Koupíte-li si elektronickou knihu do čtečky Kindle od Amazonu, bude chráněná pomocí DRM, které brání sdílení knihy s dalšími uživateli, a pokud si Amazon usmyslí, může ji zablokovat, takže ji znovu neotevřete. Přibližuje se tomu ochrana vašich firemních dokumentů alespoň vzdáleně?
Správa práv k informacím (obvykle označovaná jako podnikové DRM) dokáže zajistit, že například cenovou nabídku otevře pouze zákazník, nedostane se do rukou konkurence a na konci platnosti bude automaticky zablokovaná. Nebo můžete při výběrovém řízení několika potenciálním dodavatelům poskytnout specifikaci zakázky a po jeho skončení povolit otevření dokumentu již jenom vybranému vítězi. Při změnách plánů a harmonogramů můžete zablokovat přístup ke staré verzi, aby všichni pracovali pouze s aktuálními údaji.
Z hlediska bezpečnosti a compliance je důležitý přehled o nakládání s dokumentem. DRM umožňuje sledovat, kolik lidí si například otevřelo nově vydanou verzi zaměstnanecké příručky s nejnovějšími předpisy. Můžete také zjistit, že dokument, který jste poslali malému týmu, si ve skutečnosti přečetly desítky lidí.
Správa digitálních práv je vyspělá podniková technologie – můžeme ji nalézt například v systému Windows Server od verze 2003. Jak ale podotýká analytik Mario de Boer z výzkumné společnosti Gartner, systémy EDRM (Enterprise DRM) jsou dnes rozšířenější než kdy dříve, přesto zůstávají poměrně vzácné.
Nedávno uskutečněný výzkum bezpečnostní společnosti Intralinks ukázal, že pouze 53 % podniků klasifikuje informace v souladu s nastaveným systémem přístupových oprávnění, který by je měl chránit. To je obzvlášť problematické v situacích, jež vyžadují utajení a zároveň rychlé jednání, například při fúzích a akvizicích. Tlačí-li vás čas a máte obavu, že z dohody sejde, snáze sklouznete k tomu, že se nebudete zdržovat nastavováním příslušných oprávnění a rozešlete nechráněné soubory.
Není divu, že v takových případech dochází ke ztrátě dat – 71 % manažerů, kteří se jednání o fúzi nebo akvizici účastnili, přiznalo v této souvislosti úniky informací. K nim dochází i v jiných případech – například britský komunikační regulátor Ofcom zjistil, že si jeho bývalý zaměstnanec před odchodem do soukromé televizní společnosti stáhl údaje o konkurenčních vysílatelích za období šesti let a promptně je nabídl svému novému zaměstnavateli. Pokud Ofcom využíval DRM, stažené dokumenty by byly bezcenné, protože by je nebylo možné bez oprávnění vůbec otevřít. Kvůli zákonům na ochranu osobních údajů, jako je evropské nařízení GDPR, se takové úniky mohou značně prodražit.
„Tradiční přístup k ochraně dat se soustředí na kontrolu,“ vysvětluje de Boer. „Kontrolu nad sítí (mít všechna data v datovém centru), kontrolu nad zařízeními (zavedení šifrování na mobilních zařízeních i stolních počítačích), kontrolu nad aplikacemi (důsledné užívání kontejnerů) a kontrolu nad službami (pouze oprávněné osoby mají k aplikaci přístup).“
Podle Dana Plastiny ze společnosti Microsoft, který má na starosti řešení pro správu digitálních práv včetně Azure RMS, si firmy začínají uvědomovat, že ochrana perimetru a koncových zařízení již nedostačuje a je nutné se zaměřit na samotná data.
„Kdysi býval bezpečnostní perimetr jednoznačný, ale to již neplatí,“ říká Plastina. „Data nejsou ukládána tam, kde byste je chtěli mít, bez ohledu na to, zda se nám to líbí, nebo ne. Problém je větší, než se leckomu zdálo, a řada podniků si uvědomuje, že se musí zaměřit na identitu a data namísto tradiční správy koncových zařízení. Ta nezmizí, ale rozhodně se musí výrazně posílit vazba mezi daty a identitou.“
Vysvětluje, že podstatou správy digitálních práv je „ochrana dat založená na identitě, kde jsou soubory zašifrované tak, že k jejich obsahu mají přístup pouze oprávněné osoby.“
Některá odvětví již systémy pro správu oprávnění (RMS) zavedla, zejména finance, automobilový průmysl nebo průmyslová výroba. „Jde o podniky, jež buď musejí, nebo chtějí pečlivě chránit svá data,“ říká Plastina. „Jednak jsou to ty, které se musejí starat o své cenné duševní vlastnictví, nebo ty, jež pracují s osobními údaji a dalšími citlivými informacemi, například finančními.“
Správa oprávnění je však důležitá pro podstatně širší spektrum podniků. „Data putují do různých repozitářů a úložišť, přesouvají se do cloudu, jsou předávána obchodním partnerům – takový obsah je mimo vaši kontrolu. Nakládání s podnikovými daty se zcela vymyká kontrole a situace dospěla do stavu, kdy ji není možné dále ignorovat.“
Vyhnout se extrémům
Problém nespočívá v kvalitě technologií a většina firem má zavedený řádný systém pro správu identit, který by využití správy digitálních práv umožnil. „Nejčastější problém není technického rázu, ale kulturního,“ zdůrazňuje de Boer. „Udělat změny v zavedených postupech je složitější než vyřešit technické otázky.“
To znamená nemít na počátku přehnaně vysoká očekávání a ani nenaložit příliš nových povinností uživatelům, ani neztížit přespříliš přístup k datům. „Většina úspěšných implementací začíná v malém rozsahu, kdy se nová pravidla uplatňují pouze na nejcitlivější data. Následně se sleduje užívání, shromažďují poznatky a odhalují nedostatky. Postupně je možné DRM rozšiřovat i na další a komplikovanější procesy.“
Systém pro správu oprávnění vás neochrání před všemi eventualitami, například pokud si zaměstnanec mobilním telefonem vyfotografuje otevřený dokument na obrazovce.
