Skuteczna ochrona przed wyciekiem informacji

Z raportu opublikowanego przez Identity Theft Resource Center wynika, że w 2008 r. ponad 35 mln rekordów z danymi pozyskano nielegalnie. Obecny rok nie zapowiada się lepiej. Firmy tak kiepsko zabezpieczają dane, że nieraz praktycznie każdy może wynieść nawet strategiczne informacje.

Nie inaczej jest w polskich przedsiębiorstwach, gdzie często lepiej chronione są dane osobowe niż informacje biznesowe.

Jak wynika z raportu Trend Micro, utrata poufnych danych jest drugim najpoważniejszym zagrożeniem w pracy instytucji i firm, zaraz po atakach internetowych robaków, złośliwego kodu oraz phishingu. Dane wyciekają głównie w wyniku nieświadomej działalności pracowników. Tylko niewielka część zostaje wyniesiona poza firmę np. w celu sprzedaży.

Na świecie połowa przedsiębiorstw, które utraciły strategiczne informacje i nie odzyskały ich w ciągu dziesięciu dni, ponosi nieodwracalne straty lub nawet bankrutuje. Zajmująca się problemami bezpieczeństwa firma Kroll Ontrack oszacowała, że w takich sytuacjach koszty polskich firm wynoszą od 5 tys. do 500 tys. zł dziennie, w zależności od wielkości przedsiębiorstwa i wagi utraconych danych.

[srodtytul]Dostęp do danych pod kontrolą[/srodtytul]

Zazwyczaj jest tak, że pracownik odchodzący z firmy wciąż ma hasła, dzięki którym może bez problemu penetrować firmowe sieci. Od jego odejścia do czasu, gdy dział informatyki anuluje hasła i kody dostępu, mogą upłynąć dni, tygodnie albo miesiące. Niektóre działy IT w ogóle nie zauważają zmian kadrowych.

Według badań przeprowadzonych przez RSA w Europie, USA i Ameryce Południowej 43 proc. pracowników, którzy zmienili stanowisko wewnątrz firmy, nadal ma dostęp do niepotrzebnych już im kont i zasobów. 79 proc. respondentów przyznało, że ich przedsiębiorstwo zatrudnia pracowników tymczasowych lub podwykonawców, którzy potrzebują dostępu do systemów i danych firmowych o znaczeniu krytycznym. 37 proc. badanych trafiło do takich obszarów sieci przedsiębiorstwa, do których – ich zdaniem – nie powinni być wpuszczani.

Według ekspertów twierdzenie, że pracownik jest najbardziej niebezpieczny, kiedy odchodzi z firmy, nie jest prawdziwe. Zagrożenie jego nieuprawnionymi działaniami istnieje przez cały czas zatrudnienia. Przedsiębiorstwa muszą mieć zatem świadomość, że dostęp do wrażliwych danych trzeba nieustannie kontrolować.

[srodtytul]Zabezpieczenia są, ale nikt z nich nie korzysta[/srodtytul]

Niestety, żadne techniczne zabezpieczenia nie chronią w 100 proc. przed utratą, zniekształceniem czy ujawnieniem informacji. O poziomie bezpieczeństwa zawsze decydują ludzie. Jedynie 40 proc. respondentów badania przeprowadzonego przez Ontrack wskazało, że w ich firmach obowiązują procedury obejmujące metody przetwarzania i przechowywania danych. Ale ponad połowa przyznała, że nie korzysta z firmowych zabezpieczeń. Aż 61 proc. pracowników naraża firmy na utratę kluczowych dokumentów.

Z innego badania zrobionego przez Kroll Ontrack wynika, że pracownicy częściej zapisują najważniejsze firmowe pliki na prywatnych, lokalnych dyskach niż w zabezpieczonej firmowej sieci.

Równie niepokojące jest to, że 64 proc. ankietowanych przyznało się do częstego lub okazjonalnego wysyłania dokumentów z pracy na prywatne adresy e-mail, aby mieć dostęp do nich w domu. 89 proc. zatrudnionych wykonuje swoje służbowe zadania zdalnie, za pośrednictwem wirtualnej sieci prywatnej (VPN) lub poczty elektronicznej, a 58 proc. sprawdza służbową pocztę elektroniczną na komputerach publicznych.

Jedna osoba na dziesięć przyznała się do zgubienia notebooka, telefonu inteligentnego lub pamięci USB z informacjami firmowymi.

43 proc. ankietowanych, mimo że zmieniło stanowisko w firmie, nadal ma dostęp do kont i zasobów, które nie są już im potrzebne.

[srodtytul]Coraz szersze granice sieci[/srodtytul]

Innym zagrożeniem dla danych jest mobilność pracowników. Mają oni dostęp do firmowych danych za pośrednictwem notebooków, palmtopów, kluczy USB. Co zrobić, by dane te nie wyciekały?

Może tu pomóc technologia DLP (ang. Data Leak/Leakage/Loss Protection/Prevention – nazwa jest różnie interpretowana). Służy ona do ochrony organizacji przed utratą kontroli nad informacją niejawną. DLP to nie tylko rozwiązanie informatyczne, ale także praktyka bezpieczeństwa. Jej celem jest wykrywanie i zapobieganie wyciekowi poufnych danych poza fizyczne i logiczne granice przedsiębiorstwa.

– Systemy DLP pozwalają na ochronę firmy przed wyciekiem danych czy ich utratą. Większość z nich to jednak kosztowne produkty dla dużych firm. Mniejszym proponowane jest oprogramowanie o zawężonym zakresie – mówi Paweł Odor z Kroll Ontrack.

– Istotne jest to, że wiele mniej rozbudowanych rozwiązań dopiero przechodzi testy pokazujące ich ograniczenia lub braki.

Profesjonalne systemy DLP nie tylko zabezpieczają dane, ale także ograniczają dostęp do nich. Ochrona obejmuje zasoby dyskowe, pocztę, bazę danych i przede wszystkim stacje robocze. Według Market Research International firmy stosujące DLP najczęściej zabezpieczają się przed wyciekiem danych poprzez porty USB, korporacyjną bądź urzędową pocztę elektroniczną i przez prywatne konta pocztowe pracowników. DLP ma w ofercie wiele firm, np. McAfee, Symantec, Cisco, Microsoft, Trend Micro.

Coraz powszechniejsze są też zintegrowane systemy zarządzania bezpieczeństwem informacji zgodne z wymaganiami normy ISO 27001. Proponują one 134 rodzaje zabezpieczeń. Są wśród nich m.in.: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, zarządzanie ciągłością działania.

Na wdrożenie norm międzynarodowych ISO, w tym normy ISO 27001, można uzyskać dotację z funduszy unijnych.

[ramka][b]Główne źródła kłopotów[/b]

klucze USB – 50 proc.

poczta firmowa – 48 proc.

poczta w publicznym Internecie – 46 proc.

WiFi – 30 proc.

CD/DVD – 29 proc.

PDA – 27 proc.

Bluetooth/podczerwień – 25 proc.

drukowanie – 25 proc.

[i]Źródło: Marked Research International[/i][/ramka]