Ztráta citlivých dat je těžkým úderem pod pás

Asi není zapotřebí dlouze vysvětlovat, že ztráta elektronických dat může být těžkou, mnohdy i smrtelnou ranou pro jakýkoliv byznys a jakýkoliv obor. Nejde přitom jen o důvěru zákazníků nebo konkurenční výhodu - ale třeba i o dodržování legislativních požadavků.

A dále pak o neschopnost plnit zákonem dané požadavky, úkoly a termíny. Anebo o prosté ohrožení bezpečnosti (což bezpochyby dosvědčí třeba státní správa).

Obnova (je-li vůbec možná) trvá dny, týdny, měsíce - a jak známo, "čas jsou peníze". Přesvědčili se o tom například v americkém Alaska Department of Revenue, kde nedávno technik při rutinních úkonech nedopatřením smazal data z hlavního i zálohovacího disku. A protože i pásky se zálohami byly nečitelné (další bezpečnostní incident!), tak bylo neštěstí hotovo.
Na nápravě škody následně pracovalo 70 lidí přesčas a o víkendech, a to po dobu šesti týdnů. Bylo totiž potřeba do elektronické podoby převést 300 krabic plných papírových dokumentů (těch bylo přes 800 tisíc!). Účet za tyto úkony znamenal mj. 128 400 dolarů vyplacených za přesčasovou práci a dalších 71 800 dolarů vyplacených za konzultace s počítačovými odborníky. Při započtení dalších nákladů činil účet 220 tisíc dolarů.

Znovu podotýkáme: na počátku byla "jen" tuctová lidská chyba, kterou ovšem nikdy nevyloučíme a která byla zapříčiněna tím prostým faktem, že pro ni vznikl prostor. Aneb dopad ztráty dat bývá o to hlubší, pokud na něco podobného nejsme připraveni. Jinými slovy: pokud jsme dlouhou dobu žili v bláhové představě, že právě nám se nikdy nemůže nic stát. V tu chvíli se ve výhodě ocitají všichni ti, kdo v časech lepších mysleli na zadní vrátka a s možností vzniku problémů počítali.

Je to přitom jen a jen o ochotě s bezpečnostními incidenty počítat, nikoliv o (ne)dostupnosti technologií. Ty jsou vyvinuté a připravené k nasazení, takže jako nejslabší článek lze v daném případě označit jen naši (ne)ochotu celou problematiku řešit. V případě informační bezpečnosti se navíc často díváme pouze směrem "ven": hledáme hackery, útoky, viry... Ale nedíváme se dovnitř organizace: na lidské chyby (viz výše), na nedisciplinovanost uživatelů, na záměrné odcizování elektronických dokumentů atd.

Statistiky suše konstatují, že průměrný evropský zaměstnanec si týdně odnáší domů 11 dokumentů (motivy jsou přitom různé: od práce doma přes pouhou zvědavost až po zlý úmysl). Nejdisciplinovanější jsou Britové (jen 6 dokumentů na osobu a týden), nejméně spolehliví naopak Nizozemci (19 dokumentů). Stejně tak si 52 procent evropských zaměstnanců při ukončení pracovního poměru odnáší od bývalého zaměstnavatele nějaká citlivá data. Máme pokračovat dále? Pak vězte, že 37 procent evropských organizací nemá vůbec žádnou politiku ohledně nakládání s daty. (A pokud ji má, pak to 24 procent zaměstnanců netuší!)

Eliminovat problémy spojené s lidskými chybami může technologie Data Loss Prevention. Její filozofie se dá vyjádřit slovy "co není povoleno, to je zakázáno". Což může působit silně restriktivním dojmem, ale praxe ukazuje, že není jiné cesty. Lidé by měli mít přístup a pracovat s informacemi, které skutečně potřebují. Princip těchto systémů je přitom jednoduchý. Skládají se z řídicí konzole a z agentů na koncových stanicích. Veškerá data jsou označena speciálními vizitkami (anglicky "tags"). Stejně tak jsou jednotlivým uživatelům přidělena určitá práva. Vizitky obsahují informace o charakteru příslušného souboru s tím, že agentský software na koncových stanicích si je pečlivě hlídá. Neumožní pak uživateli provést žádnou nepovolenou operaci: kopírování, smazání, modifikaci, komprimování, šifrování... I když dojde třeba ke kopírování části obsahu souboru do jiného (je-li dovoleno), agentský software se postará o to, aby byl příslušnou vizitkou doplněný i tento. Data tak není možné dostat z organizace ani zkopírované do jiného souboru, ve zkomprimovaném nebo zašifrovaném archivu. Agentský software zkrátka umožní s daty jen takovou manipulaci, která je dovolena. Veškerá ostatní (včetně např. screenshotů obrazovky apod.) je zakázána.

Technologie Data Loss Prevention je tak platformově nezávislá: je lhostejné, jakým způsobem se zaměstnanec o "únik" dat pokusí (zdali jen z nedbalosti, nebo se zlým úmyslem). Tedy jestli jde o kopírování na USB disk, do MP3 přehrávače, odesílání pomocí elektronické pošty nebo instantních zpráv atd. Právě riziko plynoucí z mnoha méně obvyklých zdrojů úniku eliminuje filozofie "co není dovoleno, je (automaticky) zakázáno". Díky tomu tak přímo volá po svém nasazení v místech, kde se pracuje s kritickými daty: ať jde o dokumenty tajné (ministerstva, policie...), citlivé (osobní údaje, lékařské záznamy...) nebo interní (finanční výsledky, projekty, zprávy...).

Závěr? Opět nechme promluvit statistiky. USB disk o velikosti 1 GB může obsahovat 536 tisíc záznamů o klientech a lidech obecně. Na jeden 20 GB MP3 přehrávač se vejde zhruba 750 tisíc běžných souborů. Kapacitu 60GB iPodu si jistě spočítáte sami... Jste si opravdu jistí, že víte, co se právě v tomto okamžiku děje s vašimi daty?

Autor je Territory Managerem pro ČR a SR ve společnosti McAfee.