věnovat, přizpůsobovat je aktuálním potřebám organizace, reagovat na vznikající incidenty a vyhodnocovat účinnost nastavených pravidel. V kapitole „Co předchází zavádění prevence ztráty dat“ byly vyjmenované potřebné činnosti, které by měly být před implementací DLP nástroje vyřešeny. Jednou z nich je bezpečnostní klasifikace dat, která je vstupem pro proces definice bezpečnostních pravidel. Je třeba mít vymezeno, co jsou citlivá data a jak reagovat v případě pokusu o jejich odcizení, nebo neúmyslnou ztrátu. Dále je třeba mít stanoveno kdo je jejich vlastníkem, což je důležitou informací pro úspěšné řešení incidentů.

57


Definice pravidel probíhá podle principu popsaného v druhé části práce v kapitole „Princip DLP řešení – definice citlivých dat“. Je zřejmé, že stanovení pravidel, dokumentů a klíčových slov musí provést business, jelikož nikdo jiný v organizaci to udělat nemůže. Nemůže to udělat ani dodavatel DLP řešení, který může maximálně poskytnout své zkušenosti a znalosti best practises k tomu, aby byla definovaná pravidla a politiky relevantní. A nemůže to udělat ani IT oddělení, které bude DLP nástroj spravovat, nebo dokonce ani pracovník informační bezpečnosti, protože ten o businessu obvykle také nic neví. Tihle všichni mohou být maximálně pomocnou a poradní entitou v procesu definice citlivých dat a procesů. [19] Hledání citlivých dat – Prvním krokem pro zabezpečení citlivých dat je vědět, kde všude jsou tato data uložena. Je proto nutné proskenovat file servery, síťová úložiště, stanice, notebooky, SQL databáze, e-mailové servery (Exchange) a případně také firemní intranet. Organizace mnohdy vůbec netuší, kde všude za dobu jejich fungování vznikly, nebo byly přemístěny dokumenty s citlivými daty, a kam si zaměstnanci nakopírovali důvěrné soubory a data. Cílem je proto zmapovat výskyt všech dokumentů (včetně všech kopií) a následně stanovit, která z těchto míst jsou k ukládání citlivých dat určena a kde je naopak výskyt důvěrných dokumentů nežádoucí a data zde nemají co dělat. Organizace by ideálně měla mít dedikované místo pro uložení citlivých dokumentů a veškeré další lokace je pak jednoduše možné označit za nepřípustné pro uchovávání dokumentů s citlivými údaji. V dalším kroku je možné přistoupit k automatickým skenům všech výše zmiňovaných částí infrastruktury, automatické identifikaci dokumentů obsahujících citlivá data a jejich vlastníků a jejich mazání v případě porušení definovaných bezpečnostních politik. Monitoring dat a dokumentů – Když organizace ví, kde všude data jsou a má je tím pádem pod kontrolou, může tato data začít monitorovat. Záměrem je pochopit, jak se s informacemi pracuje. Jen tak je možné odpovídajícím způsobem reagovat na vznikající incidenty. Monitorované oblasti jsou opět stejné jako při skenování – síť, úložiště a koncové body (včetně výměnných zařízení). Systém monitoruje, kam kdo data posílá, odkud a kam je kopíruje, jakým způsobem je modifikuje, atp. Cílem je získat viditelnost napříč celou organizací a porozumět jak obsahu dokumentů, tak kontextu v jakém jsou užívány. K tomu slouží přehled incidentů v rámci správy DLP systému, který prozradí mimo jiné následující:

58


•

Jaké množství a jaké typy citlivých informací na síti existuje nebo jsou posílány ven z organizace

•

Kdo, kam a jaké citlivé informace a data posílá

•

Jaké síťové protokoly jsou k úniku citlivých dat nejvíce zneužívány

•

Jaké procesy v organizaci vykazují z hlediska prevence ztráty dat nedostatky

•

Na jaká data, oddělení, nebo jednotlivce je třeba se v rámci těchto procesů zaměřit

•

Jaká nařízení a směrnice jsou porušovány

•

Kolik incidentů, v rámci kterých pravidel a s jakou závažností vzniklo

•

Které politiky a v jakém rozsahu byly porušovány

•

Kdo ze zaměstnanců nejčastěji porušuje politiky (odesílá citlivá data, kopíruje soubory s citlivými daty, apod.)

•

Které dokumenty jsou v rámci incidentů zneužívány (posílány v přílohách, nahrávány na webová úložiště, kopírovány, atp.)

•

Jaké typy souborů zaměstnanci posílají elektronickou poštou

Reakce na bezpečnostní incidenty – Na vznikající incidenty je možné reagovat dvojím způsobem – upozorňovat uživatele na porušení bezpečnostních politik nebo data proaktivně chránit. První způsob je preferován především ve fázi zavádění DLP řešení. Uživatelům je naznačeno, že jejich chování se rozchází s požadavky na bezpečnost citlivých dat. Děje se tak formou upozornění v reálném čase, nejčastěji pomocí dialogových oken na obrazovce počítače či mobilního zařízení, nebo nahrazením dokumentu s citlivými daty zástupným souborem (viz výše). Takto zajištěná informovanost zaměstnanců má dvojí charakter. U zaměstnanců, kteří záměrně porušují bezpečnostní politiky, už samo povědomí o existenci kontrolních mechanismů radikálně snižuje množství incidentů. U zaměstnanců, kteří způsobují incidenty nevědomky a mnohdy ani neví, že něco dělají špatně, je zajištěno, že se zaměstnanci o svých špatných postupech dozví a je jim nabídnuta alternativní varianta. Druhou funkcí systému je proaktivní ochrana dat. Soubory je možné automaticky odstranit, kopírovat, přemístit do karantény, zablokovat přenos dat nebo třeba jen data automaticky zašifrovat a tím umožnit zaměstnancům, aby s nimi mohli pracovat, aniž by byla ohrožena bezpečnost důvěrných informací. Řízení událostí – Důležitým procesem je řízení celé prevence ztráty dat. Definice politik, jejich zpřesňování a řešení vzniklých incidentů jsou hlavními činnostmi, které je 59


třeba z pohledu administrace DLP systému zajistit. Výhodou komplexních enterprise DLP řešení je centrální správa. Ta je důležitá právě při definici bezpečnostních politik, které je tak možné spravovat z jednoho místa pro celou organizaci. Tím je zajištěno, že tyto politiky budou aplikovány a vynucovány napříč celou infrastrukturou. Pro vyhodnocení je dobré využít reportů, které DLP systémy poskytují. Nejčastěji jsou to následující typy informací: •

Sumární statistiky provozu DLP systému, rozdělení mezi mailový (SMTP) a webový (HTTP) provoz, množství zpracovaných dat, počet incidentů, apod.

