Przejście na pracę zdalną wprowadziło w wielu firmach chaos skutkujący tworzeniem się kolejnych luk w systemach bezpieczeństwa. Tę sytuację wykorzystywali cyberprzestępcy, którzy za cel obrali sobie gorzej zabezpieczonych zdalnych pracowników. Wzrosła też gwałtownie liczba ataków na firmowe sieci i serwery, ponieważ pandemia spowolniła działania zespołów mających reagować na incydenty bezpieczeństwa. Praca z domu i zwiększona mobilność doprowadziły do wzrostu przepływu danych, co zwiększyło ryzyko utraty i kradzieży wrażliwych informacji.

Pamięci USB – wygodne, ale niebezpieczne

Przenośne urządzenia, a w szczególności pamięci USB, to od dawna pięta achillesowa w strategii ochrony danych. Łatwe do zgubienia lub wykradzenia przez lata były powodem niezliczonych wycieków danych. Co gorsza, w ostatnich latach nośniki te stały się także popularnym narzędziem wykorzystywanym do infekcji złośliwym oprogramowaniem. Pomimo tych zagrożeń nadal są praktycznym i łatwym w użyciu gadżetem, który jest istotnym elementem większości środowisk pracy.

Dyski USB i inne urządzenia wymienne są najczęściej używane przez pracowników poza siedzibą firmy, podczas pracy zdalnej, na spotkaniach biznesowych i konferencjach. Powód jest oczywisty: gdy trzeba zabrać ze sobą potrzebne pliki i dokumenty, łatwiej jest je po prostu skopiować na nośnik USB, aby zapewnić sobie do nich stały dostęp (zwłaszcza jeśli pliki są duże).

I chociaż może to być całkiem zrozumiała praktyka w normalnych okolicznościach, to w kontekście pandemii COVID-19 staje się – z punktu widzenia polityki bezpieczeństwa – jeszcze bardziej problematyczna. Gdy pracownicy są zmuszeni opuścić biura, mogą odczuwać potrzebę zabrania ze sobą poufnych plików i wrażliwych danych, aby mieć pewność, że będą bezproblemowo wykonywać swoje obowiązki z domu. W konsekwencji duża ilość poufnych danych trafia do chmury lub na niezabezpieczone urządzenia przenośne. Tym samym może być łatwiej dostępna dla niepowołanych do tego osób lub po prostu skradziona.

Wzrasta też poziom zagrożeń wewnętrznych. Wywołana przez pandemię wizja masowych zwolnień sprawiła, że pracownicy, w obawie o swoją pracę, kopiują pliki firmowe i poufne informacje na swoje osobiste urządzenia. Robią to wychodząc z założenia, że przydadzą im się one w razie utraty pracy. Nierzadko czują się wręcz uprawnieni do wzięcia tych plików, jeśli są one wynikiem ich działalności z ostatnich kilku lat. Tymczasem taka chęć zabezpieczenia się na przyszłość może być bardzo niebezpieczna dla firm z dwóch powodów. Po pierwsze, zwalniani pracownicy, rozgoryczeni utratą pracy, mogą przekazywać konkurencji poufne dane dotyczące działalności biznesowej firmy albo wykorzystywać je do jej dyskredytowania. Po drugie, kopiowane dane, nawet jeśli nigdy nie zostaną użyte w złych celach przez pracowników, którzy je pobrali, mogą zostać skradzione lub upublicznione, co może skutkować nałożeniem na firmy kar za nieprzestrzeganie przepisów o ochronie danych.

Szyfrowanie i DLP to nie opcja

W sytuacji powszechnej pracy zdalnej i rosnących zagrożeń wewnętrznych kluczowa staje się skuteczniejsza ochrona danych. Za pomocą odpowiednich narzędzi, takich jak rozwiązania do zapobiegania utracie danych (DLP), firmy mogą efektywnie ograniczać przesyłanie poufnych danych na urządzenia wymienne. Są w stanie blokować porty USB i interfejsy dla urządzeń peryferyjnych w komputerach, zapobiegając w ten sposób podłączaniu sprzętu przenośnego do chronionych firmowych punktów końcowych. Mogą także umożliwiać komunikację z nimi tylko zaufanemu sprzętowi, takiemu jak zaszyfrowane pamięci wymienne należące do przedsiębiorstwa i pozostające pod jego kontrolą. Za pomocą narzędzi DLP dane określone jako wrażliwe mogą być również blokowane przed przesyłaniem do popularnych usług w chmurze lub witryn do udostępniania plików.

Wymuszone szyfrowanie nośników USB może ograniczyć lukę w ochronie danych, jaka tworzy się w wyniku wykorzystywania przenośnych pamięci. W ramach zastosowanego mechanizmu ochrony rozwiązanie szyfrujące jest automatycznie wdrażane na dowolnym zaufanym urządzeniu pamięci masowej USB podłączonym do firmowego komputera. Po zainstalowaniu, wszelkie pliki skopiowane na USB będą szyfrowane i dostępne tylko po użyciu prawidłowego hasła.

Kolejną, szczególnie przydatną cechą rozwiązań DLP, jest możliwość nie tylko kontrolowania, ale także monitorowania wrażliwych danych i rejestrowania ich przepływu. W rezultacie administratorzy mogą być powiadamiani, gdy pracownik próbuje skopiować lub przesłać poufne dane. W ten sposób firmy mogą zwiększać ochronę ważnych informacji i natychmiast wykrywać oraz reagować na przypadki transferu wrażliwych danych, czy to przez internet, czy poprzez użycie urządzeń przenośnych.

Sławomir Słomiński, specjalista ds. rozwiązań serwerowych w AT Computers, przyznaje, że świadomość klientów w zakresie konieczności ochrony danych rośnie. Ma to związek z głośnymi medialnie incydentami wycieku informacji, a także z regulacjami, takimi jak RODO.

– Wciąż jednak rozeznanie w zakresie możliwości zastosowania systemów klasy DLP jest jeszcze niewielkie – mówi specjalista swarzędzkiego integratora. – Od tej reguły zdarzają się jednak wyjątki, na przykład więksi klienci w sektorach, które ze względu na swoją specyfikę narażone są w sposób szczególny na utratę czy ujawnienie danych. Budowa świadomości całego rynku wymaga pracy i zaangażowania ze strony producentów i dostawców takich rozwiązań.

Nie tak skomplikowane i nie tak drogie

Narzędzia do zapobiegania utracie danych (DLP) stały się dziś ważnym elementem strategii ochrony danych. Wysoce elastyczne i dające się dostosować do każdej wielkości firmy rozwiązania odpowiadają na różne potrzeby i wspierają działania w zakresie zgodności z przepisami dotyczącymi ochrony danych, takimi jak RODO. DLP pomagają znajdować, monitorować i kontrolować poufne informacje, które wchodzą do i wychodzą z firmowej sieci. A co w wypadku, gdy firma korzysta już z dobrze działającego szyfrowania end-to-end? Czy wtedy może już nie martwić się o DLP?

– Spotykamy się ze stereotypowym myśleniem, że jedno rozwiązanie zabezpieczające przed specyficznymi zagrożeniami uchroni nas też przed innymi – mówi Sławomir Słomiński. – Jest to jednak przekonanie mylne i niebezpieczne. Podobnie jak program antywirusowy nie zwalnia nas od stosowania firewalla, tak szyfrowanie chroni nas przed innymi scenariuszami wycieku danych niż DLP.

Problem w tym, że rozwiązania DLP były przez lata uważane za trudne we wdrożeniu, utrzymaniu i drogie. Jednak nowe produkty i sposoby podejścia wydają się zrywać z takim wyobrażeniem.

– Nowoczesne rozwiązania DLP nie należą do wyjątkowo trudnych w użyciu czy kosztownych – uważa ekspert AT Computers. – Podobnie jak w przypadku pokrewnych rozwiązań z zakresu bezpieczeństwa, producenci kładą duży nacisk na ułatwienie poprawnego wdrożenia, monitorowania i utrzymania systemu. Dzieje się tak dlatego, że w przypadku DLP poprawne wdrożenie i konfiguracja ma kluczowe znaczenie dla skuteczności rozwiązania. Dostawcy o tym wiedzą i wychodzą naprzeciw tym potrzebom.

