Kompleksowa ochrona przed wyciekiem – Data Loss Prevention (DLP)
Od dłuższego czasu rośnie świadomość zarówno organizacji, jak i samych użytkowników w kontekście bezpieczeństwa w Internecie. Niemalże każdy już wie, że oprócz dobrej strony sieci, jest jeszcze ta druga – ukryta, schowana, niewidoczna, w której czyhają na nas ‘jakieś’ niebezpieczeństwa.
Głównym problemem zdaje się być szeroko pojęty phishing, czyli próby wyłudzenia od nas poświadczeń (np. poprzez podszywanie się pod inne osoby/firmy w komunikacji mailowej) – jednak to nie wszystko. Pomijam tutaj tematy rzadkie, takie jak celowany atak na organizacje czy próby przejęcia kontroli nad środowiskiem. Chodzi mi o bardzo gorący temat ostatnich lat – wycieki danych.
Zanim przejdziemy do głównej części – czyli „jak im zapobiec?”, chciałbym jednak spojrzeć od drugiej strony – po co ktoś próbuje NAS atakować? Na co komu moje poświadczenia czy dokumenty?
Informacja to pieniądze, pieniądze to informacja
Sun Tzu w ‘Sztuce wojny’ pisał, że „Kto zna wroga i zna siebie, nie będzie zagrożony choćby i w stu starciach” – rozumiecie, dokąd zmierzam? Informacja handlowa, dane kontrahentów, stan magazynu, kwalifikacje specjalistów, tajemnice przedsiębiorstw – to są bardzo ważne, bardzo wartościowe dane!
O tym, że chcemy je chronić, wie każdy – jednak nie każdy wie, jak to robić. Obaw jest wiele – skala (90% danych na świecie powstało w ciągu ostatnich 2 lat![1]), ataki z zewnątrz, szpiegostwo korporacyjne czy (co chyba najważniejsze) – pomyłki czy celowe, szkodliwe działanie nas samych – użytkowników. I to właśnie tej ostatniej części chcę poświęcić kolejny akapit.
Najsłabsze ogniwo od lat się nie zmienia
Podczas rozmów z przedstawicielami bezpieczeństwa IT w firmach jeden temat jest niezmienny od lat, bez podziału na branże, wielkość czy obowiązujące restrykcje – użytkownik jest najsłabszym ogniwem. Znam historie, gdzie pracownicy (zwykle nieświadomie) niemalże z własnej inicjatywy dają dostęp do swojego konta i danych – przekazują hasła(!) czy, co gorsza, kody weryfikacji wieloskładnikowej (!!!). Dużą rolę odgrywa tutaj świadomość użytkowników, ale też działanie proaktywne – np. szyfrowanie danych (BitLocker dla stacji roboczych, czy Azure Information Protection dla pojedynczych danych) lub/i wykorzystanie DLP (Data Loss Prevention). Chcemy zapewnić bezpieczeństwo, jednocześnie jak najmniej wpływając na produktywność biznesu – z tego też powodu, warto postawić na automatykę.
Microsoft i ochrona danych w organizacji
Po tym przydługim wstępie przejdźmy do konkretów – Microsoft w swojej ofercie ma wiele usług związanych z bezpieczeństwem. Jedną z nich, dostępną już od dłuższego czasu jest Data Loss Prevention – którego zadaniem jest przeciwdziałanie wypływaniu ważnych informacji poza organizację.
Definicja „ważności” różni się pomiędzy organizacjami, ale część pozostaje niezmienna – przykładowo dane osobowe. Dlaczego właśnie dane osobowe są kluczowe dla wszystkich? Odpowiedź tkwi w czterech, magicznych literkach – RODO, czyli rozporządzenie o ochronie danych osobowych, które nakłada kary nawet na poziomie 4% rocznego obrotu (!) dla firm, które tych danych nie będą zabezpieczać w wystarczający sposób[2].
DLP, dostępne w ramach Office 365 działa całkiem sprawnie – jest w stanie wykryć, że dokument Word, mail czy plik PDF zawierają np. numer PESEL czy numer kart kredytowych. Możemy nawet pójść o krok dalej i wykrywać informacje unikalne dla naszej organizacji (np. numer klienta czy faktury).