•

Dashboard

–

přehled

vyhodnocených

incidentů,

souhrnné

výsledky

monitoringu – počty incidentů, rozdělení incidentů dle politik, nejčastější odesilatelé a příjemci, apod. •

Výskyt incidentů v jednotlivých kategoriích, který mapuje počet a typ (závažnost) incidentů dle jednotlivých kategorií

•

Přehled nejčastějších adresátů pro určení směru, kterým informace odcházejí

•

Detail incidentu – Ze všech sumárních přehledů je možné přejít na výpis incidentů v dané kategorii (např. incidenty způsobené konkrétním uživatelem) a z výpisu až na detail konkrétního incidentu. Ten obsahuje řadu detailních informací jak o samotné zprávě nebo dokumentu (adresát, odesilatel, obsah, přílohy, …), tak o politikách, které byly tímto incidentem porušeny. Zobrazeny jsou také kontextové informace, např. kolik dalších incidentů uživatel vyvolal apod. Tento přehled je důležitý pro pochopení vzniku incidentu.

60


Obrázek 12:: Detail incidentu v DLP systému, zdroj: interní dokumentace společnosti spole Unicorn

V středněě velké organizaci vznikají až tisíce incidentů incidentů denně. ě. Zvládnout vyhodnotit a vyřešit ešit takové množství událostí není v rámci IT nebo bezpečnostního bezpeč oddělení možné. Není to ale ani žádoucí. Pro správu DLP systému je samozřejmě samoz vhodné dedikovat administrátora, istrátora, který se bude starat o jeho konfiguraci, aktualizaci politik a monitoring vznikajících incidentů. incident Samotné řešení těchto ěchto incidentů incident je však plně v kompetenci konkrétních oddělení, odd kam zaměstnanec, stnanec, který incident způsobil, zp spadá. Pouze nadřízený tohoto hoto zaměstnance zam stnance je schopný zhodnotit, zda se pravdu jedná o bezpečnostní nostní incident, nebo je zachycená akce (například (nap íklad pokus o odeslání dokumentu s citlivými daty) součástí souč pracovní náplně daného zaměstnance. ěstnance. Důležité D je proto napojení DLP systémů na adresářové struktury společnosti, nosti, ze kterých jsou importovány informace o organizační organizač struktuře. Výsledkem je rovnoměrné ěrné rozložení „zátěže“ „zát pro řešení bezpečnostních čnostních incidentů incident a především edevším pak jistota přesného př vyhodnocení konkrétního incidentu. 3.3.4 Implementace prevence ztráty dat v čase Prevence ztráty dat, respektive nasazení softwarového nástroje je časově náročným projektem, který vyžaduje rozdělení rozd do několika kolika fází, které respektují nutnost postupného zavádění. ění. Tato náročnost náro vyplývá z potřeby změny ěny nastavení nebo až reengineeringu procesů v organizaci, ke kterým zcela jistě v důsledku dů implementace DLP řešení ešení dojde. Hlavním problémem jsou totiž špatně špatně fungující procesy a návyky 61


zaměstnanců, které se vyskytují v drtivé většině všech organizací. Zaměstnanci si mnohdy ani sami neuvědomují, že činnost, která je pro ně rutinní a zavedená (jako například zasílání dokumentů na soukromý e-mail, kvůli práci z domova), může být z pohledu ICT bezpečnosti a práce s informacemi nejen nepřijatelná, ale také že tím ohrožují bezpečnost firemních dat. Pokud si tuto situaci neuvědomují pouze uživatelé, není sice situace v pořádku, ale je pochopitelná. Zaměstnanci nejsou experty v oblasti IT bezpečnosti a jejich pracovní návyky pouze sledují cestu nejmenšího odporu – potřebují přenést dokument, využijí zaslání na soukromý e-mail, v případě většího souboru použijí vlastní USB flash disk. Bohužel, ve většině případů si vážnost situace neuvědomují ani IT oddělení, dokonce ani bezpečnostní manažeři. Případně o situaci vědí, ale vedení firmy není motivováno situaci měnit (dodatečná řešení stojí peníze, které je přece vždy lepší investovat do rozvoje produktů a služeb, výroby nebo vybavení). K obratu dochází až ve chvíli, kdy dojde k úniku citlivých dat organizace. V takovém případě vedení, respektive IT oddělení plně pochopí význam slova prevence a věci se dají do pohybu. Ke slovu se dostává implementace DLP řešení, případně nástrojů, které DLP funkce nabízejí (viz DLP-lite a channel DLP softwarové nástroje). Ačkoliv samotné nasazení a zprovoznění DLP nástroje je otázkou v řádech dnů, maximálně týdnů, není možné představovat si, že plného využití DLP řešení bude možné dosáhnout za takto krátkou dobu, jako je tomu u základních bezpečnostních řešení, například antiviru nebo antispamu. Základní rozdíl ve fungování prevence ztráty dat je totiž ten, že zasahuje do chodu organizace, ovlivňuje práci uživatelů, a tedy mění procesy, na základě kterých firma doposud fungovala. Je logické, že provedení tak závažné změny, jakým je fungování organizace, není možné provést ze dne na den, dokonce ani v rozmezí týdnů. Nicméně neznamená to, že by nástroje pro prevenci ztráty dat neměly přínos již krátce po svém nasazení. Naopak, velkým přínosem je to, že organizace získají přehled o tom, jak se s daty pracuje, a mohou pochopit, proč se tomu tak děje a jak tomu zabránit. A na základě zjištěných skutečností je možné provést další kroky a opatření. Právě proto je třeba rozdělit projekt implementace do potřebných časových období a v rámci každého z nich provést postupné kroky vedoucí k požadovanému optimálnímu stavu. Tímto stavem jsou dobře nastavené procesy práce s citlivými daty, přehled o činnosti uživatelů a pohybu dat a chráněná infrastruktura z pohledu úniku dat. Níže uvedené kapitoly popisují nasazení DLP nástroje z pohledu průběhu v čase. 62


Obrázek 13: Průběh nasazení DLP v čase, zdroj: autor

Zapojení nástroje – Prvním krokem na pomyslné časové přímce je nasazení nástroje, jeho zapojení a konfigurace. Pokud se nejedná o tajné nasazení nástroje za účelem vypátrání konkrétního pachatele, ale jde o předem avizované oficiální spuštění DLP nástroje, lze již v této fázi implementace pozorovat úbytek bezpečnostních incidentů, souvisejících s únikem citlivých dat. Pro mnoho zaměstnanců je totiž spuštění nástroje pro prevenci ztráty dat impulsem k tomu, aby přestali dělat něco, co nemají. Z principu se jedná o ty uživatele, kteří vědomě porušují bezpečnostní politiky práce s citlivými daty (ovšem zde je třeba rozlišit, že vědomé porušení politik není totéž, co úmyslný únik nebo krádež dat). Viditelnost – Účelem několika prvních týdnů po nasazení a konfiguraci DLP systému je sledovat, co se v organizaci děje s daty, jak probíhají procesy a jak se zaměstnanci chovají. Primárním cílem nicméně není odhalit, jaká data firmu opouští a kdo je viníkem. Cílem je zjistit, kde jsou v aktuálně nastavených procesech chyby a co je jejich příčinou. Je třeba mít na paměti, že největší množství dat neuniká z důvodu záměrného jednání uživatel, ale z nedbalosti a nevědomosti zaměstnanců, kteří s daty každodenně pracují a přicházejí do styku. Nejčastějším zjištěním po nasazení nástroje pro prevenci ztráty dat a provedení několikatýdenního monitorování je odhalení skutečných procesů práce s daty v organizaci tak, jak se v uplynulých letech samovolně vytvořily. Pokud zaměstnanci narazí na problémy, nebo výzvy spojené s jejich prací, při které potřebují mít možnost manipulovat s citlivými daty a důvěrnými dokumenty, naleznou si jistě mnoho cestiček, 63