Wdrożenie według najlepszych praktyk

Integrator wdrażający rozwiązanie DLP powinien wraz z klientem zastosować się do najlepszych praktyk zapobiegania utracie informacji, rozpoczynając od zidentyfikowania oraz monitorowania wrażliwych danych. Firmy muszą określić rodzaj gromadzonych przez siebie danych wrażliwych. Powinno się ustalić także miejsca, gdzie są przechowywane oraz sposoby wykorzystywania ich przez pracowników. Chociaż narzędzia DLP zwykle oferują predefiniowane profile dla danych wrażliwych, to jednocześnie umożliwiają użytkownikom definiowanie nowych profili z uwzględnieniem ich potrzeb.

Włączając monitorowanie danych, można się dowiedzieć, w jaki sposób dane przepływają w ich sieci i poza nią. Pomoże to odkryć luki w obsłudze danych i uwidoczni złe praktyki pracowników dotyczące bezpieczeństwa. Dzięki temu firma może podejmować bardziej świadome i efektywniejsze kosztowo decyzje przy opracowywaniu strategii ochrony danych, a także zapewnić odpowiednie szkolenia pracownikom.

Wdrażane rozwiązanie DLP powinno być wieloplatformowe. Ze względu na powszechność modeli BYOD (Bring Your Own Device) oraz CYOD (Choose Your Own Device) w sieciach firm funkcjonują urządzenia z różnymi systemami operacyjnymi. Wieloplatformowe rozwiązanie DLP będzie oferować ten sam poziom ochrony niezależnie od systemu na sprzęcie użytkownika. Umożliwi też zarządzanie wszystkimi urządzeniami końcowymi w sieci firmowej przy użyciu tego samego pulpitu nawigacyjnego.

Zdaniem integratora

Sławomir Słomiński, specjalista ds. rozwiązań serwerowych, AT Computers  

Nie istnieją gotowe reguły wdrażania DLP odnoszące się do takiej czy innej branży. Każda firma ma swoją specyfikę i należy brać to pod uwagę w procesie opracowywania odpowiedniej dla niej polityki, a także przeprowadzić rozpoznanie w postaci audytu. To, co zdroworozsądkowo wydaje się być największym niebezpieczeństwem, nie zawsze musi nim być w istocie. Ważne jest zidentyfikowanie faktycznych zagrożeń i zapobieganie im. Kanały potencjalnego wycieku wynikają ze słabości zarówno technicznych, jak i ludzkich. Po prostu nie ma narzędzi stuprocentowo bezpiecznych oraz ludzi, którzy nie popełniają błędów.

Chociaż część klientów dysponuje zasobami i infrastrukturą, które umożliwiają im samodzielne zarządzanie rozwiązaniami klasy DLP, to istnieje też ogromna przestrzeń na usługi związane nie tylko z wdrożeniem, ale też z późniejszym zarządzaniem tymi systemami. Wielu klientów oczekuje całościowego rozwiązania ich problemów, a nie tylko dostarczenia produktu, który potem miałby wymagać od nich zaangażowania własnych mocy. Rozwiązania z zakresu bezpieczeństwa, w tym DLP, wymagają często nie tylko nabycia umiejętności, ale też ciągłego rozwijania wiedzy o nowych zagrożeniach. Ponieważ ten obszar ulega dynamicznym zmianom, bieżące wsparcie w zakresie ochrony danych stanowi dużą wartość dodaną dla klientów.

  

Kolejnym etapem wdrożenia DLP jest skonfigurowanie reguł polityki ochrony przed utratą danych i testowanie ich. W celu kontrolowania identyfikowanych wrażliwych danych, narzędzia DLP zapewniają użytkownikom szeroką gamę wstępnie skonfigurowanych reguł i zasad, które można zastosować w firmowej sieci. Mogą one blokować przesyłanie poufnych danych przez potencjalnie niezabezpieczone kanały, takie jak komunikatory, udostępnianie plików, a także usługi w chmurze. DLP umożliwia również wprowadzenie ograniczeń, do kogo wrażliwe dane mogą być wysyłane pocztą elektroniczną. Jeśli chodzi o dane w spoczynku, rozwiązanie ułatwia administratorom szyfrowanie lub usuwanie poufnych danych wykrytych na nieautoryzowanych komputerach.

