logo_opentech2

AktuALNOŚCI

DLP safetica
Facebook
Twitter
LinkedIn

Zapobieganie utracie danych, Data Loss Prevention

Patrząc na rozwój gospodarki cyfrowej i  w jakim tempie dane są przetwarzane w cyberprzestrzeni przez przedsiębiorstwa i podmioty publiczne, stwarza ryzyko braku kontroli nad ich odpowiednim przetwarzaniu i możliwości ich utraty, gdzie obecnie informacja (dane) są największa wartością dla organizacji.

W codziennej działalności podmiotów prywatnych i publicznych wysyłane są i odbierane miliony maili, przekazuje się w systemach ogromne ilości danych, plików liczone w tysiącach bądź nawet w milionach, które są pobierane, zapisywane lub przesyłane za pomocą różnych kanałów lub urządzeń.

Bardzo często są to informacje wrażliwe dla działalności tych organizacji, szczególnie jeżeli mówimy tu o danych osobowych, informacji biznesowych, wrażliwych i krytycznych dla ich funkcjonowania. Zgodnie z wymogami regulacji prawnych, zapisów umownych informacja taka podlega szczególnej ochronie, ze względu na wartość tej informacji dla samej organizacji i jej otoczenia.

Niestety jednak podmioty publiczne i prywatne stale padają ofiarą masowej utraty danych i nadal dochodzi do głośnych wycieków danych dotyczących wrażliwych danych osobowych i korporacyjnych.

Utrata danych może w znacznym stopniu zaszkodzić konkurencyjności, świadczeniu usług i funkcjonowaniu podmiotu publicznego, a szczególnie może narazić na utratę zdrowia i życia ludzi, jak również może być powodem pozwów sądowych lub działań regulacyjnych za niedostateczne zapewnienie bezpieczeństwa.

Dlatego też organizacje powinny podjąć działania mające na celu zrozumienie, jakie dane wrażliwe są w ich posiadaniu, jak je kontrolować i jak zapobiegać ich wyciekowi. Rozwiązaniem podejścia do utraty danych są rozwiązania klasy DLP – Data Loss  Prevention np.: Safetica

Problem utraty danych?

W zależności od rodzaju utraconych danych, organizacja może ponieść różne konsekwencje, ale prawie we wszystkich przypadkach występują koszty finansowe i utrata reputacji.

Jakie rodzaje strat?

Utratę danych można podzielić na dwie, czasami pokrywające się, kategorie:

– Wyciek,  w którym wrażliwe dane nie znajdują się już pod kontrolą organizacji – jest to utrata poufności. Najczęstszą formą utraty danych wycieku danych, często wynika z włamania do baz danych klientów, a jego najczęstszą konsekwencją jest potencjalna kradzież tożsamości.

W największym jak dotąd pojedynczym ataku tego typu 130 milionów rekordów kart kredytowych zostało skradzionych, inny atak dotyczył 94 milionów rekordów klientów w dużej sieci handlowej.

– Zniknięcie lub uszkodzenie – gdy poprawna kopia danych nie jest już dostępna dla organizacji – naruszeniu integralności organizacji (co odpowiada naruszeniu integralności lub dostępności). W  2009 r., kiedy to duży dostawca usług telefonii komórkowej na szeroką skalę utracił utraty danych klientów, które miały znajdować się na zewnętrznej usłudze przechowywania danych w chmurze w zewnętrznej usłudze przechowywania danych w chmurze. W normalnym trybie pracy, po wyłączeniu zasilania smartfon automatycznie synchronizował swoje dane z centralnym serwerem, który przechowuje je, aby były dostępne, gdy telefon zostanie ponownie użyty. Z nie wyjaśnionych do końca powodów, awaria serwera w serwisie pamięci masowej spowodowała usunięcie kopii zapasowych notatek, zdjęć i innych danych ponad miliona klientów smartfonów. Oczywiście, jeżeli ostatnia dokładna kopia danych zostanie fizycznie skradziona, organizacja staje w obliczu obu problemów. W niektórych przypadkach może nie być jasne, która z tych sytuacji ma miejsce. Jednym z najczęstszych problemów jest kradzież lub utrata laptopów, które pracownik zabrał z biura. Jeżeli pracownik aktualizował i edytował informacje na laptopie przy użyciu wielu źródeł danych, ta kopia może być najbardziej aktualna i może nie być jasne, jak odtworzyć prawidłową wersję z kopii zapasowej.  Bez zapewnienia aktualnego i dokładnego zarządzania dokumentacją, firma może nie być w stanie określić, których dokumentów to dotyczy.