jak tyto problémy obejít nebo vyřešit. Například zaměstnanci, kteří potřebují poslat kolegovi, nebo klientovi soubor s daty, který je větší než kolik povoluje poštovní server, používají veřejně dostupná úložiště internetových služeb Ulož.to, Letecká pošta, Rapidshare, E-disk, apod. Zaměstnanci, kteří potřebují pracovat z domova, ale nemají například přístup k USB flash diskům, si posílají práci na své soukromé e-mailové účty na službách typu Seznam, GMail, Email, apod. Anebo třeba zaměstnanci, kteří v rámci své pracovní náplně musí neustále pracovat s určitým penzem dat (například účetní výkazy, firemní právní dokumenty, apod.) si tyto dokumenty nosí na USB flash disku, či jiném přenosném disku. Napravení procesů – Bylo by logické, jednoduché a pravděpodobně také efektivní, začít výše jmenované činnosti uživatelům zakazovat a tím dosáhnout souladu s bezpečnostními pravidly. V lepším případě by to ale nebylo populární a v horším případě by došlo k paralyzování chodu organizace. Není jednoduše možné sebrat zaměstnancům zažité postupy a způsoby jejich práce a nechat je, aby si vyřešili problémy práce s citlivými daty sami. Koneckonců zaměstnanec je vynalézavý a třeba by IT oddělení překvapil tím, jakým jiným způsobem by se mu nastavená pravidla podařilo obejít příště. Je proto potřeba nabídnout uživatelům alternativní řešení a zajistit tím, že špatně prováděné procesy již nebudou jejich jedinou možností práce s citlivými daty. K tomu, aby bylo možné začít procesy řešit, je třeba vědět, jak fungují. Analýza dat získaných z provozu DLP systému pomůže organizaci pochopit, kde jsou hlavní příčiny špatné práce s citlivými daty. Následně lze uživatelům poskytnout alternativní řešení jejich potřeb. Pokud například zaměstnanci nahrávají data na veřejná úložiště, je nanejvýš vhodné poskytnout jim úložiště firemní (například FTP server), kam mohou data bezpečně nahrát, aniž by citlivé údaje musely opustit prostředí organizace. Pokud si zaměstnanci posílají data na soukromé maily a potřebují pracovat z domova či přistupovat

k datům

i jinde než

mimo

firmu,

je z bezpečnostního

hlediska

nejjednodušším řešením poskytnout zaměstnancům například firemní VPN, nebo zřídit SharePoint server pro přístup k dokumentům odkudkoliv. A pokud lidé potřebují v rámci své pracovní činnosti nosit data na USB flash discích, není řešením jim to zakázat z obav před ztrátou těchto disků, ale pro klidný spánek IT bezpečnostního manažera stačí data na přenosných zařízeních šifrovat. Šifrování dat podle obsahu je

64


rychlé a efektivní – jsou šifrovány pouze ty soubory, které opravdu citlivá a důvěrná data obsahují. Upozornění uživatelů – Teprve když jsou odstraněny veškeré příčiny, které zaměstnance doslova v praxi nutí k porušování pravidel, je možné začít zaměstnance upozorňovat, pokud i nadále porušují stanovená pravidla, že dělají něco špatně. K této fázi je možné přistoupit po cca čtvrtletním provozu DLP systému, kdy jsou procesy nejen dostatečně zmonitorovány, ale také příslušným způsobem upraveny do optimální podoby. Jak již bylo řečeno, není možné uživatelům ihned jejich činnosti zakazovat. I když došlo k proškolení zaměstnanců, zvyk je železná košile a mnoho z nich je proto zvyklých v rámci pracovních stereotypů pracovat s daty nevhodným způsobem. Hodně incidentů také vzniká neúmyslně, například pokud se zaměstnanec snaží poslat citlivé informace na freemailový účet, nemusí to nutně být proto, že se snaží soubory ukrást, ale třeba jen proto, že mu jeho poštovní program jako první nabídnul adresu kolegy nikoliv na firemním mail serveru, ale na jeho soukromý e-mailový účet a daný zaměstnanec si toho nevšimnul. V takovém případě, ale i jiných podobných je vhodné se prostřednictvím systému automatizovaně zaměstnance dotázat, zda tuto akci chce opravdu provést, případně mu zobrazit vysvětlení, proč by to dělat neměl. Lze takto upozornit nejen zaměstnance, ale i jeho nadřízeného, který konkrétní incident se zaměstnancem vyřeší nebo v případě falešných incidentů toto zaeviduje do DLP systému. Díky tomu dochází ke zpřesňování detekce incidentů. To je vhodné mimo jiné proto, že s nastavením jednotlivých pravidel si musí IT oddělení dát práci, aby se upozornění objevovala pouze tehdy, pokud to má smysl. Když se je uživatel formou systémových hlášek upozorňován v podstatě pořád, začne tato upozornění ignorovat a automaticky potvrzovat. [19] Prevence – Po dalších zhruba třech měsících, kdy již uživatelé získali dostatečný prostor na změnu svých pracovních návyků a na přizpůsobení se nově definovaným procesům, je možné přistoupit k zákazům a řešení individuálních incidentů. V této fázi zavádění nástroje pro prevenci ztráty dat klesá množství incidentů na minimum, které zpravidla způsobují notoričtí hříšníci nebo zaměstnanci, kteří se opravdu snaží poškodit společnost krádeží citlivých dat. V boji proti těmto posledním uživatelům, kteří politiky porušují pravidelně, poslouží dobře reporty s detaily o konkrétních incidentech, které díky korelacím umožňují „usvědčit“ konkrétního viníka z opakovaného porušování definovaných pravidel. 65


Jak lze vidět na výše uvedeném schématu a na popsaných fázích procesu implementace, jedná se o časové náročný projekt. Bylo by však mylnou představou domnívat se, že tento proces jde jakkoliv urychlit, nebo zjednodušit. Výsledkem budou buďto naštvaní zaměstnanci, v případě, že jim není nabídnuto alternativní řešení a je jim pouze zakazováno řešení stávající. Nebo bude důsledkem vágního přístupu IT oddělení vygenerované značné množství incidentů, v nichž není jednoduché se zorientovat a jejichž relevance bude z větší části nulová. Nebo dojde ke kombinaci obou těchto dvou popsaných jevů, v jejichž důsledku bude ten, kdo projekt implementace prevence ztráty dat financuje, přesvědčen o tom, že DLP řešení není funkční a projekt bude zastaven. Pokud ale naopak organizace vytrvá a bude důsledně postupovat dle výše popsaného harmonogramu činností, odměnou jí bude fungující systém prevence ztráty dat, který se projeví především minimálním výskytem bezpečnostních incidentů.

3.4 Právní a personální otázky zavádění DLP Implementace prevence ztráty dat je invazivním procesem z pohledu chodu firmy a zasahování do práce a svým způsobem i do soukromí zaměstnanců. Řada opatření, která byla zmiňována výše v testu, nebudou z pohledu zaměstnanců příliš populární, vždy je totiž problém, pokud je zaměstnancům vstupováno do jejich pracovních stereotypů. Pro zavedení DLP se proto organizace rozhodují ve chvíli, kdy hodnota chráněných informací převáží nevoli plynoucí z omezení komfortu zaměstnanců. [7] Nejčastější problémy v souvislosti s nasazení prevence ztráty dat pravděpodobně vzniknou v oblasti práva. Ve svém principu je nasazení DLP nástroje monitoringem elektronické komunikace zaměstnanců (platí pro nasazení modulu pro sledování šifrované, ale i nešifrované síťové komunikace). Je proto třeba, aby organizace před zavádění DLP zvážila a vyřešila veškeré související právní a personální otázky, které se mohou během implementace objevit. 3.4.1 Právní rámec Směrnic, nařízení a zákonů, které se jakkoliv dotýkají oblasti sledování elektronické komunikace zaměstnanců, je mnoho. Níže je uveden výčet norem, se kterými musí monitoring elektronické komunikace (e-mail, web, ...) zaměstnanců organizace být v souladu. [9]

66


•

Zákoník práce 262/2006 Sb. – § 316 upravuje situace, kdy může zaměstnavatel zasahovat do osobních práv zaměstnance. Zaměstnanec nesmí používat prostředky zaměstnavatele bez předchozího souhlasu pro soukromé účely, což má zaměstnavatel právo přiměřeně kontrolovat. Zaměstnavatel nesmí bez závažného důvodu zasahovat do soukromí zaměstnance. Pokud závažný důvod na straně zaměstnavatele existuje (což může být podezření na zneužívání firemních informací), může zavést příslušné kontrolní mechanismy za předpokladu, že bude informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.

•

Listina práv a svobod v článku 13 popisuje listovní tajemství, podle kterého není možné zasahovat do soukromé korespondence.

•

Zákon na ochranu osobních údajů, resp. stanoviska Úřadu pro ochranu osobních údajů, stanovuje podmínky, jak má organizace přistupovat k citlivým datům, tedy i k e-mailové komunikaci svých zaměstnanců

•

Směrnice Evropské unie a evropských zemí – na rozdíl od ČR mají evropské země (např. Velká Británie) pravidla pro sledování aktivit zaměstnanců lépe konkretizovaná. Obecný trend směřuje k podpoře práv zaměstnavatele, ovšem za oboustranně jasně stanovených podmínek.

3.4.2 Interpretace práva Výše uvedené normy jsou pouze striktním přepisem právních definic. V praxi se však výklad těchto i dalších norem velmi liší, většinou v závislosti na tom, která stranu (zaměstnavatel versus zaměstnanec) konkrétní normu interpretuje. Debaty i spory ohledně sledování aktivit zaměstnanců na internetu probíhají mezi odbornou i laickou veřejností již několik let a z výše uvedeného důvodu není závěr nikdy jednoznačný. Často také záleží na úhlu pohledu jednotlivce, nebo instituce, která problematiku posuzuje. Například Úřad pro ochranu osobních údajů (ÚOOÚ) ve svém vyjádření uvádí, že „…zaměstnavatel má právo sledovat u svých zaměstnanců dodržování pracovní doby a jejího využití. Pro výkon tohoto práva nemá právo sledovat, monitorovat a zpracovávat obsah korespondence svých zaměstnanců. Zaměstnavatel by případně mohl pouze sledovat počet e-mailů došlých a odeslaných u svých zaměstnanců a požadovat, aby své soukromé záležitosti v pracovní době a na pracovišti vyřizovali v přiměřené a více méně v nezbytné míře…“. V tomto případě je evidentní, že ÚOOÚ vychází z předpokladu, že jediným důvodem k monitorování komunikace zaměstnanců 67


(zde elektronické pošty) je kontrola dodržování pracovní doby. To však zdaleka nejsou jediné důvody. Dalšími mohou například být síťová bezpečnost, povinnost předcházet a chránit zaměstnance před různými formami obtěžování, ochrana obchodního tajemství, ochrana před nedovoleným kopírováním dat, filtrování spamu, nebo i přístup k firemním informacím v případě absence zaměstnance. V těchto případech by monitorování elektronické komunikace zaměstnanců mělo být součástí pravomoci zaměstnavatele. V opozici ovšem stojí právo na ochranu soukromí, osobních údajů a korespondence. [20] Že nelze jen slepě recitovat zákony, ale je třeba reflektovat reálnou situaci, ukazuje například samotný princip elektronické komunikace. Ta je během procesu přenosu mnohonásobně tříděna a kopírována, podle předem stanovených pravidel (například na Exchange serveru je pošta směrována dle údajů v hlavičce). Proto, aby mohlo k takovému třídění docházet je třeba, byť jen minimální, monitorování obsahu zprávy (právě oné zmiňované hlavičky, v případě zapojení antispamu pak i těla zprávy). Z tohoto principu vyplývá, že každý, kdo zasílá soukromé e-maily na e-maily firemní, musí počítat s tím, že zaslaný e-mail bude několikrát během své cesty „přečten“. [20] Dalším způsobem interpretace práva je názor, že zaměstnavatel má právo číst a nakládat s elektronickou komunikací zaměstnanců jen v těch případech, kdy lze předpokládat, že obsah komunikace je firemní. Zaměstnavatel pak může z principu předpokládat, že obsah zprávy je firemní tehdy, pokud je zpráva zaslána nebo přijata pomocí firemní elektronické schránky. Na druhou stranu je téměř stoprocentně jisté, že zaměstnanci budou firemní e-mail využívat také k soukromým účelům. Striktní zákaz takového využití e-mailu jistě není řešením. Díky uvedenému rozporu různých právních interpretací je proto takřka nemožné najít jednoznačnou právní definici, která by dala za pravdu jedné či druhé straně. Vhodnějším řešením je nastavit odpovídající mantinely pro jednání mezi zaměstnancem a zaměstnavatelem. Z pohledu zaměstnavatele se jedná o úpravu interních předpisů, nebo podrobnou úpravu firemního přístup k monitorování elektronické komunikace zaměstnanců v rámci pracovní smlouvy. [20] 3.4.3 Posouzení oprávněnosti monitoringu Různé úhly pohledu na věc mohou způsobovat, že se tatáž činnost může řídit jinými právními předpisy. Proto se při oprávněnosti monitoringu elektronické komunikace posuzuje několik faktorů, které vyplývají z výše uvedeného textu. [9]

68


•

Rozlišení soukromé a firemní korespondence – u firemní korespondence je situace s jejím sledováním jednodušší, je proto vhodné zajistit (např. interní směrnicí), že například e-mail je používán pouze k pracovním účelům. Pokud se tak neděje, je odpovědnost na zaměstnanci. Pokud se i tak soukromá korespondence v e-mailové komunikaci objeví, je možné z toho vyvodit důsledky pro zaměstnance, nicméně by bez jeho souhlasu neměla být čtena.

