Jeden ze skrótów (i to trzyliterowych) pojawiających się podczas dyskusji na temat bezpieczeństwa IT to DLP. Ten trzyliterowy skrót używany bywa bardzo często w kontekście wdrożeń RODO, czy ogólnie w kontekście kradzieży lub wycieków danych. Elementy DLP zawarte są bardzo często również w narzędziach szyfrujących dane albo aplikacjach służących do szeroko rozumianego zarządzania stacjami roboczymi.
Na początek cytat z Wikipedii
DLP – Data Leak/Leakage/Loss Protection/Prevention – ogólna nazwa technologii informatycznych wspomagających ochronę danych w postaci elektronicznej przed kradzieżą lub przypadkowymi wyciekami.
Czy zdarzyć się może kradzież danych?
Otóż, jak już wspomniałem w poprzednich artykułach, dane to najcenniejszy (obok pracowników) zasób w organizacji. Ale jak to w każdej organizacji mogą znaleźć się w niej „czarne owce”, które chcą zaszkodzić firmie, zarobić „na boku” zwłaszcza w momencie, gdy z firmą zamierzają się pożegnać (i rozpocząć swoją zawodową przygodę z nowym pracodawcą). A jakie dane najczęściej są kradzione? Dane osobowe, dane klientów, statystyki sprzedaży, treści umów, oferty dla klientów, oferty dla danej organizacji, CV kandydatów do pracy…
Oczywiście wyciek danych może być niezamierzony – ktoś chciał wysłać tylko część dokumentu, wysłał cały, miał wysłać zamaskowany szablon umowy, wysłał treść z danymi poufnymi itd.
Oprócz tego DLP zapewnia ochronę przed działaniem złośliwego oprogramowania, ponieważ niekoniecznie owa działalność może wynikać z błędu czy celowego działania pracownika.
Jak zbudowany jest system DLP?
Składa się z aplikacji klienckiej, aplikacji serwerowej i czasami monitora sieciowego. Aplikacja kliencka, czyli agent, działa w tle i bardzo często jest praktycznie całkowicie niewidoczny dla użytkownika. Rolą agenta jest monitorowanie aktywności użytkownika dotyczące wysyłki danych przez najróżniejsze aplikacje i porty (również fizyczne – więc i USB na pendrive i COM). Agent pobiera z serwera informacje dotyczące wrażliwych danych, które nie powinny wyciec poza organizację (np. dokumenty zawierające NIP czy PESEL, zawierające np. numery spraw sądowych, czy też numery telefonów). Serwer pozwala na konfigurowalność poszczególnych agentów na stacjach roboczych. Co ciekawe, bardzo często i coraz częściej serwer działa w modelu chmurowym udostępnianym przez producenta rozwiązania. Monitor sieciowy natomiast odpowiada za monitorowanie ruchu sieciowego w celu wykrycia transmisji danych, które nie powinny wypłynąć poza organizację i działania złośliwego oprogramowania
Co zapewnia system DLP:
– pełną konfigurowalność masek danych chronionych, sygnatur, rodzajów plików, wielkości tychże, definiowania wyrażeń chronionych; często aplikacje posiadają już wbudowany słownik „sygnatur” określających dane wrażliwe (łącznie z maską maili, PESEL, NIP, REGON, sygnatur spraw sądowych, kwot pieniężnych),
– wykrywanie prób wysyłki danych chronionych np. przez program pocztowy, komunikatory internetowe typu Skype czy Messenger, strony internetowe przez protokół http czy https, wysyłki przez FTP…. również skompresowanych 😉 ,
– obsługiwanie wielu formatów plików np. xls, doc, pdf, txt, csv itp. przez pliki C/C++ czy CAD/CAM czy też pliki baz danych i rozpoznawanie treści wewnątrz,
– kontrolę najróżniejszych urządzeń podpinanych przez Bluetooth, WiFi, IrDA, anachroniczne porty szeregowe i równoległe, porty USB (pendrive) i Firewire, napędy optyczne,
– filtrowanie przy minimalnym obciążeniu dla komputerów,
– pełną konfigurowalność uprawnień poszczególnych osób w organizacji łącząc się z usługą katalogową np. Active Directory. Może być tak, że księgowość może wysyłać dokumenty z NIPami, natomiast dział marketingu już nie,
– skalowalność „alertów” np. system nie reaguje przy wysyłce jednego nr PESEL w pliku (ale zapisuje je w logu), natomiast w przypadku wysyłki więcej niż 10 nr PESEL może zareagować blokadą wysyłki i nawet nagrywaniem sesji wideo danego użytkownika,
– uzależnienie wysyłki dokumentu od akceptu przełożonego.
Co jest ważne w konfigurowaniu polityk bezpieczeństwa?
Najważniejsze jest zachowanie rozsądku, ponieważ możemy uniemożliwić sprawne działanie organizacji i wręcz spowodować znienawidzenie swojej pracy przez osoby zatrudnione 😉
Przed określeniem polityki należy dobrze się zastanowić jakie dane i w jakim zakresie chcemy chronić, jakie funkcje w organizacji pełnią osoby zatrudnione, do czego mogą być uprawnione, co chcemy logować w dzienniku zdarzeń, a czego zabraniać.
Trzeba pamiętać, że system DLP powinien żyć, więc warto co jakiś czas ponownie wracać do definicji danych wrażliwych.
Jak więc można rozwinąć skrót DLP? Czekam na propozycje pod mailem przemyslaw@brandsit.pl.