Jeśli jesteś:
- osobą odpowiedzialną za bezpieczeństwo danych w firmie
- administratorem danych
- właścicielem firmy działającej w zakresie IT
- osobą pracującą w IT, chcącą pogłębić swoją wiedzę w zakresie administracji danych
i bezpieczeństwa sieci
Ten artykuł powinien Cię zainteresować
Podobno historia lubi się powtarzać. Niestety nie ominęło to branży IT, w której opowieści na temat bezpieczeństwa i utraty danych zajmują swoje stałe, obszerne miejsce. Niestety duża część z nich nie posiada szczęśliwego zakończenia. Co więc poszło nie tak?
Artykuł został podzielony na dwie części. W pierwszej znajdziesz dwie historie dotyczące polskich uczelni, które w prozaiczny sposób udostępniły dane wrażliwe niepowołanym osobom. Druga część to nasze „know how”, rady i rozwiązania, dzięki którym będziesz mógł uniknąć sytuacji problemowych oraz dopisać do swoich historii szczęśliwy „the end”.
Usiądź wygodnie i zarezerwuj 5-7 minut na tę lekturę!
Część I
Mrożące krew w żyłach ataki hakerskie, mające na celu wyłudzenie wielomilionowego okupu to scenariusz setek filmów sensacyjnych, ale także prawdziwych historii. Poznaj przypadki osób pracujących na dwóch różnych uczelniach, przez które, w wyniku wypadków losowych i przez swoją nieuwagę, dane wrażliwe wpadły w niepowołane ręce.
Co groźniejsze, utrata sprzętu czy danych?
Wiadomo, kradzież może spotkać każdego, niezależnie od tego, kim się jest oraz w jakim miejscu się znajduje. Tym razem przydarzyła się pewnemu pracownikowi uczelni, który stracił swojego laptopa. Niestety na dysku znajdowały się dane osobowe, przetwarzane w trakcie postępowań rekrutacyjnych z ostatnich 5 lat. Jednak jakby tego było mało, urząd przy okazji prowadzonego w tej sprawie śledztwa znalazł kolejne niedociągnięcia. Okazało się, że uczelnia nie wdrożyła przepisów dotyczących RODO, a dokładniej „środków organizacyjnych i technicznych, które pozwalają na zapewnienie bezpieczeństwa przetwarzania danych osobowych kandydatów na studia”.*
Przypadkowe załączniki
„Przypadek” to słowo, które często niesie za sobą wiele kłopotów. Tak też zdarzyło się podczas korespondencji wykładowcy pewnej uczelni ze studentami. Na platformie komunikacyjnej umieścił wpis informujący o podziale grup językowych, do którego zupełnie „przez przypadek” wstawił plik z danymi osobowymi studentów. Było tam wszystko: imię, nazwisko, PESEL, numer dowodu, organ wystawiający, imiona rodziców, daty urodzeń i wiele, wiele innych, które z pewnością wystarczyłyby, aby wziąć kredyt. Słowem – prawdziwy koszmar.
Jak widać, dane mogą wyciekać z firmy oraz innych instytucji najróżniejszymi drogami. Zarówno w jednym jak i drugim przypadku było to oczywiście nieumyślne działanie – pech, błąd, niedopatrzenie, jednak o przykrych dla obu uczelni konsekwencjach.
Słowo klucz – odpowiedzialność!
Niezależnie od tego, co wydarzy się w firmie i tak cały bałagan będzie musiał posprzątać inżynier. Sytuacji nie pomaga także fakt, że przepisy RODO jasno wskazują na administratora jako na osobę odpowiedzialną za wszelkie naruszenia. Z góry uprzedzając pytania – tłumaczenie, że mamy zatrudnionego IOD nie jest dla UODO żadnym argumentem. „To na administratorze ciąży bowiem obowiązek zweryfikowania w organizacji obszarów przetwarzania danych osobowych i wdrożenia odpowiednich środków technicznych
i organizacyjnych mających zapewnić ich bezpieczeństwo”.**
Tak stanowi prawo.
Człowiek jako słabe ogniwo bezpieczeństwa
Nie będzie zapewne zbyt odkrywczym stwierdzenie, że pracownicy nie zawsze przestrzegają zasad bezpieczeństwa.
Według najnowszego raportu firmy Forrester „Evolving Security to Accommodate the Modern Worker” (Dostosowanie zabezpieczeń do potrzeb współczesnego pracownika) 41% użytkowników końcowych omija czasami zasady bezpieczeństwa, aby zachować produktywność***.