•

Ochrana práv zaměstnavatele – zaměstnavatel má možnosti sledovat elektronickou komunikaci v odůvodněných případech, kdy by mohlo dojít k poškození jeho práv. Nemělo by tedy jít o ruční náhodné pročítání pošty, ale o monitoring založený na předem daných pravidlech (klíčová slova, směry komunikace apod.)

•

Souhlas zaměstnance – obecně se doporučuje získat od zaměstnance souhlas (respektive prokazatelné vzetí na vědomí) s monitoringem elektronické komunikace. Souhlas sice není nadřazený zákonu (pokud by byl se zákonem v rozporu, bude neplatný), ale je možné si touto cestou obecně vyjasnit pravidla ohledně používání firemních prostředků k soukromým účelům, vyjádřit stanovisko zaměstnavatele (monitoring provádí ze závažných důvodů, informace považuje za svá cenná aktiva) atd. Souhlas tedy ve výsledku zlepšuje situaci zaměstnavatele.

•

Běžně je možné sledovat počty mailů a jejich hlavičky (odkud a kam je mail posílán), protože z právního hlediska nejde o obsah správy (analogie s adresou na obálce). K otevření mailu (čtení obsahu) už je potřeba splnit určité předpoklady uvedené výše.

3.4.4 Vyplývající právní doporučení Ze všeho, co zde bylo uvedeno, je možné vyvodit několik důležitých doporučení, kterými by se organizace při zavádění prevence ztráty dat měla řídit. Ještě před nasazením konkrétního DLP nástroje by měli být zaměstnanci o monitoringu elektronické komunikace informováni a pokud možno aktivně vzít tuto informaci na vědomí (podpis interní směrnice, ustanovení v pracovní smlouvě). Pro rozpor se zákonem nemá smysl požadovat souhlas se čtením pošty (procházení mailboxů), ale je možné souhlasit s monitoringem informací v síťovém provozu. Monitoring by měl vždy směřovat k ochraně práv zaměstnavatele, tedy neměl by být využíván k plošnému a neúčelovému sledování komunikace (jako je náhodné pročítání e-mailů). V praxi to 69


znamená například zachytávání komunikace definovaných klíčových slov nebo šablon dokumentů, tedy cílené vyhledávání předem stanovených údajů. V informaci pro zaměstnance je dobré uvést, že předmětem monitoringu jsou informace považované za vlastnictví zaměstnavatele (obchodní informace, smlouvy, data klientů atd.) [9] Ve směrnicích je vhodné dále konkretizovat, jak k monitoringu dochází – tzn. neuvádět jen obecné fráze, že zaměstnavatel může provádět sledování elektronické komunikace směřující k ochraně vlastních práv, ale uvést také konkrétní role, které jsou k této činnosti pověřeni. Pro tyto role je třeba dále definovat zvláštní odpovědnosti, jako například udržovat mlčenlivost, diskrétnost apod. Stále je však třeba mít na vědomí, že právní úprava není v této oblasti jednotná, existují různé výklady a některé části zákonů si navzájem odporují (například právo zaměstnavatele určit e-mail jako firemní majetek bez nároku na soukromé použití versus listovní tajemství). Obecně se doporučuje informovat zaměstnance předem a mít od nich prokazatelný souhlas se stanovenými pravidly. [8] 3.4.5 Personální rámec Z organizačního a personálního pohledu je vhodné, aby měl každá zaměstnanec přístup pouze k těm informacím, které opravdu potřebuje k výkonu své práce. Z právního, respektive administrativního pohledu je vhodné ošetřit vztah zaměstnance k těmto informacím formou dohody o důvěrnosti (NDA – non-disclosure agreement) a dále směrnicemi, které definují práva a především povinnosti zaměstnanců při práci s citlivými daty. Neméně důležitou roli plní při definování práce personálu s citlivými daty osvěta. Je dobré zaměstnancům vysvětlit důvody nastavených pravidel a také to, jak by se měli při práci s citlivými daty chovat. Snahou by mělo být předat zaměstnancům sdělení, že ochrana citlivých dat společnosti je také v jejich zájmu. Tedy že v případě úniku dat, a to jak neúmyslného, tak záměrného, bude firma poškozena (na dobrém jméně, ale především finančně – odliv klientů, úbytek zakázek), což se negativně projeví také ve snížení platů či propouštění. [21] K osvětě patří i povědomí zaměstnanců o bezpečnosti dat a informačních systémů. Tedy vštípit zaměstnancům základní pravidla práce s citlivými daty a s informačními systémy obecně. Je třeba zaměstnancům vysvětlit práci s hesly, pravidla práce s důvěrnými dokumenty, nařízení týkající se zasílání a přijímání nepovolených typů souborů, apod. Je třeba v první řadě přesvědčit zaměstnance, aby sami a dobrovolně dodržovali základní pravidla bezpečnosti. [18] 70


3.5 Přínosy zavedení DLP 3.5.1 ICT bezpečnost Bezpečnost práce s citlivými informacemi, respektive ICT bezpečnost obecně je obzvláště v dnešní době nutné chápat komplexně. Nestačí pouze mít pokrytu základní ICT bezpečnost a postupně přidávat další související funkce. Je nutné vnímat souvislosti, které vedou ke vzniku hrozeb a rizik. Nestačí tak například jen vědět, kdo je za únik dat odpovědný, ale je dobré porozumět tomu, proč k tomuto úniku došlo a jakým způsobem lze zajistit, aby se situace neopakovala. Většina organizací má navíc minimální, nebo žádný přehled o tom, kde jsou citlivá data uložena, nemá kontrolu nad tím, kam a jak tato data organizaci opouští, a neví jak na tyto úniky zareagovat. [5] Zavedení prevence úniku dat má několik pozitivních efektů pro celou bezpečnostní infrastrukturu. Nezbytným předpokladem totiž je, že si organizace udělá jasno v tom, co jsou pro ni citlivá data, jak se s nimi může a nemůže pracovat, a kdo je oprávněn k nim přistupovat. Nasazením získá organizace přehled o reálném způsobu nakládání s citlivými daty a zároveň dostane do ruky účinný nástroj a sadu procesů, jak zajistit, aby bylo s těmito daty nakládáno podle definovaných pravidel. Účinnost prevence úniku dat bude chtít organizace také postupně zvyšovat, což povede k tomu, že začne lépe hlídat činnosti zaměstnanců na internetu (veřejné e-maily, sociální sítě, různá webová úložiště apod.) i na pracovních stanicích (řízení přístupu k výměnným zařízením, externím diskům atd.). Celkovým přínosem je tedy jednoznačné posilování bezpečnosti celé firemní infrastruktury. [6] 3.5.2 Práce s daty Kromě obecných přínosů v oblasti ICT bezpečnosti umožní procesy prevence ztráty dat, podpořené vhodným nástrojem, provést následující opatření: •

Definice jednotných pravidel – Stanovení politik a pravidel práce s citlivými daty v celém podniku a zajištění jejich dodržování. Jasné definování, kdo a jak může s konkrétními daty nakládat (kopírování, přesun, umístění apod.)

•

Přesná detekce obsahu – Ta probíhá podle slovníků a definic specifických pro každou společnost. Slovník je sestaven implementujícím týmem a díky tomu jsou hledána relevantní data vztažená ke konkrétní společnosti.

