Kako spriječiti curenje podataka? – Dragan Bednarčuk

Curenje osjetljivih podataka

Curenje osjetljivih podataka i dalje predstavlja značajnu zabrinutost za organizacije, kao i za pojedince čije osjetljive informacije mogu biti izložene riziku i tako postati dostupne javnosti. Organizacije kojima se dogodi gubitak osjetljivih podataka mogu pretrpjeti veliku štetu tako da izgube korisnika, naruše ugled kompanije, prokockaju povjerenje, ostanu bez pravne i regulatorne kontrole te pretrpe izravne troškove. U posljednjih nekoliko godina tvrtke u različitim industrijskim sektorima diljem svijeta doživjele su gubitak osjetljivih podatka na način da su isti bili ukradeni ili su procurili u „vanjski“ svijet. Budući da je podatak jedan od vrjednijih resursa organizacije, njegova zaštita i čuvanje od najveće je važnosti. Jedna od kontrola kako bi se „curenje“ spriječilo je i kontrola gubitka podataka koja se provodi kombiniranjem strateških, operativnih i taktičkih mjera. Sustav koji mi implementiramo naziva se Data Loss Prevention (skraćeno, DLP), a riječ je o sustavu koji nadzire tok i sprečava curenje osjetljivih podataka.

Zadaće DLP-a

Osim glavne zadaće kontrole toka i sprječavanja curenja informacija, DLP sustavi mogu riješiti i niz drugih zadataka vezanih uz kontrolu aktivnosti zaposlenika. U praksi DLP sustavi najčešće rješavaju sljedeće sporedne zadatke: podizanje svijesti korisnika, nehotično iznošenje ili slanje osjetljivih informacija izvan tvrtke, pronalaženje osjetljivih i osobnih podataka na računalima zaposlenika i općenito kroz informacijski sustav, kontrolu korištenja radnog vremena i resursa, kontrolu komunikacije kod zaposlenika radi identificiranja “prikrivene” radnje koja može naškoditi tvrtkama, komunikaciju zaposlenika i razmjenu informacija sa konkurencijom i sl. DLP softverski proizvodi koriste poslovna pravila za klasificiranje i zaštitu povjerljivih i važnih informacija tako da neovlašteni krajnji korisnici ne mogu slučajno ili zlonamjerno dijeliti podatke čije bi otkrivanje moglo dovesti u opasnost organizaciju. Na primjer, ako je zaposlenik pokušao proslijediti poslovnu elektroničku poštu izvan domene korporacije ili prenijeti datoteku u datoteku za pohranu u oblaku za potrošače kao što je Dropbox, zaposleniku će takva akcija biti zabranjena

GDPR i ostali propisi

U konačnici DLP je skup alata i procesa koji se koriste kako bi se osiguralo da se osjetljivi podaci ne izgube i zloupotrebljavaju, odnosno da istima ne pristupaju neovlašteni korisnici. DLP softver klasificira regulirane, povjerljive i poslovne kritične podatke i identificira kršenja pravila definiranih od strane organizacija ili unutar unaprijed definiranog paketa politika, a pritom se obično vodi usklađenošću s propisima, kao što su Payment Card Industry Data Security Standard (skraćeno, PCI-DSS) ili General Data Protection Regulation (skraćeno, GDPR). Nakon što se ti prekršaji identificiraju, DLP će provesti sanaciju s upozorenjima, enkripcijom i drugim zaštitnim mjerama kako bi spriječio da krajnji korisnici slučajno ili zlonamjerno razmjenjuju podatke koji bi mogli dovesti u opasnost organizaciju. Softver i alati za sprečavanje gubitka podataka nadziru i kontroliraju aktivnosti krajnjih točaka, filtriraju podatkovne tokove u korporativnim mrežama i nadziru podatke u oblaku kako bi zaštitili podatke u mirovanju, pokretu i korištenju. DLP također osigurava izvješćivanje kako bi zadovoljio zahtjeve usklađenosti i revizije te identificirao područja slabosti i anomalije za forenziku i odgovor na incident.

Malo više o DLP-u

DLP rješenja pomažu organizacijama da zaštite osjetljive informacije koje se prenose i pohranjuju u njihovim mrežama i obrađuju na njihovim računalima. Također, ona omogućuju upravljanje podacima koji se kontroliraju pomoću politika koja opisuju atribute koji definiraju tipove podataka i vrste operacija koje korisnici mogu izvoditi s podacima. Sprječavanje gubitka podataka postaje sve važnije u posljednjih nekoliko godina. Informacijski sustavi koji sadrže povjerljive, privatne i vlasničke podatke ranjivi su na mnogim područjima. Sprječavanje gubitka podataka može se smatrati preventivnom mjerom usmjerenom na zaustavljanje curenja podataka. Prošli su dani kada je fizičko uzimanje kopija podataka izvan prostorija bilo jedino učinkovito sredstvo za krađu informacija iz organizacije. Za DLP možemo reći da je implementirani plan koji osigurava da kritični podaci nisu ukradeni, izgubljeni ili oštećeni. Općenito se oslanjamo na ograničavanje pristupa povjerljivim podacima putem provedbe politike i softverskih aplikacija. Ta pravila definiraju koje je najbolje postupanje s najboljom praksom u vašoj organizaciji i određuju sigurnosne zahtjeve za vaše djelatnike prilikom rukovanja takvim povjerljivim podacima.

DLP se stoga može promatrati kao provedba politike koja koristi mnoštvo alata za postizanje sigurnosti podataka unutar vaše tvrtke. Takva rješenja moraju raditi u tandemu s već postojećom IT infrastrukturom, trenutnim pravilima korištenja podataka i vašim poslovnim potrebama. Način na koji se ti podaci filtriraju, šifriraju i obrađuju mora biti takav da se sve obavi brzo i točno bez negativnog utjecaja na poslovanje. Ključna značajka samog DLP-a je klasifikacija podataka gdje se utvrđuje koji su podaci osjetljivi, a koji su podaci sigurni za javnu potrošnju. Proces klasifikacije je dugotrajan proces u kojem sudjeluju vlasnici podataka za koje se utvrđuje da li su takvi podaci od važnosti organizaciji i da li na ikakav način mogu oštetiti kompaniju kada “iscure” u javnost.