Zamezení úniku dat je věcí každého zaměstnance

Firmy data využívají aby je dokázaly vytěžit, a ochraňují je, aby o ně nepřišly. Velmi často investují do zabezpečení infrastruktury, a přitom nevěnují pozornost tomu, jak uživatelé každý den s důležitými daty nakládají. Jejich únik mohou často, ať už úmyslně či neúmyslně, způsobit interní zaměstnanci, případně data mohou čelit různým útokům externích narušitelů. Ochrana firemních dat na úrovni uživatelů v rámci jejich každodenních činností je proto čím dál náročnější.

Chrání si firmy svá data patřičným způsobem?

Věřím, že se o to celá řada firem dnes již snaží. Ostatně, některé požadavky na bezpečnost stanovují různé zákony a předpisy a citlivých dat se týkají speciální opatření. I přesto se ale dnes a denně můžeme setkat s firmami, které si ne vždy zcela uvědomují, že mohou zabezpečit svá citlivá data proti zcizení na mnohem vyšší úrovni, než je pro ně obvyklé. Data totiž chráníte pouze tehdy, pokud jsou dostatečně zašifrovaná, a má k nim přístup pouze omezený okruh osob, pro které jsou data nezbytná pro plnění jejich pracovních povinností. Současně je nutné, aby šifrování neznamenalo složitější a pomalejší práci pro oprávněné uživatele. Jako příklad mohu uvést smlouvy, ke kterým musí mít přístup pouze právní oddělení, nebo výrobní postupy pro oddělení vývoje.

Bohužel se často setkáváme s případy, kde jsou klíčové dokumenty s citlivými údaji, například excelovské nebo wordové dokumenty, uloženy na sdílených discích a ochráněny jednoduchým heslem, které se sdílí mezi uživateli bez kontroly, kdo vlastně má k dokumentům přístup. Takto je velmi složité zajistit adekvátní ochranu informací.

Jsou si firmy dnes vůbec vědomy, že jejich data mohou být v ohrožení?

Kdyby firma riziko znala, snažila by se mu zamezit. Pokud o něm ale neví, nemusí únik dat vůbec zaznamenat. Podle údajů, které zveřejnil Mike Wallulis, expert strojového učení z Microsoft Digital Crimes Unit, představuje medián doby, kdy se napadená organizace o útoku dozví, více než 200 dnů. Teprve pak může zjišťovat, jaké škody narušitel způsobil a může se snažit je napravit.

I když ale budu používat ty nejlepší technologie, pořád může informace z firmy vynášet zaměstnanec. S tím jakákoliv technologie těžko něco udělá...

Pokud mají zaměstnanci k datům přístup, mohou je z firmy vynést. Někdy se tak stane cíleně, většinou však jde o nechtěný únik. Často zaměstnanec prostě jen přepošle nějaký mail, aniž by si uvědomil, co je v příloze, případně se překlepne v e-mailové adrese a pošle e-mail jinému příjemci. Lidé si také často posílají pracovní soubory domů prostřednictvím veřejného e-mailu. Podle průzkumu, který si Microsoft vloni nechal zpracovat mezi malými a středně velkými firmami, to běžně dělají dvě pětiny z jejich zaměstnanců.

Martin Panák, produktový manažer divize Office ve společnosti Microsoft

Jak se takovému chování bránit?

Dnes je to poměrně jednoduché – součástí firemních plánů Office 365 jsou totiž různé bezpečnostní prvky, umožňující nastavit pravidla pro sdílení dokumentů uvnitř i vně firmy. Firemní dokumenty se mohou automaticky ukládat do cloudu s přednastavenými oprávněními, aby je bylo možné sdílet uvnitř firmy, či třeba v okruhu vybraných týmů na SharePointu či OneDrive pro firmy.

Také Outlook může sám uživatele upozornit, když do e-mailu uživatel napíše citlivé údaje – to dělá tzv. Policy Tip. Upozornění se objeví také ve chvíli, kdy odesílatel mezi adresáty přiřadí kromě kolegů navíc externí e-mailovou adresu. Technologie dokonce umožňuje automatické ochránění dat na základě vloženého klíčového slova – například názvu tajného projektu.

Nicméně informace je potřeba sdílet, nebrání tomu taková opatření?

Informace se vždy musí dostat ke správným příjemcům. Když jde o citlivé informace, je třeba jejich oběh zajistit bezpečně. I to lze jednoduše udělat – stačí v Outlooku jednoduše nastavit na jedno kliknutí práva a celý obsah e-mailu se zašifruje, takže ho uvidí jen adresáti. Lze také nastavit, že obsah e-mailu nelze ani přeposílat, ani kopírovat, dokonce lze zamezit i vytvoření screenshotu. A to ještě není vše – navíc lze i nastavit, že informace má pouze omezenou platnost, a po uběhnutí nastavené doby už ji nelze znovu zobrazit.

A co když jde o záměr a zaměstnanec informace z firmy chce dostat ven?

Pokud se něco takového stane, lze zjistit, jaké informace a kudy šly ven. Umožňuje to nástroj e-Discovery, který na základě zadání dohledá, zablokuje a exportuje vše, co dotyčný zaměstnanec odeslal. Může jít o velké množství dokumentů a jejich analýza by byla velmi náročná. Tehdy nastupuje Advanced e-Discovery, který s využitím strojového učení rekonstruuje komunikaci a emailové řetězce, odstraní duplicity a různá propojení a vytvoří jakýsi abstrakt komunikace pro následnou analýzu.

Dá se vůbec zabránit úniku dat pokud jsou v cloudu?

S příchodem cloudových služeb je to naštěstí naopak velmi jednoduché. Bez nich je to nejen obtížné, ale také drahé. Firma by musela zaměstnávat odborníky, investovat do bezpečnostních nástrojů, neustále sledovat vývoj a pravidelně infrastrukturu testovat, a na to menší firma ze segmentu SMB zpravidla vůbec nemá prostředky. Svěřením dat do cloudu veškeré tyto problémy odpadají a současně firma získá vyšší zabezpečení dat.

V jakém ohledu je cloud bezpečnější?

Není cloud jako cloud. Nicméně v případě Microsoftu jde o jednoho z největších provozovatelů cloudu na světě, a tomu odpovídá i úroveň zabezpečení. Věnují se mu dedikované týmy, které mají k dispozici ty nejlepší dostupné nástroje. Využívají prvky strojového učení a analýzy velkých dat. Díky objemu dat a datových toků zachytí automatická analýza potenciální hrozby rychle, upozorní bezpečnostní specialisty, a ti mohou okamžitě hrozbu identifikovat a začít pracovat na jejím zneškodnění.

Když ale vsadím na cloud, potom jsou moje data u někoho jiného. Jak získám záruku, že moje data nezneužije?

Je třeba odpovědně vybrat poskytovatele cloudových služeb a požadovat záruky. Microsoft nabízí řešení, jaké v maximální možné míře vyhovuje jak českým legislativním předpisům, tak evropským. Všechna data v našem cloudu stále zůstávají majetkem zákazníka a nikdo z Microsoftu k nim nemá přístup, pokud to zákazník explicitně nepovolí – například kvůli nějakému servisnímu zásahu. Vše se navíc samozřejmě loguje.

Nejde jen o ochranu před útočníky, ale také o ochranu dat pro případ ekologických katastrof nebo požárů, protože data jsou u všech firemních plánů vždy v několika lokalitách vzdálených od sebe stovky kilometrů. To málokterá organizace zajistí.