•

Zabránění šíření a odcizení důvěrných a citlivých dat organizace – Díky prevenci ztráty dat lze omezit, či úplně zakázat: kopírování přes USB flash 71


disky, vypalování CD/DVD, posílání e-mailů s citlivými daty, zasílání e-mailů přes (vybrané) webmailové aplikace, vytištění nebo faxování dat, kopírování v systému, kopírování na lokální disk v síti. •

Zavedení šablon a pravidel pro automatické vyhodnocení incidentů – Stanovení vlastního soubor pravidel, jak s nalezenými daty v rámci řešení konkrétních bezpečnostních incidentů pracovat. Přesně stanovená pravidla přináší organizaci výhodu jednotného a automatizovaného řešení bezpečnostních incidentů.

DLP také pomáhá odhalit časté firemní nešvary a dokáže na ně konkrétně ukázat. Nejčastějšími problémy, se kterými se organizace setkávají, jsou: •

Využívání a zneužívání soukromých e-mailů (freemailů). U těchto neplacených e-mailových služeb lze prolomit heslo, data mohou být zkompromitována ze strany administrátora freemailu, apod.

•

Sdílení informací jinak než firemním e-mailem nebo SharePointem. Typicky se tak děje přes veřejná úložiště.

•

Nezabezpečená firemní korespondence obsahující citlivé informace, který by měly být, ale nejsou zašifrované.

•

Pracovní dokumenty jsou zasílány na soukromé e-maily zaměstnanců, např. kvůli práci z domova.

•

Přístup k dokumentům mají neautorizované osoby, jejich kopie leží tam, kde nemají.

•

Zaměstnanci si posílají soukromé dokumenty (knihy, školní materiály apod.) na firemní e-mail za účelem jejich tisku.

•

Zaměstnanci využívají e-mail a internet k soukromým účelům (nákupy, sjednávání dovolených apod.)

Důležité je ale především to, že organizace se o těchto bezpečnostních problémech dozví

a nabídne

uživatelům

alternativní

řešení,

které

odpovídá

nastaveným

bezpečnostním standardům. 3.5.3 Úpravy procesů a další rozvoj Díky zavedení prevence ztráty dat získá organizace cenný nástroj, kterým průběžnou formou získává zpětnou vazbu z pohledu informační bezpečnosti a získané výstupy může využít pro další vývoj celé ICT bezpečnosti a souvisejících firemních procesů. Úpravy těchto procesů se týkají především sdílení dokumentů a informací, využití e72


mailu a interních IS, používání freemailových služeb, apod. Kromě toho může organizace lépe zabezpečit komunikační kanály a zvolit vhodný typ a způsob zabezpečení. Díky tomu, že se projeví výše jmenované nešvary a špatné pracovní návyky zaměstnanců, může organizace nahradit tyto stávající nevhodné způsoby komunikace a práce s citlivými daty jinými, vyhovujícími způsoby. Pokud všichni zaměstnanci dostanou do ruky jednotný nástroj pro práci s daty (například SharePoint) je výsledkem celkové zefektivnění práce s interními firemními dokumenty, v souladu s bezpečnostními normami a pravidly. Dalším krokem organizace může být revize bezpečnostních politik, tzn. práce se SW, řízení přístupu k webovým stránkám a aplikacím, řízení přístupu k zařízením, a také úpravy interní legislativy pro práci s informacemi a s výpočetní technikou. Pokud organizace pokryje všechny výše jmenované body, nejenže učiní významný posun v zabezpečení firemních dat, ale zároveň bude moci soustředit své úsilí na jiné oblasti ICT bezpečnosti, například na nové hrozby a útoky, kterých je mimo podnikovou síť vždy dost. [2]

3.6 Best practices zavádění prevence ztráty dat Pro hladký start a zavádění prevence ztráty dat je dobré dopředu si rozmyslet některé úkony a dobře se připravit jak po procesní, tak po technologické stránce. Na závěr této třetí části práce je proto dobré shrnout si hlavní myšlenky a vyjádřit je formou best practices pro projekty implementace DLP. Základní sada doporučení je následující: [8] •

Rozmyslet si cíle nasazení DLP systému (vize, strategie) – je vhodné postupovat po menších krocích, ale je potřeba vědět, kam celý projekt směřuje (např. zda postačuje monitoring práce s informacemi nebo je potřeba jí i řídit, zda chceme hlídat pouze síť nebo i pracovní stanice apod.). Dále je potřeba zvážit návaznosti DLP (např. šifrování dat apod.)

•

Mít připravenou půdu – tzn. především mít vyřešenou základní ICT bezpečnost a to jak z pohledu nástrojů, tak především z pohledu bezpečnosti informací. Je třeba mít klasifikovaná data dle jejich důvěrnosti, vyřešena přístupová oprávnění a dobře nastaveny bezpečnostní procesy a pravidla. Zapomínat nelze ani na lidský faktor v podobě povinností a potřeb zaměstnanců.

•

Vytvořit si vstupní návrh sledovaných dat / informací – co chceme sledovat, kde data najít (v seznamech, databázích, dokumentech, ..., tj. odkud se je může DLP systém naučit). 73


•

Zamyslet se, kde všude se v organizaci mohou citlivá data vyskytovat – to je možné

ověřit

i v rámci

pilotního

projektu

(již

zmiňovaného

security

assessmentu), v rámci kterého jsou proskenována síťová i lokální úložiště. •

Nominovat osoby, které budou působit v jednotlivých rolích DLP projektu – zejména stanovit osobu, která bude vyhodnocovat incidenty a pečovat o celý proces.

•

Provést potřebné právní úpravy – především seznámit zaměstnance s plánovaným postupem a sdělit jim, co to pro ně znamená. Dále je nutné upravit pracovní smlouvy (například formou doložky) a zároveň připravit (případně upravit) interní směrnice a nařízení.

•

Vytipovat vhodné technické řešení – kam v síti je vhodné zapojit sondy, jak podchytit všechny datové toky apod.

•

Zrealizovat pilotní projekt – v rámci něj jsou ověřena prvotní očekávání, pomůže naučit se přemýšlet v intencích DLP nástroje (způsob definice citlivých dat, nastavení pravidel pro jejich zpracování apod.) a prověří vlastnosti vybraného nástroje při použití v prostředí organizace. Pro pilotní projekt je použit vstupní návrh sledovaných dat, který je postupně upravován a zpřesňován.

•

Nastavit očekávání – implementace DLP je dlouhodobý projekt, vyžaduje úzkou spolupráci mezi IT (technická implementace) a vlastníky informací (businessem), kteří budou pomáhat s definováním, jaká data jsou pro ně citlivá, jak se s nimi (ne)může nakládat a následně také budou reagovat na detekované incidenty.

•

Získat podporu managementu firmy – zejména v pozdějších krocích může mít implementace DLP systému dopady na procesy ve firmě, pracovní návyky zaměstnanců apod. podobně jako např. při zavádění business process management platforem. Je proto vhodné mít podporu klíčových osob v organizaci.

