„To se nám nestane, protože je to věcí důvěry.“ Tato proklamace z hitu Billyho Joela z roku 1986 popisuje přístup, který mnoho organizací zvolilo pro otázky ochrany osobních a citlivých dat v posledních pěti letech. Podle informací britského Úřadu informačního komisaře vzrostly počty úniků dat v posledních pěti letech desetinásobně. Důvěra veřejnosti ve schopnost soukromých i vládních organizací chránit osobní informace prudce klesá.
V prosinci 2012 bylo ve Velké Británii na téma důvěry dotazováno na 2 tisíce respondentů z řad široké veřejnosti. 50 procent z nich uvedlo, že jejich důvěra v instituce veřejného sektoru poklesla v důsledku neustálých úniků a ztrát osobních dat. V případě soukromého sektoru stejný postoj indikovalo 44 procent respondentů. Všichni přepokládají, že organizace budou spravovat data odpovědně a s péčí.
Komu je možné věřit?
Ačkoli většina lidí pracuje s informacemi, vlastním datům nevěnují tolik pozornosti. Studie zjistila, že 34 procent zaměstnanců běžně přeposílá pracovní materiály na osobní e-mailové účty, aby mohli pokračovat v práci i mimo kancelář. 40 procent pravidelně kontroluje pracovní e-maily na osobních mobilních telefonech, tabletech nebo noteboocích. 33 procent přenáší firemní dokumenty na nezašifrovaných USB flash médiích. 17 procent pro pracovní účely využívá nezabezpečená cloudová úložiště typu Dropbox.
Navíc 25 procent zaměstnanců sdělilo, že tyto činnosti vykonává navzdory zcela konkrétním zákazům, jež obsahuje firemní politika IT, 23 procent pak tyto aktivity praktikuje bez znalosti interních podnikových pravidel. Ve většině případů zaměstnanci samozřejmě nemají žádný zlý úmysl. Chtějí být jen efektivní a udělat svou práci. Žádná data by se přitom ztratit neměla. Tímto přístupem ale jen zvyšují rizikovost podobných činností. V současném obchodním a regulatorním klimatu si organizace nemohou dovolit tímto způsobem postupovat. Vystavují se riziku poškození dobrého jména, negativních finančních dopadů a samozřejmě i ztráty důvěry.
Jak tedy mohou organizace překonat tuto „nedůvěru“? Co mají dělat, aby mohly důvěřovat svým zaměstnancům, že spravují svěřená data zodpovědně? Jak zajistí, aby se jejich pracovníci vyvarovali jednoduchých lidských chyb typu ztráty telefonu nebo notebooku, případně chybného zadání e-mailové adresy? A jak organizace prokáží svým externím partnerům, že jsou důvěryhodné?
Využít lze dvoustupňové řešení. Nejprve je třeba uživatele průběžně vzdělávat. V reálném čase tak získají povědomí o činnostech, jež vykonávají. Současně musí dojít k posílení bezpečnostní infrastruktury, kterou uživatelé nemohou aktivně nijak ovlivnit. Nejprve je třeba zajistit, aby nedocházelo k únikům dat prostřednictvím e-mailu. Dále je třeba ochránit data bez ohledu na to, na jakém zařízení nebo paměťovém médiu jsou příslušné dokumenty zpracovávány nebo uchovávány.
Zálažitosti e-mailu
Tradiční řešení DLP (Data Loss Prevention) řeší problém ochrany dat v e-mailech jen s omezeným úspěchem. Jejich nastavení trvá obvykle dlouho. Jedná se o týdny intenzivní práce, než se správně klasifikují citlivá data a soubory, navíc je nutná úzká spolupráce se zaměstnanci IT oddělení, kteří musí povolovat anebo blokovat e-maily uživatelů.