Do tej pory głównym wyzwaniem jednak była skala – DLP działa przy ochronie danych w chmurze – znajdujących się w mailach, na przestrzeni współdzielonej SharePoint, czy w naszym osobistym repozytorium danych OneDrive. Co w momencie, kiedy użytkownik korzysta z plików lokalnie na stacji roboczej lub wynosi je na fizycznych nośnikach?
Microsoft Endpoint DLP
Pod koniec lipca 2020 Microsoft zapowiedział rozszerzoną wersję swojego mechanizmu DLP – Endpoint DLP. Oprócz ochrony chmury, jesteśmy teraz w stanie kontrolować i przeciwdziałać wyciekom danych na stacjach roboczych. Wymaga to oczywiście zarządzania urządzeniami w organizacji, np. z wykorzystaniem Microsoft Intune.
Endpoint DLP jest natywne dla Windowsa 10 i przeglądarki Microsoft Edge (również najnowszej, świetnej wersji opartej na chromium!) – dzięki czemu wdrożenie jest bardzo szybkie i proste, a użytkownicy po swojej stronie nie muszą NICZEGO konfigurować czy instalować.
W zależności od akcji wykonanej przez pracownika może on zostać poinformowany, że istnieje ryzyko wycieku danych (lub nawet może to zostać odgórnie zablokowane). Przykładowo – jeżeli użytkownik kopiuje dane z pliku Word (których kopiować nie powinien) – dostanie poniższy alert:
Podobnie sytuacja będzie wyglądać, jeżeli spróbuje skopiować nie wycinek, a cały plik do prywatnego (niewspieranego) repozytorium danych w chmurze:
Akcje, które są monitorowane zawierają m.in. drukowanie, kopiowanie wrażliwych plików na nośnik USB, zasób sieciowy, usługę chmurową czy dostęp do danych przez niewspierane aplikacje.
A wszystko to jest dostępne z bardzo bogatymi poglądem dzięki wbudowanemu raportowaniu!
Korzystając z Microsoft Endpoint DLP jesteśmy w stanie zapobiec nieumyślnym wyciekom danych (których jest bardzo dużo!), związanym z pomyleniem odbiorców wiadomości, nadmiernemu kopiowaniu czy drukowaniu, oraz – co może ważniejsze – umyślnemu wyciekowi (pracownik, który odchodzi do innej organizacji często robi sobie ‘kopie zapasową’ materiałów z naszej organizacji).
Wspomnę o jeszcze jednym ważnym beneficie – zgodność z RODO. Dzięki Endpoint DLP jeszcze lepiej chronimy dane osobowe naszych klientów oraz pracowników.
Dostępność Microsoft Endpoint DLP
Usługa jest w tym momencie w tzw. trybie preview – co oznacza, że nie jest jeszcze kompletna i bardzo szybko się rozwija i ewoluuje.
Standardowe DLP jest dostępne od planu Office 365 Enterprise E3 (lub wyższych), natomiast Endpoint DLP wymaga licencji Microsoft 365 E5/A5 bądź też dodatków – Microsoft 365 E5 Compliance lub E5 Information Protection and Governance.
Co dalej?
Microsoft Endpoint DLP To kolejny element kompletnej infrastruktury bezpieczeństwa danych wg. Microsoft, obok Microsoft Information Protection i innych, związanych z zabezpieczeniem tożsamości (np. Identity Protection) czy też naszych urządzeń (Microsoft Defender ATP).
Zachęcamy do testowania tego rozwiązania dla obecnych klientów planów E5, a dla tych z was którzy mają niższe licencje – możemy pomóc uruchomić próbne wersje byście i by mogli spróbować swoich sił z Microsoft Endpoint DLP.
I na sam koniec – 88% organizacji nie ma pewności, że jest w stanie wykryć i zapobiec wyciekowi danych [3] – wspólnie dołóżmy wszelkich starań, aby stać po stronie tych wybranych 12%!
[1] https://techjury.net/blog/big-data-statistics/
[2] https://publicystyka.ngo.pl/kary-za-nieprzestrzeganie-przepisow-rodo
[3] Forrester. Security Concerns, Approaches and Technology Adoption. December 2018
Czytaj więcej