Ochrona danych w przedsiębiorstwach i instytucjach
Zobacz Część II – „Typy danych, zagrożenia i czynniki ryzyka – jak zdefiniować dane wymagające ochrony?”
Z naszego doświadczenia – zdobytego podczas wdrożeń systemów do zarządzania infrastrukturą IT – wynika, że zdecydowana większość podmiotów nie chroni swoich danych w odpowiedni sposób.
Wdrożone w polskich podmiotach mechanizmy ochronne skupione są głównie na ochronie dostępu do komputerów (hasło i jego okresowa zmiana), politykach praw dostępu do zasobów sieciowych (w oparciu o MS AD), szyfrowaniu danych (głównie na urządzeniach mobilnych, z których korzysta się poza biurem), politykach korzystania z portów USB (głównie w zakresie pendrive), sporządzaniu kopii bezpieczeństwa (w większości bez walidacji poprawności), ochronie dostępu do serwerowni, sporadycznym (zazwyczaj podczas przyjęcia pracownika) szkoleniu użytkowników. Wiele podmiotów dopracowało się już regulaminów korzystania ze sprzętu IT i oprogramowania, a także zbudowało dokumenty polityki bezpieczeństwa. Nie są to regulaminy idealne i bezbłędne, ale takie być nie muszą. Ważne, żeby „żyły”, podlegały okresowym walidacjom, a pracownicy o nich wiedzieli i je stosowali (nie wspominając o działach IT i kierownictwie).
Posiadane przez firmy i instytucje mechanizmy bezpieczeństwa wciąż nie są skuteczne, a przy stale rosnącej świadomości pracowników (dużą rolę odgrywa powszechny dostęp do internetu i możliwość znalezienia w sieci dowolnego rozwiązania) w większości przypadków nie ma problemów w obejściu stosowanych zabezpieczeń. Podmioty nie dysponują zaawansowanymi mechanizmami ochrony dokumentów w oparciu o treści tych dokumentów, czy też niezależne klasyfikacje. Aby lepiej chronić dane, należy skupić się właśnie na warstwie danych (treści). Realizują to systemy nazywane w skrócie DLP (ang. Data Loss Prevention – najpowszechniejsze z określeń lub też Data Leak/Leakage/Loss Protection/Prevention), a ich zadaniem jest zapobieganie utracie danych.
Systemy DLP wdraża się w organizacjach przetwarzających informacje podlegające ochronie z powodów biznesowych (w celu zachowania tajemnicy podmiotu) lub prawnych (osobowe, wrażliwe, finansowe, zdrowotne), a których ujawnienie może narazić na odpowiedzialność cywilną, karną lub innego rodzaju straty.
Systemy DLP mogą wykorzystywać wiele technik do kontroli przepływu informacji:
- wykrywanie danych wrażliwych w ruchu sieciowym (w sposób podobny jak systemy wykrywania włamań) lub w plikach zapisywanych na nośnikach zewnętrznych (w sposób podobny do programów antywirusowych),
- klasyfikacja i przypisywanie wag plikom (np. poprzez znaczniki) w lokalnym systemie na podstawie zawartości plików (np. dane wrażliwe), a następnie kontrolowanie ruchu tych plików w sieci, kontrolowanie ich zapisu na nośniki zewnętrzne lub wysyłania poza sieć (np. do chmury),
- blokowanie zapisu na nośniki zewnętrzne w ogóle,
- transparentne szyfrowanie i deszyfrowanie wrażliwych dokumentów, tak aby nigdy nie opuszczały one organizacji w formie niezaszyfrowanej,
- nadawanie odpowiednich uprawnień (niezależnie od lokalizacji pliku), tak aby dokumenty były czytelne tylko dla osób uprawnionych, w określonych godzinach, na określonych komputerach, z wykorzystaniem odpowiednich programów.
Obszary, które należy chronić
Z perspektywy IT istnieją trzy obszary, które należy chronić: dane w spoczynku, dane w użyciu i dane w ruchu.
Aby zabezpieczyć dane, należy odpowiedzieć w pierwszej kolejności na pytanie, „gdzie znajdują się dane”.
Poniżej przykłady lokalizacji, w których mogą istnieć dane wraz ze wskazaniem obszarów funkcjonalnych, w których można wdrożyć lub udoskonalić stosowne kontrole bezpieczeństwa i prywatności.
| Obszar | Lokalizacja danych | Cel ochrony / obszar funkcjonalny |
|---|---|---|
| Dane w spoczynku | Bazy danych Komputery lokalne Urządzenia dostępu (w tym USB) Strony www Katalogi udostępnione Archiwa danych organizacji (w tym korespondencja elektroniczna) Urządzenia mobilne – komputery przenośne CD / DVD Dokumentacja drukowana Urządzenia faksujące Kopiarki Szafy z dokumentami (archiwa)* |
Ochrona komputerów mobilnych Ochrona zasobów współdzielonych (dyski sieciowe, NAS) Nośniki fizyczne (dyski, macierze, kopie bezpieczeństwa) Zabezpieczenie przed modyfikowaniem, usuwaniem, zniszczeniem |
| Dane w ruchu | Poczta e-mail Kanał www – internet Transfer plików Udostępnienia danych Portale społecznościowe (np. Facebook, Twitter, LinkedIn) Komunikatory internetowe Blogi Komentarze Transmisja elektroniczna dokumentów drukowanych zawierających dane osobowe (np. PESEL, NIP, nr dowodu, nr telefonu, adres) |
Bezpieczeństwo punktów końcowych (ang. endpoint) Monitorowanie sieci Kontrola dostępu do www Gromadzenie i wymiana danych Komunikatory Zdalny dostęp VPN |
| Dane w użyciu | Stacje robocze Serwery Urządzenia przenośne |
Monitorowanie użytkownika Monitorowanie dostępu / użytkowania Anonimizacja danych Monitorowanie edycji dokumentów Kontrola eksportu danych |
* lokalizacje niezwiązane bezpośrednio z IT