Odlišný přístup spočívá v zapojení jednotlivých zaměstnanců do bezpečnostních procesů. Dojde tím ke zvýšení jejich povědomí o náležitém využití e-mailu. Současně se řešení DLP přemění ve skutečně preventivní nástroj, který bude upozorňovat uživatele na e-maily, které mohou způsobit ztrátu dat.
Uveďme si příklad. Zaměstnanec vytvoří e-mail, zadá adresu a klikne na tlačítko „odeslat“. Řešení DLP zanalyzuje tělo e-mailu, obsah příloh i adresu zamýšleného příjemce. Výsledky porovná se sadou předdefinovaných charakteristik, které identifikují citlivá data. Může například jít o klíčová slova obsažená v těle e-mailu, jako jsou termíny: finanční, zpráva, specifikace, důvěrné apod. Prozkoumány jsou i přílohy e-mailu. V případě, že řešení DLP zjistí potenciální možnost úniku citlivých dat, zablokuje instrukci pro odeslání zprávy a uživateli zobrazí informaci o možných rizicích. Následně se jej zeptá, jak si přeje pokračovat.
Uživatel se rozhodne, zdali chce: a) poslat e-mail a jeho přílohy ve stávající podobě, nebo b) upravit tělo zprávy či odstranit podezřelé přílohy. Řešení DLP tedy vytvoří rozhodovací bod a nechá na uživateli, aby posoudil, co a komu chce poslat. Zároveň systém ukládá všechna rozhodnutí do databáze, což následně může posloužit pro účely auditu a analýzy. Tyto kroky zvyšují odpovědnost uživatele a napomáhají při eliminaci potenciálních bezpečnostních hrozeb ještě před vznikem incidentu.
Přístup odepřen
E-maily samozřejmě nejsou jedinou cestu, kudy unikají data. Dokumenty a další soubory se v podstatě nekontrolovaně objevují duplikovaně v e-mailových schránkách telefonů, notebooků, ve webových klientech, v cloudových úložištích nebo na přenosných médiích. Zvyšuje se díky tomu šance, že se nezabezpečené, citlivé dokumenty dostanou mimo kontrolu organizace, což platí zejména ve chvíli, kdy není k dispozici šifrování celého zařízení.
Tradiční zabezpečení dokumentů spočívalo v ochraně heslem. Tato forma není imunní vůči volně dostupným on-line nástrojům, které dokáží heslo tzv. zlomit. Namísto tohoto přístupu je vhodnější metoda silného šifrování kombinovaná s garancí přístupu založenou na uživatelských právech. Dokumenty různých formátů (Excel, Word, PowerPoint a Acrobat) lze tímto způsobem vytvořit a zabezpečit. Zároveň jim budou přidělena různá přístupová práva, která zohlední jednotlivé skupiny uživatelů. Výchozí nastavení zajistí, aby dokumenty mohli číst výhradně autorizovaní zaměstnanci.
Uživatelé tudíž mohou přistupovat výhradně k souborům, k nimž mají příslušná oprávnění. Ta nastaví autor nebo organizace. Například jen zaměstnanci finančního nebo HR útvarů mohou prohlížet a upravovat určité dokumenty, přičemž jejich oprávnění zajistí, že tak učiní pouze na správné aplikaci a samozřejmě pod uživatelským jménem a heslem. Soubory lze samozřejmě sdílet i mimo organizaci. Pro jejich využití jsou sice nastavena jistá omezení, ale ta umožňují i prohlížení v prostředí cloudu, pokud se uživatel řádně autentizuje. Případně lze využít zabezpečeného klienta na osobním počítači nebo jiném zařízení.
Tento dvoustupňový přístup ke správě dat a prevenci ztrát eliminuje většinu běžných cest, kterými mohou data unikat. Ve vztahu k zaměstnancům komunikuje a prosazuje podniková bezpečnostní pravidla. Činí je zodpovědnými za jejich činnosti. Organizace se díky němu stanou důvěryhodnější pro své partnery. Koneckonců, dobrý byznys byl vždy věcí důvěry.