•

Vybrat si dobrého partnera – DLP systémy jsou vnímány jako součást infrastruktury / bezpečnosti, ale povahou mají blíž k platformám pro vývoj informačních systémům, systémům pro řízení procesů apod. Implementace DLP proto vyžaduje dobře zvládnutý projektový přístup na straně dodavatele.

74


Závěr Na tomto místě bych rád shrnul svou práci a sdělil několik návrhů a závěrů, ke kterým jsem v průběhu tvorby došel a které z ní vyplývají. Ve své práci jsem se věnoval tématu prevence ztráty dat a to jak z hlediska použitých softwarových nástrojů, tak hlavně z pohledu probíhajících procesů v organizaci. Totiž právě procesy jsou alfou a omegou dění v organizaci a jejich nastavení a průběh jsou rozhodující při jakýchkoliv změnách v organizaci. Dobře připravený projekt je založený na zhodnocení aktuálního stavu, napravení nedostatků, přizpůsobení prostředí a teprve následně může dojít k implementaci řešení. Nejinak je tomu u zásahů do IT bezpečnosti firem, dokonce naopak, každý nepřipravený krok se v budoucnu vymstí dvojnásobně. Rozdíl je totiž v tom, že zatímco u ostatních procesů si firma může dovolit zkoušet různé varianty řešení, v oblasti IT bezpečnosti znamená chyba závažné potíže, které se zpravidla dotýkají především citlivých informací organizace. Ty jsou pro všechny firmy nositelem hodnoty, ať již přímo, nebo nepřímo, proto jejich ztráta či únik znamená jednoznačně velký problém, navíc finančně vyčíslitelný. Pokud organizace neznají hodnotu svých informací, nebo je neumí vyčíslit, je to pouze známkou toho, že o IT bezpečnosti neuvažují ve správném kontextu a nenahlížejí na ni ze správného úhlu pohledu. Aby bylo možné navrhnout správný postup implementace prevence ztráty dat, bylo proto nejprve potřeba znát současný stav napříč celým spektrem velikosti organizací. Právě velikost je totiž klíčovým faktorem v přístupu k IT bezpečnosti. Důvodem je jednak rozdílná výše prostředků, které jsou různě velké společnosti schopny a ochotny vynaložit na zabezpečení své IT infrastruktury, ale také rozdílná vyspělost procesů v organizaci, a to nejen bezpečnostních, ale i personálních, řídících a dalších. V úvodu mé práce jsem se proto věnoval zhodnocení současného stavu firem v oblasti prevence ztráty dat. Rozdělil jsem organizace podle jejich velikosti a v každé skupině jsem vymezil aktuální stupeň zabezpečení a jeho nedostatky. Tím jsem si vytvořil první vstupní bod pro třetí část mé práce. Druhým vstupem byla potřeba znát a popsat veškerá rizika, která mohou v oblasti bezpečnosti citlivých dat vzniknout. Sestavil jsem proto výčet těchto rizik, společně s návrhem toho, jakým způsobem je lze co nejefektivněji řešit. Je samozřejmě logickým důsledkem vývoje nástrojů pro prevenci ztráty dat, že právě tyto systémy pokrývají definovaná rizika nejlépe. To však neznamená, že by byly jediným možným a vhodným řešením, proto jsem při sestavování požadované koncepce

75


ve třetí části práce musel přihlížet také k dalším faktorům, z nichž jedním z nejvýznamnějších byla právě zmiňovaná velikost organizace. Přesto jsou samozřejmě dedikované softwarové nástroje pro prevenci ztráty dat tím nejvhodnějším řešením pro pokrytí jmenovaných rizik a i vývoj těchto řešení reflektuje rozdílné potřeby a možnosti firem vyplývající z jejich velikosti či způsobu fungování. V druhé části práce jsem se proto kromě popisu fungování těchto nástrojů zaměřil na zmapování aktuálních trendů v jejich vývoji. Ten, jak jsem psal, se přizpůsobuje potřebám firem, a proto lze kromě robustních celopodnikových DLP nástrojů vybírat také z menších a flexibilnějších řešení, která pokrývají dílčí oblasti podnikové ICT infrastruktury. Výsledkem je ucelené portfolio produktů, které dokáže nabídnout potřebné řešení všech základních jmenovaných rizik úniku citlivých dat pro jakkoliv velké organizace. Pro komplexní pohled na softwarové nástroje jsem provedl také porovnání nejlepších a nejvyspělejších dostupných řešení na trhu. Nicméně jak jsem již podotýkal, softwarový nástroj je pouze jednou proměnnou celé problematiky prevence ztráty dat a hlavní část úsilí spočívá ve vytvoření a zavedení souvisejících procesů. Pokud vytvářím procesy nové, měl bych zajistit, aby zapadaly do procesů stávajících. Ty mohou, ale nemusí být nastaveny správně, proto jsem v třetí části mé práce vytvořil sadu doporučení, jakým způsobem by měly organizace připravit své prostředí na zavádění prevence ztráty dat. Klíčem k úspěchu každého projektu jsou jeho kvalitní základy. Popsal jsem tedy, jak by měly organizace mít vyřešenou základní ICT bezpečnost, jak by měly nastavit personální procesy a jak připravit samotné citlivé informace tak, aby je bylo možné co nejlépe chránit. Zde bych opět připomenul, že základním článkem je člověk. Jsou to pouze a jen samotní zaměstnanci, kteří s informačními technologiemi pracují a způsobují úniky citlivých dat. Proto nejdůležitějším krokem není nasazení nástroje a implementace procesů pro zabránění ztráty dat. Nejdůležitější je odstranit pokud možno co nejvíce příčin, které ke ztrátě dat vedou, a to jsou zpravidla právě špatně nastavené bezpečnostní procesy, nedostatečně pokrytá základní bezpečnost a úplně nejvíc nevhodně vyřešené zabezpečení na personální úrovni. Pokud se organizace zaměří na tyto tři aspekty, dostane slovo prevence skutečný rozměr a v krajním případě firma zjistí, že žádný další nástroj pro prevenci ztráty dat ani zavádět nemusí. Pakliže chce organizace zavést prevenci ztráty dat, nestačí pouze vědět, jak to má dělat, ale musí si především stanovit, co od toho očekává. Není možné celý projekt řídit 76