Konsekwencje utraty danych

Podobnie jak inne incydenty związane z bezpieczeństwem, incydenty utraty danych mogą powodować znaczne koszty, ale czas trwania i wielkość kosztów różnią się w zależności od rodzaju utraty danych. Koszty dla organizacji mogą być znacznie poważniejsze i mogą obejmować koszty odpowiedzialności, które nie zawsze są pokrywane przez polisy ubezpieczeniowe. Utrata danych dotyczących przetwarzania płatności może wymagać wielu lat ich przywrócenia, jednak konsumenci na ogół są w stanie zlikwidować problemy i odzyskać straty finansowe. Dzisiejszy ruch w kierunku szerokiego wykorzystania elektronicznej dokumentacji medycznej może jednak stanowić nową klasę ryzyka zarówno dla pacjenta, jak i dla organizacji. W przypadku tej dokumentacji ryzyko dotyczy prywatności, więc jeżeli dokumentacja zostanie upubliczniona szkody dla osoby fizycznej są trwałe, a nie tymczasowe, jak w przypadku nieuczciwego obciążenia karty kredytowej. W związku z tym organizacja może być narażona na zwiększoną ilość spraw sądowych lub kar wynikających z przepisów prawa.

Dlaczego warto zapobiegać utracie danych?

Kluczowymi czynnikami decydującymi o wprowadzeniu mechanizmów zapobiegania utracie danych są zgodność z przepisami i ochrona własności intelektualnej.

Zgodność z przepisami

Obecnie wiele podmiotów znajduje się pod nadzorem regulacji rządowych i branżowych, które nakazują kontrolę nad informacją, a w szczególności nad informacją umożliwiającą  identyfikację osób.

Ochrona własności intelektualnej

Według Światowej Organizacji Własności Intelektualnej własność intelektualna to wytwory umysłu wynalazki, dzieła literackie i artystyczne, symbole, nazwy, obrazy i wzory wykorzystywane w handlu.

Dla wielu przedsiębiorstw własność intelektualna może być cenniejsza niż ich aktywa fizyczne. W związku z tym, ustanowienie polityki i mechanizmów zabezpieczających przed utratą lub kradzieżą własności intelektualnej ma kluczowe znaczenie dla ochrony marki i utrzymania konkurencyjności wielu przedsiębiorstw.

Podejście do zapobiegania utracie danych

Zapobieganie utracie danych to program przedsiębiorstwa mający na celu powstrzymanie różnych wrażliwych danych przed opuszczenia przez różne wrażliwe dane prywatnych granic przedsiębiorstwa. W związku z ostatnimi głośnymi incydentami utraty danych w branży  technologie zapobiegania utracie danych stają się ważnymi środkami kontroli bezpieczeństwa informacji i prywatności.

Wektory utraty

Dane organizacji istnieją na ogół w trzech głównych stanach.

– Dane w stanie spoczynku – dane znajdujące się w systemach plików, rozproszonych pulpitach i dużych, scentralizowanych

Dane w stanie spoczynku – Dane znajdujące się w systemach plików, rozproszonych komputerach stacjonarnych i dużych, scentralizowanych magazynach danych, bazach danych lub innych metodach przechowywania.

– Dane w punkcie końcowym – Dane znajdujące się w punktach końcowych sieci, takich jak laptopy, urządzenia USB, dyski zewnętrzne i inne nośniki zewnętrzne o dużej mobilności.

– Dane w ruchu – Dane przemieszczające się przez sieć na zewnątrz za pośrednictwem poczty elektronicznej, komunikatorów wiadomości błyskawicznych, peer-to-peer (P2P), File Transfer Protocol (FTP) lub innych mechanizmów komunikacyjnych.

Dane w każdym stanie wymagają często innych technik zapobiegania stratom. Na przykład, podczas gdy głęboka inspekcja treści jest przydatna dla danych w ruchu, ale nie tak bardzo dla danych w stanie spoczynku. Dlatego skuteczny program zapobiegania utracie danych powinien uwzględniać odpowiednie techniki, aby objąć wszystkie wektory utraty, z którymi organizacja może się spotkać.

Komponenty rozwiązania

Skuteczny program zapobiegania utracie danych powinien składać się z następujących podstawowych komponentów:

– Zarządzanie – określenie zasad korzystania z danych w przedsiębiorstwie, zgłaszanie incydentów utraty zdolności do reagowania na incydenty, aby umożliwić działania naprawcze w celu usunięcia naruszeń.

– Zapobieganie utracie danych. Zapobieganie utracie danych to nie tylko kwestia technologiczna, ale również kwestia polityki i zarządzania polityką. Polityka wykorzystania danych w przedsiębiorstwie powinna obejmować takie kwestie:

– jaki sposób określania dostępu do danych;

– jak określa się dostęp do danych;

– jak uwierzytelnia się dostęp do danych; oraz jak egzekwuje się zasady.

