Horyzonty Finansów 2011: Bezpieczeństwo danych

Janusz Nowak

Dla banków ochrona poufnych danych to nie kaprys, tylko obowiązek – mówi anonimowo przedstawiciel firmy specjalizującej się w rozwiązaniach chroniących dane. – Tymczasem w Polsce na palcach jednej ręki można policzyć te instytucje finansowe, które w ogóle zainteresowały się technologiami zabezpieczającymi wyciek informacji poufnych.

Utracie danych niejawnych z winy pracowników można zapobiegać, wdrażając technologie DLP (ang. Data Leaks Prevention – pol. zapobieganie wyciekowi danych). Ich wdrożenia służą najczęściej realizacji prawnych lub branżowych wymogów ochrony danych osobowych i finansowych. Wprowadzane w organizacjach gromadzących i przetwarzających informacje niejawne, zapobiegają upublicznieniu danych i chronią przed odpowiedzialnością karną lub cywilną.

Zwykle są to złożone narzędzia optymalizujące procesy zarządzania obiegiem informacji w strukturze firmy poprzez systemu autoryzacji dostępu do danych i kolejnych stopni wykluczeń. Systemy DLP mogą wykorzystywać wiele technik do kontroli obiegu danych, np.:

• wykrywanie wrażliwych informacji w ruchu sieciowym, które działa na podobnej zasadzie jak systemy do wykrywania włamań;
• wykrywanie plików zapisywanych na nośniki zewnętrzne (techniki te wykorzystują model w sposób podobny do programów antywirusowych);
• klasyfikacja i przypisanie wag plikom w lokalnym systemie na podstawie zawartości danych wrażliwych, a następnie kontrolowanie przesyłania tych plików przez sieć lub zapisywania ich na nośniki zewnętrzne;
• całkowite zablokowanie możliwości zapisu na nośniki zewnętrzne;
• transparentne szyfrowanie i deszyfrowanie wrażliwych dokumentów, tak aby nigdy nie opuszczały one organizacji w formie niezaszyfrowanej, zaś wewnątrz niej były czytelne tylko dla osób uprawnionych (systemy zarządzania prawami do informacji – IRM).

Dla zysku i z troski

Tymczasem co szósty pracownik polskiej firmy wynosi służbowe dane poza miejsce pracy bez zgody pracodawcy – wynika z badania „Ryzyko w sieci” firmy Symantec. Jeden na czterech badanych przyznał, że korzysta w pracy z serwisów społecznościowych, mimo że pracodawca wyraźnie tego zabrania. Najczęstszym deklarowanym sposobem na wynoszenie przez pracowników firmowych danych jest ich drukowanie lub wysyłanie na zewnętrzny adres e-mail (po 45 proc.). Siedmiu na dziesięciu respondentów używa skopiowanych danych na potrzeby spotkań poza siedzibą firmy (39 proc.) lub do pracy w domu (29 proc.). Aż 16 proc. przyznaje, że zabiera informacje ze sobą, gdy zmienia pracodawcę. Tyle samo pracowników biurowych uzasadnia wynoszenie poufnych danych… chęcią przechowywania ich w bezpiecznym miejscu!

– Powinniśmy pamiętać, że pracodawca musi wyrazić zgodę na wynoszenie danych poza miejsce pracy – mówi Maciej Iwanicki, Senior Presales Consultant w Symantec Polska.

– Taka praktyka dla wielu osób może oczywiście stanowić na co dzień spore ułatwienie. Jednak każde przenoszenie danych zawsze będzie się wiązać z narażeniem ich na dodatkowe niebezpieczeństwo, np. utratę lub kradzież. Szczególnie, że jedna trzecia ankietowanych przyznaje się do wynoszenia informacji z biura na niezabezpieczonych pamięciach USB.

Większość pracowników biurowych zadeklarowała wykorzystywanie portali społecznościowych do celów biznesowych (52 proc.). Polakom najczęściej służą do tego serwisy: Facebook (34 proc.), Twitter i Google Buzz (po 23 proc.). Jedna trzecia ankietowanych firm i instytucji zabrania lub wręcz aktywnie blokuje korzystanie z tego typu portali w miejscu pracy. Blisko połowa badanych (47 proc.) przychyla się do stwierdzenia, że korzystanie z portali społecznościowych w miejscu pracy może być zagrożeniem dla bezpieczeństwa firmowych danych.

Badanie „Ryzyko w sieci”, pokazujące w jak dużym niebezpieczeństwie znajdują się dane firm i instytucji, przeprowadzono we wrześniu 2010 r. w sześciu krajach (Kanada, Polska, RPA, Stany Zjednoczone, Węgry, Wielka Brytania) na próbie 3250 pracowników biurowych. W Polsce wzięło w nim udział 500 pracowników. Na podstawie wyników autorzy badania wyróżnili powody wycieku firmowych danych (patrz wykres 1 i wykres 2).

Wyciek informacji niejawnych dopiero od niedawna jest postrzegany w firmach jako poważne zagrożenie. Co ciekawe, te zajmujące się bezpieczeństwem dostrzegły problem, zanim portal Wikileaks zaczął ujawniać kolejne rewelacje. W ciągu ostatnich 2-3 lat firmy specjalizujące się w DLP szybko znalazły poważnych sojuszników – największe koncerny informatyczne na świecie.

Takie firmy, jak Reconnex, Orchestra, Vontu, Provilla i Tablus zostały wchłonięte przez McAfee, CA, Symantec, Trend Micro i RSA (EMC). Z kolei Microsoft i Cisco zawarły umowę o współpracy z RSA. Pierwszym owocem aliansu jest integracja RSA DLP w urządzeniach Cisco IronPort.

DLP jest w tej chwili jednym z elementów kompleksowych rozwiązań dostarczanych firmom przez potentatów rynku IT.

Chociaż wdrożenie komercyjnego DLP nadal jest kosztowne (ceny systemów rozpoczynają się od 100 tys. dolarów i często obliczone są na organizacje zatrudniające co najmniej kilkaset osób), to jednak filtrowanie zawartości w celu wykrycia intencjonalnych lub przypadkowych wycieków danych powoli się upowszechnia.

Analitycy Gartnera zalecają skupienie się na kilku głównych kategoriach danych, które powinny być szczególnie chronione. Jak przyznają, dzisiaj jest to wciąż proces pracochłonny i kosztowny, ale w ciągu 2-3 lat powinien się upowszechnić do tego stopnia, że będą z niego korzystać nawet firmy z sektora małych i średnich przedsiębiorstw. Dostawcy już dostrzegają potrzebę stosowania DLP nie tylko w dużych organizacjach, jak instytucje finansowe, ale także w dowolnego typu biznesie mającym potrzebę ochrony wrażliwych danych.