W ramach ochrony przed wyciekiem, DLP umożliwi kontrolowanie tego, co może być połączone z punktem końcowym. Dane mogą zostać utracone nie tylko przez internet, ale także poprzez użycie urządzeń przenośnych. W szczególności pamięci USB są powodem wielu naruszeń bezpieczeństwa danych, czy to z powodu braku ostrożności u pracowników, czy użycia ich jako narzędzia ataku przez napastników. Rozwiązanie DLP może blokować porty USB i interfejsy urządzeń peryferyjnych albo zezwalać na ich użycie tylko w urządzeniach z białej listy. Sposobem na zapewnienie, że w przypadku korzystania z pamięci USB wszystkie kopiowane na nie pliki będą chronione, będzie też wymuszenie automatycznego szyfrowania.

Dostęp do danych wrażliwych i ich wykorzystanie powinny być ograniczane w zależności od roli pracownika i grupy, do której należy. Narzędzia DLP umożliwiają administratorom konfigurowanie różnych poziomów autoryzacji w firmowej sieci na bazie informacji o poszczególnych użytkownikach i urządzeniach, grupach pracowników lub działach przedsiębiorstwa. W ten sposób sprawią, że personel, który nie pracuje z danymi wrażliwymi, nie ma do nich dostępu lub jest on ograniczony w wymaganym
zakresie.

Pandemia uświadomiła firmom, że muszą być przygotowane na organizowanie zdalnej pracy w sytuacjach awaryjnych. Już wiadomo, że powrotu do modelu pracy wyłącznie stacjonarnej i w biurze już nie będzie. Dlatego ważne stało się skonfigurowanie zasad pracy zdalnej przy użyciu narzędzi DLP, które będą obowiązywać poza siecią firmową, niezależnie od tego, czy urządzenie jest online, czy offline. W ten sposób można zapewnić ciągłą ochronę wrażliwych danych, bez względu na to, gdzie znajduje się sprzęt.

Kluczowa jest także edukacja pracowników w obszarze DLP i bezpieczeństwa danych. Użytkownicy powinni rozumieć potrzebę korzystania z narzędzi DLP (zawsze w jakimś zakresie utrudniających im pracę) oraz znać najlepsze praktyki ochrony i konsekwencje naruszenia bezpieczeństwa danych. Firmy mogą wykorzystywać dostarczane przez DLP wyniki monitorowania danych do tworzenia szkoleń mających na celu likwidowanie słabych punktów w działaniach pracowników i zapobieganie próbom obchodzenia zasad. Szkolenia te mogą spowodować, że pracownicy staną się aktywną stroną w dostosowywaniu polityk DLP w celu zwiększenia efektywności ich pracy.

CHMURA NIE ZWALNIA OD ODPOWIEDZIALNOŚCI Zewnętrzne, certyfikowane centra danych mogą zapewniać poziom bezpieczeństwa i niezawodności wykraczający poza to, co da się uzyskać przy skromnym budżecie IT, jakim dysponuje większość firm. Trzeba jednak pamiętać, że gdy wrażliwe dane trafią do chmury, firmy tracą nad nimi część kontroli, ponieważ jest to środowisko zewnętrzne, zarządzane przez dostawcę usług. Niezależnie od tego, czy usługa w chmurze to Infrastructure as a Service (IaaS), Platform as a Service (PaaS) czy Software as a Service (SaaS), jej klienci nadal są odpowiedzialni za zabezpieczenie swoich danych i dostępu do nich. Chociaż usługi w chmurze oferują wiele korzyści, firmy muszą zawsze brać pod uwagę konsekwencje prawne i ryzyko związane z przechowywaniem w niej wrażliwych danych. Skuteczne szyfrowanie i ochrona przed wyciekiem danych są równie ważne w chmurze, jak w środowiskach lokalnych.

