Organizace všeho druhu se stále více setkávají s hrozbou úniku citlivých dat. Nejedná se pouze o útoky zvenčí, ale také o interní úniky dat. Abychom mohli těmto interním únikům efektivně předcházet, je třeba umět data dobře identifikovat, klasifikovat a nasadit účinnou ochranu. Jak na to?
Prakticky každá společnost drží citlivá data. Jedná se o informace, které jsou důvěrné a jejich únik ke konkurenci či na veřejnost ohrožuje činnost společnosti. Chránit je třeba smlouvy, seznamy zákazníků, osobní údaje klientů, finanční informace, patenty a průmyslové vzory nebo zákonem chráněné informace.
Většinou uvažujeme nad daty podle důležitosti a obvykle se nedíváme na jejich formu, zda jsou strukturovaná či nestrukturovaná. Pokud jde o volbu způsobu ochrany dat, může být ve skutečnosti stěžejní hledisko druhé.
Strukturovaná data se nachází na určitém místě v dokumentu nebo souboru nebo mají specifický matematicky definovatelný tvar. Zahrnují například záznamy v databázi nebo excelovské tabulce, ale i větší celky jako například faktura či jiný standardizovaný formulář. Nestrukturovaná data jsou všechna ostatní, která není možné tak jednoduše klasifikovat. Tato skupina zahrnuje typické soubory jako např. Word dokumenty, nákresy, multimediální soubory, apod.
Citlivost definujeme na základě dopadu, který by mělo zveřejnění dat nebo jejich využití někým, kdo by mohl společnost poškodit. Nejčastější kategorie klasifikace dat jsou přísně tajná, tajná, důvěrná, omezená a nezařazená.
Potřeba firem chránit data byla historicky daná spíše zákonným faktorem a týkala se zejména strukturovaných dat. Nyní začíná růst vliv ochrany know-how a sekundárních informací o fungování firmy od know-how odvozených. Tyto informace mají nejčastěji nestrukturovanou formu.
Na ochranu dat před interními hrozbami se zaměřují DLP technologie (Data Loss Prevention). Společnosti vyvíjející DLP jsou motivovány k vývoji nových technologií, které by nestrukturovaná data ochránily. Problém však nastává v momentě, kdy jsou tyto technologie příliš složité a náročné na implementaci. Efektivita ochrany dat je tím ohrožena. Z DLP se stává „selfware“, software sám pro sebe. V minulosti mnoho DLP projektů zůstávalo nedokončených. Důvodem byla často označována složitost klasifikace dat, tedy identifikace toho, co má být vlastně chráněno.
Klasifikace dat je však především problémem obsahové analýzy, nikoliv kontextové. Kontextová analýza se zabývá především tokem dat a ten jsou firmy zvyklé standardizovat. Zkoumá se například zdroj, odesílatele, příjemce, velikost, hlavičku, metadata nebo formát chráněného souboru. Naopak obsahová analýza zkoumá vše uvnitř datového kontejneru. Předpokladem provedení obsahové analýzy je extrakce dat z různých formátů a práce s různými jazyky a jejich textem.
Nasazení a konfigurace kontextové ochrany dat je ve srovnání s obsahovou analýzou rychlejším, jednodušším a efektivnějším řešením. Umožňuje dosažení srovnatelné úrovně ochrany v kratším čase. Kontextová ochrana jde také ruku v ruce s procesy společnosti. Největší síla spočívá v kombinaci se standardizací procesů, kterou podporuje i opačným směrem. V podstatě ji dokáže vynutit, nasměrovat tok dat a ohlídat workflow. Obsahová analýza je na klasifikaci dat náročná. Popsat všechna nestrukturovaná data společnosti není v rozumném čase reálné.
Klasifikaci dat musí provést především samotná společnost. Vlastníci dat specifikují, která data mají být chráněna, sledována nebo nejsou důležitá. Většina firem ví, která data by v případě ztráty znamenala kolaps společnosti. IT oddělení nemůže klasifikovat data bez participace ostatních složek společnosti. Častými účastníky procesu klasifikace dat jsou finanční, obchodní, personální a právní oddělní nebo další složky, ve kterých zaměstnanci s citlivými daty přichází do styku. Společnosti vyvíjející DLP řešení mohou v procesu klasifikace významně pomoci nejen nástroji, ale i formou konzultace.
Snahy klasifikovat data pomocí několika metod se v praxi většinou vrací k co nejjednoduššímu klíči klasifikace. Klasifikace a ochrana všech dat společnosti není žádoucí ani možná. Dlouhodobě udržitelná je pouze cílená a jednoduchá klasifikace, zaměřená pouze na data, která mají být chráněna. Obsahová analýza pomáhá zjistit, jaké typy dat jsou ve společnosti, jejich objem a hodnotu, zda jsou uložena, přenášena nebo využívána.
K ochraně dat musíme především přistupovat systematicky. Data prochází ve firmách svým životním cyklem a jejich zařazení a potřeba ochrany se může v čase měnit. Vodítkem pro nastavení bezpečnosti dat je Norma ISO 27001.
Norma obecně definuje bezpečnost jako proces jejího neustálého zlepšování, což přesně odpovídá i klasifikaci dat. Ochrana dat by tak neměla být pochopena jako nákup jednoho produktu nebo jednorázové zavedení pravidel, ale komplexní systém, o který by se organizace měla starat a zaručit, aby jakékoliv změny byly reflektovány do jeho adekvátního nastavení.
Je také nutno pamatovat na všechny formy dat, které organizace může zpracovávat a také na všechny oblasti řešení, na které norma upozorňuje. Kromě jednosměrného zaměření na elektronické dokumenty by měly společnosti hledět také na komplexnější řešení, které počítá také se všemi cestami, po kterých se data mohou dostat mimo firmu.
Ing. Zbyněk Sopuch, Chief Technology Architect ve společnosti Safetica Technologies
