Kwestia zaufania - analiza firmy Check Point

Jak przedsiębiorstwa mogą dowieść, że są godne zaufania, jeżeli chodzi o przechowywanie wrażliwych danych? W jaki sposób mogą wytworzyć więź zaufania ze swoimi pracownikami i partnerami? Powyższym problemom przygląda się Terry Greer-King, dyrektor zarządu w firmie Check Point na terenie Wielkiej Brytanii.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
"To się nam nigdy nie przydarzy, gdyż od zawsze było to kwestią zaufania". Ten słynny wers z przeboju Billy’ego Joel’a z roku 1986 doskonale opisuje podejście wielu organizacji na przestrzeni ostatnich pięciu lat w sprawie ochrony przechowywanych przez nie prywatnych, poufnych danych.

Biorąc pod uwagę wycieki danych, których według Information Commissioner’s Office, pojawiło się ponad dziesięciokrotnie więcej w ciągu minionych pięciu lat, publiczne zaufanie w sprawie bezpieczeństwa prywatnych danych przechowywanych przez instytucje drastycznie zmalało. Chodzi tu zarówno o prywatne firmy jak i organizacje rządowe.

W ankiecie przeprowadzonej w grudniu 2012 roku, w której wzięło udział 2000 mieszkańców Wielkiej Brytanii, 50% stwierdziło, że ich zaufanie do rządu i sektora publicznego zostało zachwiane na skutek ciągłych włamań i wycieków prowadzących do kradzieży prywatnych danych. Jednocześnie 44% przyznało, że ich zaufanie do prywatnych przedsiębiorstw również zmalało. To naturalne, gdyż oczekujemy od wszelkiego rodzaju organizacji tego, że będą zarządzały naszymi danymi odpowiedzialnie i z należytą starannością.

Komu można zaufać?

Jednak większość z nas, zatrudnionych jako pracownicy umysłowi, często również zapomina o stosownej uwadze przy wykonywaniu swoich codziennych obowiązków. Ta sama ankieta wykazała, że 34% pracowników regularnie przekierowuje służbowe materiały na prywatne skrzynki email, żeby móc później pracować poza biurem. 40% na co dzień odbiera służbowe maile na prywatnym telefonie, tablecie lub laptopie. 33% przenosi służbowe dane na niezaszyfrowanych nośnikach pamięci USB, a 17% korzysta z niezabezpieczonych usług przechowywania danych w chmurze, takich jak na przykład Dropbox.

Co więcej, 25% pracowników przyznało, że postępuje tak mimo tego, że firmowa polityka bezpieczeństwa IT wyraźnie tego zabrania. Kolejne 23% nie jest świadoma, jakie są reguły dotyczące bezpieczeństwa danych w ich firmie. Oczywiście, w ogromnej większości przypadków, pracownicy nie mają złych zamiarów - po prostu koncentrują się głównie na tym, aby być efektywnym i wykonać swoją pracę. Na ogół do żadnych wycieków danych nie dochodzi. Ma to niestety wpływ na nasilanie się takich niosących ryzyko działań, a w świecie współczesnego biznesu i licznych regulacji prawnych, przedsiębiorstwo może mieć poważne problemy, włączając w to utratę reputacji, straty finansowe i oczywiście - spadek zaufania.

W jaki więc sposób przedsiębiorstwa mogą sobie poradzić z problemem "kwestii zaufania" tak, żeby wszyscy mogli być spokojni o to, że pracownicy operują danymi odpowiedzialnie, przy okazji zabezpieczając się przed skutkami zwykłych ludzkich błędów, takich jak zabranie nieodpowiedniego laptopa, smartfona lub innego urządzenia lub przypadkowe wpisanie niepoprawnego adresu email? Oraz jak przedsiębiorstwa mogą udowodnić partnerom w interesach, że są godne zaufania?

Otóż niezbędne jest rozwiązanie oparte na dwóch etapach. Pierwszy etap to informowanie użytkowników o ich działaniach w czasie rzeczywistym oraz egzekwowanie reguł bezpieczeństwa w taki sposób, aby użytkownik nie mógł ich wyłączyć. Na początku przyjrzyjmy się temu, jak można poradzić sobie z wyciekami danych poprzez email. Następnie poznamy technikę, dzięki której dane zawarte w dokumentach mogą być zabezpieczone bez względu na sprzęt, na którym dany dokument się przegląda lub medium, za pośrednictwem którego wysyła się plik.

Problemy związane ze skrzynką email

Tradycyjne rozwiązania Data Loss Prevention (DLP - zapobiegające wyciekom danych) zostały stworzone między innymi po to, aby zwalczać problemy bezpieczeństwa wynikające z korzystania ze skrzynki email. Niestety, w tym przypadku nie udaje się ich zlikwidować całkowicie. Na ogół proces konfiguracji trwa bardzo długo, włączając w to tygodnie intensywnego "nauczania", niezbędnego by rozwiązanie potrafiło sklasyfikować wrażliwe dane i pliki związane z przedsiębiorstwem. Dodatkowym problemem jest wymóg silnego zaangażowania działu IT oraz konieczność licznych interwencji dotyczących zarówno blokowania, jak i dopuszczania do wysyłki emaili użytkowników.