Funkcje zarządzania powinny również obejmować możliwość raportowania utraty danych oraz zarządzanie przepływem pracy związanym z usuwaniem skutków incydentów.

a) Identyfikowanie – Zdefiniowanie wrażliwości danych przedsiębiorstwa, stworzenie spisu danych wrażliwych, lokalizowanie danych wrażliwych, gdziekolwiek są przechowywane, oraz zarządzanie oczyszczaniem danych. Obejmuje ot: identyfikację i inwentaryzację danych wrażliwych znajdujących się w stanie spoczynku na serwerach plików, w bazach danych, w systemach zarządzania dokumentami i zarządzania dokumentami, repozytoriów poczty elektronicznej oraz treści i aplikacji internetowych; oraz skanowanie wrażliwych danych przechowywanych na punktach końcowych, takich jak laptopy, komputery stacjonarne i stacjach roboczych w odległych biurach w celu inwentaryzacji, zabezpieczenia lub przeniesienia tych danych.

b) Monitorowanie – Monitorowanie wykorzystania danych wrażliwych, zrozumienie wzorca wykorzystania danych wrażliwych i uzyskanie obrazu funkcjonowania bezpieczeństwa w organizacji. Może to obejmować monitorowanie danych w ruchu poprzez kontrolę komunikacji sieciowej, taką jak poczta elektroniczna, komunikatory internetowe, FTP, P2P i inne, w poszukiwaniu poufnych danych naruszających zasady bezpieczeństwa danych oraz monitorowanie danych w punktach końcowych, takich jak pobieranie na dyski lokalne, kopiowanie na USB lub inne nośniki wymienne USB lub inne nośniki wymienne, nagrywanie na inne nośniki zewnętrzne oraz drukowanie lub przesyłanie drogą elektroniczną.

c) Ochrona – egzekwowanie zasad bezpieczeństwa w celu proaktywnego zabezpieczenia danych i zapobiegania opuszczaniu przedsiębiorstwa przez dane wrażliwe. Automatyczna ochrona wrażliwych danych w punktach końcowych, sieci i systemów pamięci masowej. Obejmuje to ochronę danych w stanie spoczynku za pomocą automatycznego szyfrowanie, kwarantannę i usuwanie; ograniczanie drukowania, zapisywania, kopiowania, dostępu, ograniczanie drukowania, zapisywania, kopiowania, dostępu, przemieszczania i pobierania wrażliwych danych na nośniki wymienne lub inne dyski; oraz zatrzymywanie danych w ruchu przed wysłaniem ich z naruszeniem polityki bezpieczeństwa danych lub szyfrowanie danych w celu bezpiecznej wymiany.

Po odpowiednim zintegrowaniu, te cztery podstawowe komponenty zapewniają skuteczną ochronę cennych zasobów informacyjnych organizacji.

Najlepsze praktyki

Ustalenie priorytetów dla wektorów strat.

Zapobieganie utracie danych to złożony problem. Chociaż kompleksowy program obejmujący wszystkie istotne aspekty utraty danych jest ostatecznym celem, to jednak o wiele bardziej sensowne pod względem taktycznym i finansowym jest rozpoczęcie od ochrony danych, które stanowią największe zagrożenie dla przedsiębiorstwa. Oznacza to, że najpierw należy zidentyfikować wszystkie potencjalne wektory utraty danych w organizacji, a następnie a następnie uszeregowanie ich pod względem ważności na podstawie takich kryteriów, jak wcześniejsze naruszenia, ilość komunikacji, ilość danych, prawdopodobieństwo naruszenia oraz liczba użytkowników mających dostęp do tych wektorów. Skupienie się najpierw na najbardziej istotnych i mających największy wpływ obszarach ułatwia uzasadnienie rozwiązań i rozpoczęcie działań mających na celu usunięcie nieszczelności.

Ochrona bez zakłóceń.

Rozwiązanie zapobiegające utracie danych nie powinno zakłócać legalnej działalności organizacji. Aby działać skutecznie, rozwiązanie zapobiegające utracie danych musi działać bez zmniejszania wydajności systemu lub uniemożliwiania pracownikom wykonywania ich pracy. Rozwiązania, które nie skalują się, mogą powodować problemy z wydajnością w miarę rozwoju firmy. Rozwiązania, które nie są odpowiednio testowane i dostrojone mogą również powodować zarówno fałszywe wyniki pozytywne, jak i fałszywe wyniki negatywne, które pochłaniają cenne zasoby.

Elastyczna i modułowa architektura.

Rozwiązania w zakresie zapobiegania utracie danych wciąż ewoluują, niektóre nie zapewniają wszystkich możliwości, których wymaga większość organizacji. Przedsiębiorstwa muszą rozwiązać problem z problemem utraty danych poprzez stworzenie elastycznej i modułowej architektury oraz wykorzystania najlepszych rozwiązań, które w dłuższej perspektywie niwelują ponoszenie wysokich kosztów z tytułu utraty informacji (danych).

Podsumowanie

Zapobieganie utracie danych jest poważnym wyzwaniem dla organizacji, ponieważ liczba incydentów stale rośnie. Utrata danych może osłabić markę organizacji, zmniejszyć wartość dla akcjonariuszy i zaszkodzić reputacji podmioty oraz poniesienie odpowiedzialności prawnej i finansowej.

Wdrożenie rozwiązań Data Loss  Prevention np.: Safetica jest jednym ze skutecznych sposobów na spełnienie wymagań w zakresie nadzorowania i monitorowania bezpieczeństwa informacji w tych danych osobowych, wypełniając obowiązki prawne jak i zabezpieczając odpowiedzialność finansową podmiotu. Wytyczne w tym zakresie znajdują się w normach i standardach takich jak ISO 27001 i NIST 800 oraz innych wytycznych.

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.