Zamezení úniku dat je věcí každého zaměstnance

Richard Jan Voigts , 01. duben 2016 14:00 2 komentářů
Zamezení úniku dat je věcí každého zaměstnance

Data jsou prakticky v každé organizaci jedním z nejdůležitějších aktiv. O hrozbách a o tom, jak mohou s ochranou dat pomoci plány Office 365 E5 či E3, jsme si popovídali s Martinem Panákem, produktovým manažerem divize Office ve společnosti Microsoft.

Firmy data využívají aby je dokázaly vytěžit, a ochraňují je, aby o ně nepřišly. Velmi často investují do zabezpečení infrastruktury, a přitom nevěnují pozornost tomu, jak uživatelé každý den s důležitými daty nakládají. Jejich únik mohou často, ať už úmyslně či neúmyslně, způsobit interní zaměstnanci, případně data mohou čelit různým útokům externích narušitelů. Ochrana firemních dat na úrovni uživatelů v rámci jejich každodenních činností je proto čím dál náročnější.

Chrání si firmy svá data patřičným způsobem?

Věřím, že se o to celá řada firem dnes již snaží. Ostatně, některé požadavky na bezpečnost stanovují různé zákony a předpisy a citlivých dat se týkají speciální opatření. I přesto se ale dnes a denně můžeme setkat s firmami, které si ne vždy zcela uvědomují, že mohou zabezpečit svá citlivá data proti zcizení na mnohem vyšší úrovni, než je pro ně obvyklé. Data totiž chráníte pouze tehdy, pokud jsou dostatečně zašifrovaná, a má k nim přístup pouze omezený okruh osob, pro které jsou data nezbytná pro plnění jejich pracovních povinností. Současně je nutné, aby šifrování neznamenalo složitější a pomalejší práci pro oprávněné uživatele. Jako příklad mohu uvést smlouvy, ke kterým musí mít přístup pouze právní oddělení, nebo výrobní postupy pro oddělení vývoje.

Bohužel se často setkáváme s případy, kde jsou klíčové dokumenty s citlivými údaji, například excelovské nebo wordové dokumenty, uloženy na sdílených discích a ochráněny jednoduchým heslem, které se sdílí mezi uživateli bez kontroly, kdo vlastně má k dokumentům přístup. Takto je velmi složité zajistit adekvátní ochranu informací.

Jsou si firmy dnes vůbec vědomy, že jejich data mohou být v ohrožení?

Kdyby firma riziko znala, snažila by se mu zamezit. Pokud o něm ale neví, nemusí únik dat vůbec zaznamenat. Podle údajů, které zveřejnil Mike Wallulis, expert strojového učení z Microsoft Digital Crimes Unit, představuje medián doby, kdy se napadená organizace o útoku dozví, více než 200 dnů. Teprve pak může zjišťovat, jaké škody narušitel způsobil a může se snažit je napravit.

I když ale budu používat ty nejlepší technologie, pořád může informace z firmy vynášet zaměstnanec. S tím jakákoliv technologie těžko něco udělá...

Pokud mají zaměstnanci k datům přístup, mohou je z firmy vynést. Někdy se tak stane cíleně, většinou však jde o nechtěný únik. Často zaměstnanec prostě jen přepošle nějaký mail, aniž by si uvědomil, co je v příloze, případně se překlepne v e-mailové adrese a pošle e-mail jinému příjemci. Lidé si také často posílají pracovní soubory domů prostřednictvím veřejného e-mailu. Podle průzkumu, který si Microsoft vloni nechal zpracovat mezi malými a středně velkými firmami, to běžně dělají dvě pětiny z jejich zaměstnanců.

Martin Panák, produktový manažer divize Office ve společnosti Microsoft
Martin Panák, produktový manažer divize Office ve společnosti Microsoft

Jak se takovému chování bránit?

Dnes je to poměrně jednoduché – součástí firemních plánů Office 365 jsou totiž různé bezpečnostní prvky, umožňující nastavit pravidla pro sdílení dokumentů uvnitř i vně firmy. Firemní dokumenty se mohou automaticky ukládat do cloudu s přednastavenými oprávněními, aby je bylo možné sdílet uvnitř firmy, či třeba v okruhu vybraných týmů na SharePointu či OneDrive pro firmy.