Żadne szkolenia i przepisy tu nie pomogą, gdy przyzwyczajenia i dobre intencje zagrażają bezpieczeństwu danych.
Morał historii jest prosty i niektórym znany…
Za morałem stoją dwa słowa – odpowiedzialność i uważność. Bohater pierwszej historii nie powinien był kopiować danych oraz wynosić ich poza teren uczelni. Powinien za to poinformować administratora
o swojej aktywności zawodowej prowadzonej po części na prywatnym laptopie lub wystąpić z prośbą do organu prowadzącego o przyznanie mu komputera służbowego.
Druga historia pokazuje, w jaki sposób przez nieuwagę można popełnić błąd, niosący za sobą poważne konsekwencje. Przy plikach zawierających dane wrażliwe warto pomyśleć o ich szyfrowaniu. Kiedy wysyłasz maila, publikujesz wpis czy po prostu – działasz w Internecie – nie miej głowy w chmurach
i sprawdzaj załączniki.
Czy powyższe sytuacje są jednostkowe? Zapytajcie swoich znajomych, w jaki sposób oni przestrzegają obowiązujących w ich firmach zasad bezpieczeństwa.
A gdy pojawiają się problemy zwracamy się do inżyniera, na którego głowę spadnie znalezienie rozwiązań mających zabezpieczyć firmę przed byciem gwiazdą medialną. Na szczęście jest szereg narzędzi i dobrych praktyk z kategorii Data Loss Prevention, którymi świadomy ekspert może się posłużyć.
Część II
Co to jest Data Loss Prevention i czemu ma służyć?
Data Loss Prevention (DLP) to oprogramowanie, narzędzia, technologie oraz rozwiązania do szyfrowania danych na komputerach/serwerach i nośnikach przenośnych.
Rozwiązania te istnieją od 15 lat, ale słynne już przepisy RODO wymogły na firmach poważniejsze potraktowanie danych i popularyzację narzędzi DLP (jeśli więc o tym do tej pory nie słyszałaś/eś
a odpowiadasz prawnie za bezpieczeństwo danych w Twojej firmie, no to najwyższy czas to zmienić, serio).
Celem rozwiązań DLP jest monitorowanie wszystkich aktywności użytkowników i systemów, które mają dostęp i przetwarzają lub przesyłają dane wrażliwe zarówno w obrębie sieci firmowej, jak i poza nią.
Rozwiązanie te będą tak skuteczne i szczelne, jak kompleksowo zostaną wdrożone w sieci firmowej.
Co jeszcze należy do zadań DLP?
Jeżeli działania użytkownika narażają dane firmy na ich upublicznienie czy wyciek – niezależnie od przypadkowej lub intencjonalnej formy – to działania Data Loss Prevention:
– monitorują zapisy, odczyty, kopiowanie, przesyłanie, przenoszenie oraz edycję danych wrażliwych,
– pozwalają automatycznie logować informacje o zdarzeniach niepożądanych,
– alarmują odpowiednie osoby,
– a co najważniejsze – blokują potencjalne aktywności użytkowników.
Przejdźmy jednak od teorii do praktyki.
Jak system DLP mógłby uchronić wspomniane uczelnie?
Wracając do pierwszego przypadku, system DLP zapobiegłby sytuacji przeniesienia danych wrażliwych na komputer nie będący firmowym urządzeniem. Zrobiłby to niezależnie od formy i sposobu ich przesłania – mailem, przez portal www do udostępniania plików, jak DropBox czy poprzez skopiowanie i przeniesienie plików na służbowy lub prywatny pendrive.
Wracając do drugiej historii nieumyślnego umieszczenia wrażliwego pliku przez pracownika uczelni na publicznej platformie – system DLP mając określone reguły dotyczące tego, co, przez kogo, gdzie i w jakich okolicznościach może być publikowane lub edytowane, zaalarmowałby samego użytkownika wykonującego tę akcję, a także odpowiednie osoby o zamiarze wykonania takiego działania. Jeżeli zaś konfiguracja zakładałaby restrykcyjną ochronę, system ten zablokowałby użytkownikowi możliwość zamieszczenia pliku czy tekstu na platformie, czyli zapobiegłby przykremu zdarzeniu mającemu bolesne konsekwencje.
Przykłady rozwiązań DLP
Przykładem kompleksowego rozwiązania DLP jest Broadcom – Symantec DLP 157. Zalety? Przy pomocy jednej konsoli chroni rozproszone dane firmy: na komputerach, serwerach, w bazach danych, w emailach, na stronach www, w portalach chmurowych typu SaaS, takich jak Office 365, G Suite, Salesforce, Box/Dropbox i w wielu innych miejscach.