To však není technický problém, ale manažerský (a dotyčný pracovník by navíc v takovém případě nemohl tvrdit, že k úniku došlo neúmyslně).
Podle Plastiny se často stává, že při implementaci podnikového DRM dojde k jednomu ze dvou extrémů: buď zůstane vše na uživatelích, nebo je nesmyslně přísně chráněno naprosto vše. Ani jeden přístup nefunguje.
„IT nemívá dobrý smysl pro to, co jsou citlivé informace a co nikoli,“ poznamenává Plastina, „takže se rozhodování o stupních ochrany musejí účastnit byznysoví manažeři. Není ani nutné mít rozsáhlý systém pravidel. Ve většině případů stačí kategorie přísně tajné, tajné, interní a veřejné.“
Navrhuje začít u nejcitlivějších dat a způsobu jejich ukládání.
„Ne všechna podniková data jsou citlivá. Pokud je 5 % vašich dat přísně tajných, soustřeďte svoji energii na těchto pět procent. Jestliže vyrábíte čokoládové tyčinky, většinu citlivých dat budete mít v SAP – logistiku, informace o objednávkách, skladové zásoby, finanční informace.“ Tato data jsou v bezpečí, dokud z nich nevytvoříte report v PDF nebo XLS a nepošlete jej někomu dalšímu.
„Co musíte udělat? Zaměřit se na SAP, vybrat vhodné RMS řešení a označovat příslušná data jako interní. Ta budou od počátku šifrovaná a mimo podnik nepoužitelná. Takto začnete svá data krotit.“
Dalším krokem může být klasifikace interních e-mailů, například v rámci personálního nebo právního oddělení.
„Dnes má každý přístup ke všem datům. Po zavedení RMS bude možné zjistit, že Dan z marketingu se snaží otevřít dokument z HR, a někdo bude moci zakročit,“ vysvětluje Plastina.
Klasifikace informací musí mít pevný řád, ale přílišná restrikce je kontraproduktivní, jak poznamenává Plastina.
„Namístě je určitá zdrženlivost. Začít můžete e-mailem a SAP, ale pravidla by měla být nastavená s takovou mírou flexibility, aby nepodkopávala produktivitu.“ Může se také ukázat, že procesy ve skutečnosti probíhají jiným způsobem, než se domníváte. Nezapomeňte, že DRM se bude týkat i vedení a jeho členové budou muset akceptovat změny ve svém způsobu práce.
„Vzhledem k rozsáhlým únikům dat, jakých jsme byli svědky v nedávné době, je nebude až tak těžké přesvědčit,“ domnívá se de Boers.
Zaveďte jednoduchou ochranu hned a postupně zdokonalujte
Správa oprávnění je oblast, kde nalezne využití strojové učení, jak pro sledování nežádoucího nakládání, tak pro automatickou klasifikaci dokumentů. Klasifikovat je totiž nutné nejen nově vznikající dokumenty, ale i zpětně všechny dosavadní. Firma bude moci klasifikovat určitou množinu dokumentů a systém v repozitářích následně vyhledá a příslušně označí jim podobné, což by bylo těžko představitelné dělat ručně.
Bez ohledu na to, zda potřebujete takovéto pokročilé funkce, Plastina doporučuje začít využívat DRM ihned. „Nejlepší přístup je zaměřit se na to nejjednodušší: klasifikovat, označovat, chránit. Tím začněte, a jakmile bude systém v chodu, bude pro vás podstatně snazší monitorovat nakládání s informacemi a řešit nežádoucí situace.“
De Boers souhlasí, že je žádoucí zavést správu oprávnění co nejdříve.
„Manažeři IT by měli plánovat zavedení datově orientované ochrany informací a podnikové DRM se automaticky nabízí jako řešení. Všichni CIO, kteří chtějí v podniku podporovat týmovou spolupráci a chápou rigiditu infrastrukturních hranic okolo izolovaných ostrovů citlivých dat, by měli o EDRM uvažovat.“
Zdroj: CIO.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU