Informacja – jedno z najcenniejszych obecnie aktywów. O tym, jak wiele mogą zrobić niektórzy, aby ją posiąść, pisze się książki i robi filmy. Ale spektakularne wydarzenia związane z wyciekiem danych są nie tylko tematem fikcji literackiej czy kinowej. Ludzkość ma z nimi do czynienia w realnym świecie. Obiegowi informacji elektronicznych, bo te interesują nas tu przede wszystkim, towarzyszy zmiana posiadacza, okupiona często świadomą bądź nieświadomą „dystrybucją”.
W poprzedniej części artykułu powiedzieliśmy sobie, że spośród trzech rodzajów metod zabezpieczeń przed wyciekiem informacji – organizacyjne, fizyczne i logiczne – to te ostatnie dają nam największą kontrolę nad ochroną naszych danych.
Spośród różnych technologii zabezpieczeń logicznych skupiłbym się na trzech, w mojej ocenie mających największe znaczenie na drodze do zabezpieczenia informacji przed wyciekiem. Obszar korelacji logów to rozwiązania klasy SIEM (z ang. Security Information and Event Management). Podstawowym zdaniem SIEM jest zbieranie i korelowanie zdarzeń/logów, które powstają w wielu miejscach sieci teleinformatycznej (urządzania sieciowe, serwery, użytkownicy). Dzięki temu, że SIEM jest w stanie „spojrzeć” centralnie na dostarczone dane oraz je zinterpretować i przedstawić analizę w czasie rzeczywistym, operator może podjąć odpowiednie działania w nieporównywalnie krótszym czasie niż ręczna weryfikacja milionów linijek logów wygenerowanych z setek urządzeń, a następnie identyfikacja zdarzenia jako zagrożenie. Szczerze? Bez wsparcia ze strony SIEM logi przeglądane są w momencie jakiegoś krytycznego zdarzania, o którym mogliśmy dowiedzieć się po kliku miesiącach bezkarnej penetracji naszych zasobów przez intruza. Oczywiście pod warunkiem, że mamy kopie logów sprzed kilku miesięcy i jest co przeglądać. Prawidłowo skalibrowany SIEM to nieoceniona skarbnica wiedzy o przepływach wewnątrz infrastruktury teleinformatycznej.
Kolejnym narzędziem, tym razem pozwalającym panować nad dostępem do informacji, są rozwiązania klasy IDM (z ang. Identity Management). Zarządzanie tożsamością to dyscyplina bezpieczeństwa, dzięki której odpowiednie osoby mają dostęp do odpowiednich zasobów w odpowiednim czasie. Wdrożenie tego rozwiązania jest wyzwaniem projektowym pod względem technicznym, ale przede wszystkim – organizacyjnym. Dlaczego? To biznes musi określić, do jakich informacji może mieć dostęp pracownik (a właściwie dana tożsamość, za którą stoi człowiek). Zadanie jest trudne przy obecnej ilości systemów, ich złożonej strukturze definiowania uprawnień i geograficznemu rozproszeniu lokalizacji, z których pracownik może mieć dostęp. Macierz zależności i uprawnień, jaką trzeba określić, biorąc pod uwagę definiowanie polityk IDM, na określenie których Biznes musi poświęcić nawet 60% czasu realizacji wdrożenia, powoduje że pomysł o IDM zostaje zgaszony już na samym etapie przygotowania DIP (dokument inicjujący projekt). Szkoda. Wdrożenie IDM to znaczące zmniejszenie kosztów zarządzania uprawnieniami i świadomość, że uprawnienia nie zostaną nadane nadmiarowo i, co najważniejsze, odebrane na czas – i to jednym kliknięciem.
Na zakończenie chciałbym wspomnieć o systemach klasy DLP (ang. DLP – Data Leak/Leakage/Loss Protection/ Prevention). Wiele osób pewnie teraz pomyślało: DLP = wisienka na torcie. Tak, to prawda. Obecnie jest to najbardziej wyrafinowana metoda walki z nieświadomym bądź celowym wyprowadzeniem informacji na „zewnątrz”. Narzędzie, którego wdrożenie w zależności od przygotowania organizacji może potrwać od kilku godzin do kilku tygodni. Co dostajemy w zamian? Skalowalny i modułowy automat, który jest w stanie w czasie rzeczywistym uniemożliwić wyciek zdefiniowanej przez nas wrażliwej informacji. Bez względu na medium transmisji (Ethernet, Wifi, GSM), bez względu na rodzaj urządzenia (telefon, tablet, notebook) czy kanał transmisji (e-mail, forum dyskusyjne, komunikator itp.) Znaczenia nie ma również to, czy informacja wypłynie w jednym pliku (np. doc, xls, pdf, jpg) czy zostanie podzielona na części i wysłana od kilku użytkowników wewnątrz sieci firmowej czy z poza niej. Aż tyle czynników nie ma znaczenia? Co więc ma znaczenie? Jak to działa? Cała tajemnica tkwi w odpowiednio przygotowanym znaczniku informacji wrażliwej (tzw. Finger Print). Fragment informacji uznanej za wrażliwą jest „skanowany” dedykowanym mechanizmem kontrolnym, na podstawie którego tworzy się unikalny znacznik tej informacji. Następnie, jeśli wystąpi próba wysłania danej informacji bądź jej fragmentu przez osobę nie mającą uprawnień do wykonania danej operacji na informacji wrażliwej, następuje blokada transmisji z jednoczesnym przesłaniem raportu do wyznaczonych osób. Oczywiście ten system można „złamać”. Jak? Nauczyć się wrażliwej informacji na pamięć.
Realizacja powyższych czynności nie daje nam stuprocentowego zabezpieczenia przed wyciekiem informacji, ale na pewno w nim pomaga. Należy pamiętać, że każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo. Tym najsłabszym ogniwem wciąż pozostaje człowiek, który ulega pokusom. I to, co się może zmienić, to jedynie forma, z jaką pokusy do człowieka docierają, ale o tym w kolejnym artykule.