Broadcom – Symantec DLP 157 jest doceniany od 10 lat przez najbardziej prestiżowe instytucje, takie jak Forrester, Gartner czy Radicati i stanowi obecnie najbardziej zaawansowane, skalowalne i kompleksowe rozwiązanie na rynku globalnym. Więcej szczegółów znajdziecie tutaj.
A co w przypadku kradzieży?
Kradzież sprzętu firmowego a wraz z nim danych wrażliwych nie musi od razu oznaczać ich upublicznienia
i udostępnienia osobom niepowołanym. Narzędzia takie jak szyfrowanie wbudowanych dysków oraz plików zapisywanych na zewnętrzne nośniki, zapobiegłyby odczytaniu danych ze skradzionego laptopa
i tym samym uniemożliwiłyby dostęp do danych osobom nieuprawnionym. Innymi słowy sprzęt stanowiłby tylko stertę plastiku i elektroniki, bez dostępu do danych, które się na nim znajdują.
Przyjmując jednak czarny scenariusz, że złodziej zna także dane logowania, samo szyfrowanie nie zabezpieczyłoby danych przed dostępem. W takim dość drastycznym przypadku na ratunek przychodzą narzędzia typu Multi Factor Autentication (MFA), które przykładowo, poprzez jednorazowe kody bezpieczeństwa wzmacniają zabezpieczenie dostępu do systemu czy danych na dysku i uniemożliwiają złodziejowi dostęp do zaszyfrowanych plików.
Technologie Endpoint Encryption
Przykładem rozwiązań MFA są technologie znanej i cenionej marki PGP, której właścicielem jest Broadcom (w ramach portfolio Symantec). Technologie Endpoint Encryption pozwalają szyfrować całe dyski, pliki czy zasoby zapisywane na przenośnych nośnikach. Inne, jak Gateway Email Encryption selektywnie szyfrują wiadomości email, także te wychodzące poza firmę, dając pełne bezpieczeństwo pod względem wglądu
w nie przez niepowołanego odbiorcę. Więcej informacji na ten temat znajdziesz tutaj oraz tutaj .
Wiążąc powyższe technologie ze wzmocnionym uwierzytelnianiem poprzez technologię Symantec VIP (uwierzytelnianie wieloskładnikowe), integrowaną na wielu warstwach systemów firmowych, np. przy logowaniu do systemów Windows, Linux, Unix, czy do firmowego VPNa, webowego serwera poczty, jak OWA, a także portali webowych własnych i SaaS – hostowanych w chmurze, firma zyskuje odporność na wykradzione użytkownikowi hasło domenowe/aplikacyjne i tym samym uodparnia się na jeden z najbardziej podatnych czynników z elementów całego IT – błąd i nieuwagę użytkownika. Dowiedz się więcej klikając tutaj .
A czy Twoja historia będzie mieć szczęśliwe zakończenie? To zależy tylko od Ciebie!
Inżynierze, nie ryzykuj. W kwestiach bezpieczeństwa danych nie sprawdzi się powiedzenie „Kto nie ryzykuje, ten nie pije szampana”. Tutaj, jak i w sporcie – najsłabsze ogniwo stanowi o całościowym poziomie bezpieczeństwa naszych systemów. Efekt synergii wdrożenia powyższych rozwiązań pozwala zminimalizować ryzyko w stopniu zapobiegającym większości przypadków wycieków czy kradzieży danych. Nie martw się, wprowadzone zabezpieczenia nadal pozwalają firmie i jej pracownikom intuicyjnie i wydajnie pracować, zaś Ty – ekspert w dziedzinie bezpieczeństwa sieci – masz pełną kontrolę i pewność, że panujesz nad sytuacją oraz wypełniasz rzetelnie i kompleksowo obowiązki wobec swojego pracodawcy.
Jeśli potrzebujesz doradztwa w zakresie najlepszych zabezpieczeń dla Twojej firmy (ani za mało, ani za dużo, tylko w sam raz) – odezwij się do Krzysztofa:
Mail: krzysztof.bugno@fortecait.pl
Telefon: 577 177 294
Tymczasem – bądźcie bezpieczni!
#DLP #DataLossProtection #RODO #AdministracjaDanych, #narzędziaochronydanych #zabezpieczenieprzedatakiemhakerskim #utratadanych #zabezpieczeniedanychwrażliwych #Broadcom #MultiFactorAuthentication