Innym podejściem jest włączenie każdego pracownika w proces bezpieczeństwa. Pozwoli to nie tylko poprawić świadomość użytkownika na temat odpowiedniego korzystania ze skrzynki email, ale dodatkowo uczyni rozwiązanie DLP naprawdę zapobiegającym zagrożeniom, poprzez ostrzeganie użytkownika zanim jeszcze wyśle email, który może skutkować wyciekiem danych.

Przykładowo pracownik napisał wiadomość email, zaadresował ją i kliknął "Wyślij". Rozwiązanie DLP powinno wtedy przeanalizować treść maila, jego załączniki, a także adres odbiorcy. Analiza powinna odbywać się na podstawie zbioru predefiniowanych charakterystyk pozwalających na zidentyfikowanie potencjalnej zawartości poufnych danych. Takie reguły mogą zawierać np. pewne słowa kluczowe w treści maila typu: "finansowy", "raport", "specyfikacja", "poufne" itp. Tak samo przeanalizowane powinny być załączniki w postaci plików. Jeżeli rozwiązanie DLP na podstawie tych testów wykryje potencjalny wyciek danych, powinno nadpisać funkcję "Wyślij" i wyświetlić użytkownikowi komunikat informujący o potencjalnym ryzyku i pytanie o potwierdzenie, czy na pewno chce kontynuować.

Użytkownik może wtedy zdecydować czy: a) chce wysłać dokument bez żadnych zmian lub b) chce poprawić treść maila lub usunąć podejrzane załączniki. Jednocześnie poza dodaniem możliwości podjęcia decyzji przez użytkownika, urządzenie DLP rejestruje wszystkie działania użytkownika, tworząc w ten sposób dziennik, mogący służyć do dalszej analizy. Znacznie zwiększa to odpowiedzialność ciążącą na użytkowniku oraz pomaga zapobiec wszelkim incydentom naruszenia bezpieczeństwa, zanim jeszcze nastąpią.

Tylko dla Twojej wiadomości

Oczywiście email nie jest jedynym źródłem wycieków danych. Ważne dokumenty i inne pliki bardzo łatwo rozprzestrzeniają się po skrzynkach odbiorczych (często mających też swoją kopię na smartfonach), laptopach, klientach pocztowych dostępnych za pomocą przeglądarki internetowej lub innych aplikacjach osadzonych w chmurze oraz na dyskach przenośnych. Znacznie zwiększa to szanse na to, że niezabezpieczony dokument zawierający wrażliwe dane gdzieś się zagubi i wpadnie w niepowołane ręce, zwłaszcza że szyfrowanie całych urządzeń nie zawsze jest możliwe.

Tradycyjna ochrona dokumentów do tej pory oznaczała zabezpieczenie hasłem - jednak to praktycznie żadne zabezpieczenie, gdyż powszechnie dostępne są darmowe narzędzia online przeznaczone do łamania haseł. Zamiast tego potrzebne jest rozwiązanie wykorzystujące silne szyfrowanie wraz z metodą uzyskania dostępu do pliku na podstawie uprawnień przypisanych użytkownikowi. Pozwoliłoby to na tworzenie i zabezpieczanie dokumentów najróżniejszych formatów (arkusze Excel, Word, PowerPoint, pliki Acrobat i inne) w taki sposób, na który pozwalają odpowiednie uprawnienia przypisane użytkownikowi lub grupom użytkowników. Domyślnym ustawieniem byłoby udostępnienie możliwości przeglądania dokumentów jedynie uwierzytelnionym pracownikom.

W konsekwencji dokument mogliby przeglądać jedynie użytkownicy, którzy mają odpowiednie uprawnienia nadane przez autora dokumentu lub zdefiniowane przez organizację. Na przykład dostęp i możliwość edycji pewnych dokumentów mogłyby być nadane tylko personelowi HR lub działu finansowego. Uwierzytelnianie użytkowników polegałoby na wykorzystywaniu specjalnego klienta zainstalowanego na ichurządzeniach, wymagającego podania loginu i hasła. Dokumenty mogłyby być również udostępniane poza organizacją z pewnym ograniczeniem praw dostępu oraz możliwe do przeglądania w chmurze (po uzyskaniu dostępu do usługi za pomocą odpowiednich danych logowania) lub przy wykorzystaniu bezpiecznej aplikacji klienckiej na PC lub innym urządzeniu użytkownika.

To dwuetapowe podejście do zarządzania danymi pozwala zabezpieczyć najpopularniejsze źródła wycieków, jednocześnie wspierając i zaznajamiając pracowników z polityką bezpieczeństwa firmy. Dodatkowo użytkownicy czują się odpowiedzialni za wszystkie swoje działania. Co więcej, przedsiębiorstwo może zyskać większe zaufanie wśród swoich ważnych partnerów w interesach. Wiadomo nie od dziś, że dobre interesy od zawsze opierały się na zaufaniu.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.