Zniszczyć dane tak, by nie wyciekły

Do wycieku może dojść nie tylko podczas wykorzystywania danych w ramach obiegu informacji, ale także w wyniku wycofania ich z użytku. Wobec ogromnego przyrostu informacji przetwarzanej i przechowywanej w formie elektronicznej, potencjał dla rynku dla bezpiecznego niszczenia danych jest ogromny. W Polsce wciąż jednak jest potrzeba zwiększania świadomości klienta w tym obszarze. Byłoby łatwiej, gdyby istniało większe wsparcie ze strony regulatora.

– W odróżnieniu od zachodniego, polskie ustawodawstwo w zasadzie nie narzuca na firmy żadnych konkretnych obowiązków w zakresie danych wycofywanych z użytku w formie elektronicznej – mówi Miłosz Krzywania, dyrektor operacyjny w SDR-IT. – Oczywiście, jest RODO i przepisy porozrzucane po różnych ustawach i rozporządzeniach, ale w praktyce wszystko sprowadza się do dobrych praktyk. Można mieć nadzieję, że z czasem się to zmieni, gdy na przykład wymuszą to regulacje na poziomie UE.

Obecnie nieliczne podmioty, takie jak spółki notowane na giełdzie papierów wartościowych, stosują się do wymogów bezpiecznego usuwania danych, ale to wyjątki potwierdzające regułę. Niemal odłogiem leży obszar wycofywanych urządzeń IT. Ochrona przechowywanych na takim sprzęcie danych często sprowadza się do zwykłego formatowania dysków, co nie jest żadnym zabezpieczeniem. Nawet jeśli zostały wypracowane i są przestrzegane procedury niszczenia dokumentów papierowych, to wciąż zapomina się, że mały telefon komórkowy po wycofaniu z użytku stanowi dzisiaj potężne archiwum informacji, zawierające także dane wrażliwe.

– Potrzebna jest edukacja w firmach, dotycząca tego, jak bardzo ważna jest ochrona danych i czym grozi to, że mogą dostać się w niepowołane ręce, gdy są już wycofywane. Konsekwencją mogą być nie tylko ogromne odszkodowania i kary, ale także utrata reputacji – ostrzega Miłosz Krzywania.

Właściwe podejścia są dwa. Jednym jest skuteczne niszczenie nośników, a drugim profesjonalne kasowanie danych. Ten drugi przypadek daje możliwość ponownego wprowadzenia sprzętu na rynek. Do klienta należy wybór – czy programowo usunąć dane (co może być lepsze dla środowiska naturalnego), czy raczej postawić na fizyczne ich zniszczenie (jeśli ma to zapewnić większy spokój zlecającemu). Profesjonalni dostawcy na rynku polskim oferują obie usługi, gwarantując ich stuprocentową skuteczność. Jeśli weźmie się pod uwagę to, jak szybko obecnie cyfryzują się wszystkie branże – także te, które mają do czynienia z danymi wrażliwymi (np. ochrona zdrowia) – można być pewnym, że pracy tego rodzaju usługodawcom i współpracującym z nimi integratorom nie zabraknie.

SZYFROWANIE PRZYNOSI OSZCZĘDNOŚCI Z najnowszego raportu „Cost of a Data Breach”, przygotowanego przez Ponemon Institute na podstawie badania zleconego przez IBM Security, wynika, że naruszenia bezpieczeństwa danych kosztowały w ostatnim roku badane firmy średnio 4,24 mln dol. na incydent. To najwyższy koszt w 17-letniej historii raportu. Globalne badanie, które objęło ponad 500 poszkodowanych przedsiębiorstw, wykazało, że incydenty bezpieczeństwa stały się o 10 proc. bardziej kosztowne w porównaniu z poprzednim rokiem i trudniejsze do opanowania z powodu drastycznych zmian operacyjnych wynikających z pandemii. Wśród czynników, które mogą te koszty obniżyć, na trzech pierwszych miejscach są: zastosowanie sztucznej inteligencji, analizy bezpieczeństwa oraz szyfrowanie. Te firmy, które w swojej strategii bezpieczeństwa je uwzględniły, zaoszczędziły od 1,25 do 1,49 mln dol. w porównaniu z tymi, które nie korzystały w wystarczającym stopniu z takich narzędzi.