do cíle, pokud tento cíl neznám. Stejně tak tam, kde nejsou stanovena očekávání, je prakticky nemožné dosáhnout požadovaného stavu. Při vytváření koncepce prevence ztráty dat jsem se proto snažil vytvořit soubor doporučení, na co by se organizace měla zaměřit ještě předtím, než přistoupí k implementaci. Aby organizace věděly, co mají od zavádění prevence ztráty dat očekávat, sestavil jsem popis průběhu implementace nástrojů pro prevenci ztráty dat, a to ze dvou klíčových pohledů. Tím prvním je procesní pohled, kde jsem popsal co vše je třeba v rámci implementace provést. Druhým pohledem je časové hledisko, které je u mnoha firem zkreslené, případně chybí organizacím představa o tom, jak výše popsané procesy probíhají v čase a jaká je jejich návaznost. Téma prevence ztráty dat se velice úzce dotýká dvou souvisejících oblastí – právní a personální. Mým záměrem proto bylo zakomponovat do celé vytvářené koncepce také řešení těchto dvou otázek. Má kvalifikace ani zaměření mi nedovolují vynášet jednoznačné právní soudy, nebo rady. Snažil jsem se proto spíše vytvořit soubor doporučení, která se zakládají na platných právních předpisech naší země a obecné interpretaci těchto předpisů v odborné praxi. Osobně se domnívám, že cestou k úspěchu je kompromis. S tím souvisí i personální hledisko, které jsem v práci řešil. Pokud dokáže organizace pohlížet na IT bezpečnost z pohledu zaměstnanců, tedy nikoliv jim stavět do cesty překážky, ale naopak usnadňovat práci a nabízet vhodná řešení jejich problémů postavená na bezpečných základech, dosáhne souladu na obou stranách „barikády“. Zde v závěru práce bych se rád zamyslel nad dalším možným vývojem v oblasti prevence ztráty dat. Osobně se domnívám, že tato část IT bezpečnosti se dotýká, spíše než nástrojů, firemních procesů. Z tohoto důvodu spatřuji nutnost chápat ochranu citlivých dat v komplexu celého podniku, od motivace zaměstnanců k tomu, aby změnili své chování, přes nastavení stávajících procesů, abych jim změnu chování umožnil, až po zabezpečení na úrovni softwarových nástrojů, abych změnu chování mohl vynucovat. Je proto potřeba nezaměřovat se pouze na schopnosti samotných DLP systémů, protože sebelepší funkce takového nástroje organizaci nespasí. Je naopak nutné vnímat souvislosti, které prevence ztráty dat jednoznačně přináší. Tedy vědět nejen že k úniku citlivých dat došlo, ale vědět především proč k němu došlo, případně kdo je za únik a za informace odpovědný. Analýzou těchto souvislostí jsme totiž schopni zjistit, co bychom měli udělat proto, aby se dalo situaci předejít a již k ní znovu 77


nedošlo. Vnímám proto prevenci ztráty dat více jako tu oblast IT bezpečnosti, která má blíže k celé bezpečnostní strategii. Z tohoto důvodu si dovolím tvrdit, že je třeba, aby se procesu zavádění prevence ztráty dat věnoval po celou dobu IT bezpečnostní manažer, nebo jím jmenovaný pracovník. Náplní jeho práce by mělo být důsledné řešení bezpečnostních incidentů a především poskytování zpětné vazby nejen pro konfiguraci samotného softwarového nástroje, ale také pro úpravu procesů, které v organizaci probíhají. Lze očekávat, že vývoj DLP nástrojů bude směřovat právě tímto směrem, tzn. k usnadnění práce i času dedikovaných pracovníků za účelem řešení vznikajících incidentů. Organizace tím získá větší prostor k tomu, aby se mohla věnovat podstatě celého problému – chování zaměstnanců, které vychází z precizně vytvořených procesů a pravidel pro práci s citlivými daty.

78


Seznam použité literatury [1] APPLEGATE, L. M. – AUSTIN, R. D. – MCFARLAN, F. W.: Corporate information strategy and management: text and cases, Boston, Irwin/McGraw-Hill, 2007, 978-0-07-294775-5 [2] DOUCEK, P. – NOVÁK, L. – SVATÁ, V.: Řízení bezpečnosti informací, Praha, Professional Publishing, 2008, 978-80-86946-88-7 [3] OUELLET, E. – MCMILLIAN, R.: Magic Quadrant for Content-Aware Data Loss Prevention, Stamford, Gartner, 2011, G00213871 [4] RODRYČOVÁ, D. – STAŠA, P.: Bezpečnost informací jako podmínka prosperity firmy, Praha, Grada, 2000, 80-7169-144-5 [5] ROEBUCK, K.: Data Loss Prevention (Dlp): High-impact Strategies - What You Need to Know: Definitions, Adoptions, Impact, Benefits, Maturity, Vendors [Paperback], Tebbo, 2011, 978-1743045497 [6] SEJK, V.: IT bezpečnost 2.0 - od technologií k procesům, IT Systems, 2012, roč. 14, 1-2, ISSN 1802-002X [7] SEJK, V.: Prevence úniku dat: Dostaňte citlivé informace pod kontrolu, CIO Business World, 2012, č. 1. ISSN 1803-7321 [8] SEJK, V.: UNICORN SYSTEMS, Jak začít s DLP, Praha, 2011 [9] SEJK, V.: UNICORN SYSTEMS, Právní důsledky auditu elektronické komunikace, Praha, 2012 [10] STŘÍŽOVÁ, V.: Organizace, informace, management, Praha, Oeconomica, 2005, 80-245-0924-5 [11] STŘÍŽOVÁ, V.: Systémové pojetí (hospodářské) organizace, Praha, Oeconomica, 2007, 978-80-245-1265-5 [12] SVATÁ, V.: Audit informačních systémů, Praha, VŠE, 2005, 80-245-0975-X

Seznam internetových zdrojů [13] V ČR poklesl loni spam o 88 %. [online]. [cit. 2012-04-23]. Dostupné z: http://www.systemonline.cz/zpravy/v-cr-poklesl-loni-spam-o-88-z.htm [14] Armáda opäť stratila USB-kľúč s dokumentmi. [online]. [cit. 2012-04-23]. Dostupné z: http://www.webnoviny.sk/slovensko/armada-opat-stratila-usb-kluc-sdo/243892-clanok.html?from=suggested_articles [15] Ministerstvu školství unikl na web seznam dotovaných romských středoškoláků. [online]. [cit. 2012-04-23]. Dostupné z: http://zpravy.ihned.cz/c1-53548930ministerstvu-skolstvi-unikl-na-web-seznam-dotovanych-romskych-stredoskolaku 79


[16] Citlivé údaje klientů pojišťovny Uniqa se dostaly na internet (oživeno). [online]. [cit. 2012-04-23]. Dostupné z: http://www.zive.cz/bleskovky/citlive-udaje-klientupojistovny-uniqa-se-dostaly-na-internet-oziveno/sc-4-a-148611/default.aspx [17] Lidský faktor v bezpečnosti IS. [online]. [cit. 2012-04-23]. Dostupné z: http://www.systemonline.cz/clanky/lidsky-faktor-v-bezpecnosti-is.htm [18] Bezpečnost IS - co to znamená? (1. díl). [online]. [cit. 2012-04-23]. Dostupné z: http://old.isvs.cz/bezpecnost/bezpecnost-is-co-to-znamena-1-dil-.html [19] DLP: Jak zabránit úniku citlivých informací. [online]. [cit. 2012-04-23]. Dostupné z: http://www.cleverandsmart.cz/dlp-jak-zabranit-uniku-citlivych-informaci/ [20] Monitorování e-mailů zaměstnanců. [online]. [cit. 2012-04-23]. Dostupné z: http://www.epravo.cz/top/clanky/monitorovani-e-mailu-zamestnancu-22444.html [21] Je data loss prevention opravdová prevence?. [online]. [cit. 2012-04-23]. Dostupné z: http://www.systemonline.cz/clanky/je-data-loss-prevention-opravdova-prevence.htm

80

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky. Diplomová práce Bc. Tomáš Brejla

Recommend Documents