Také Outlook může sám uživatele upozornit, když do e-mailu uživatel napíše citlivé údaje – to dělá tzv. Policy Tip. Upozornění se objeví také ve chvíli, kdy odesílatel mezi adresáty přiřadí kromě kolegů navíc externí e-mailovou adresu. Technologie dokonce umožňuje automatické ochránění dat na základě vloženého klíčového slova – například názvu tajného projektu.

Nicméně informace je potřeba sdílet, nebrání tomu taková opatření?

Informace se vždy musí dostat ke správným příjemcům. Když jde o citlivé informace, je třeba jejich oběh zajistit bezpečně. I to lze jednoduše udělat – stačí v Outlooku jednoduše nastavit na jedno kliknutí práva a celý obsah e-mailu se zašifruje, takže ho uvidí jen adresáti. Lze také nastavit, že obsah e-mailu nelze ani přeposílat, ani kopírovat, dokonce lze zamezit i vytvoření screenshotu. A to ještě není vše – navíc lze i nastavit, že informace má pouze omezenou platnost, a po uběhnutí nastavené doby už ji nelze znovu zobrazit.

A co když jde o záměr a zaměstnanec informace z firmy chce dostat ven?

Pokud se něco takového stane, lze zjistit, jaké informace a kudy šly ven. Umožňuje to nástroj e-Discovery, který na základě zadání dohledá, zablokuje a exportuje vše, co dotyčný zaměstnanec odeslal. Může jít o velké množství dokumentů a jejich analýza by byla velmi náročná. Tehdy nastupuje Advanced e-Discovery, který s využitím strojového učení rekonstruuje komunikaci a emailové řetězce, odstraní duplicity a různá propojení a vytvoří jakýsi abstrakt komunikace pro následnou analýzu.

Dá se vůbec zabránit úniku dat pokud jsou v cloudu?

S příchodem cloudových služeb je to naštěstí naopak velmi jednoduché. Bez nich je to nejen obtížné, ale také drahé. Firma by musela zaměstnávat odborníky, investovat do bezpečnostních nástrojů, neustále sledovat vývoj a pravidelně infrastrukturu testovat, a na to menší firma ze segmentu SMB zpravidla vůbec nemá prostředky. Svěřením dat do cloudu veškeré tyto problémy odpadají a současně firma získá vyšší zabezpečení dat.

V jakém ohledu je cloud bezpečnější?

Není cloud jako cloud. Nicméně v případě Microsoftu jde o jednoho z největších provozovatelů cloudu na světě, a tomu odpovídá i úroveň zabezpečení. Věnují se mu dedikované týmy, které mají k dispozici ty nejlepší dostupné nástroje. Využívají prvky strojového učení a analýzy velkých dat. Díky objemu dat a datových toků zachytí automatická analýza potenciální hrozby rychle, upozorní bezpečnostní specialisty, a ti mohou okamžitě hrozbu identifikovat a začít pracovat na jejím zneškodnění.

Když ale vsadím na cloud, potom jsou moje data u někoho jiného. Jak získám záruku, že moje data nezneužije?

Je třeba odpovědně vybrat poskytovatele cloudových služeb a požadovat záruky. Microsoft nabízí řešení, jaké v maximální možné míře vyhovuje jak českým legislativním předpisům, tak evropským. Všechna data v našem cloudu stále zůstávají majetkem zákazníka a nikdo z Microsoftu k nim nemá přístup, pokud to zákazník explicitně nepovolí – například kvůli nějakému servisnímu zásahu. Vše se navíc samozřejmě loguje.

Nejde jen o ochranu před útočníky, ale také o ochranu dat pro případ ekologických katastrof nebo požárů, protože data jsou u všech firemních plánů vždy v několika lokalitách vzdálených od sebe stovky kilometrů. To málokterá organizace zajistí.


Komentáře

davkol #0
davkol 01. duben 2016 14:41

Mat Honan: How Apple and Amazon Security Flaws Led to My Epic Hacking
http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

…a Microsoft má být lepší?
…a nemá přístup k datům?

Hana #1
Hana 20. prosinec 2016 07:30

Dobrý den, v naší firmě se ochrana dat před nějakou doboz stala velkým problémem, takže jsme situaci museli začít řešit. Nakonec jsme pořídili ochranu dat od https://www.safetica.cz/co-safetica-umi/ochrana-dat a nyní máme vše po kontrolou. Doporučuji.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

19. 10.

22. 10.
For Games 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Starší zprávičky

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů