Data Loss Prevention: jak zadbać o bezpieczeństwo danych w firmie

Zadbanie o bezpieczeństwo danych to jedno z najważniejszych wyzwań, z jakimi zmierzyć się muszą współczesne przedsiębiorstwa. Te, które zlekceważą zagrożenie ich utraty, mogą tego nie przetrwać.

Nie każdą firmę spotyka utrata danych. I całe szczęście, bo te przedsiębiorstwa, które tego doświadczyły, zapłaciły za to zazwyczaj wysoką cenę. Jak wylicza IBM, średni koszt wycieku danych z firmy wyniósł w 2019 roku ponad 3,9 miliona dolarów. Koszt utraty jednego rekordu oblicza się na 150 dolarów.

Średni koszt utraty danych (w milionach dolarów).
Źródło: IBM Security, Cost of a Data Breach Report 2019

Co gorsza, skutki takiego wycieku odczuwane są nie tylko zaraz po tego typu wydarzeniu, ale w dłuższej perspektywie czasowej. Najgorszy jest oczywiście pierwszy rok (67% kosztów wycieku), ale także w drugim (22%) i trzecim roku (11%) po utracie danych firma nadal ponosi jego konsekwencje. Trzeba też pamiętać o tym, że zazwyczaj firmy orientują się, że doszło do wypłynięcia poufnych informacji, dopiero po pewnym czasie – średnio po 279 dniach od samego włamania.

Należy też wziąć pod uwagę jeszcze jedną, mocno alarmującą, statystykę. Wśród przedsiębiorstw, które doświadczyły utraty danych i nie były na to w żaden sposób przygotowane, aż 93% upada w ciągu roku od tego wydarzenia. Trudno o mocniejszy argument za tym, by prewencyjnie zadbać o bezpieczeństwo danych w swojej firmie.

Co to jest DLP – Data Loss Prevention?

DLP (Data Loss Prevention) to rozwiązania mające na celu dbanie o bezpieczeństwo danych i zapobieganie ich utracie. Skupiają się tylko na tym jednym zadaniu, dzięki czemu mogą być skuteczniejsze niż kompleksowe systemy cyberbezpieczeństwa w firmie. Nie znaczy to jednak, że działają w oderwaniu od innych technologii. Wręcz przeciwnie – do skutecznego wdrożenia DLP potrzebne są zarówno dobrze działające rozwiązania identyfikacyjne, jak i sprawnie zorganizowany backup.

bezpieczeństwo danych
Średni koszt utraty danych (w milionach dolarów) w zależności od branży.
Źródło: IBM Security, Cost of a Data Breach Report 2019

Zadanie samego systemu DLP to jednak przede wszystkim bezpieczeństwo danych:

  1. W pierwszym etapie chodzi o ustalenie, jakimi informacjami dysponuje firma, w jaki sposób są one przekazywane, przesyłane i jak są przechowywane.
  2. Następny krok to klasyfikacja tych danych, w tym zwłaszcza zidentyfikowanie tych informacji, które mają kluczowe znaczenie dla firmy, i oznaczenie ich jako dane wrażliwe. Ważne jest także ustalenie poziomu uprawnień dostępu do danych i przydzielenie ich odpowiednim grupom użytkowników.
  3. Ważne jest ponadto ustalenie reguł bezpieczeństwa (polityki bezpieczeństwa) obowiązujących w firmie w zakresie wykorzystywania danych.
  4. Kolejny krok to wdrożenie systemu kontroli nad danymi poprzez mechanizmy powiadomień, ich szyfrowania, zabezpieczania urządzeń, na których są przechowywane, a wreszcie funkcji zdalnego usuwania danych z utraconych urządzeń.
  5. Ostatnią ważną kwestią jest monitoring danych, realizowany w czasie rzeczywistym. Badanie, jakie dane są aktualnie wykorzystywane, w jakich kierunkach są one przesyłane. Pozwala to na znacznie szybsze wykrycie ewentualnego wycieku informacji.

DLP – dwa rodzaje rozwiązań

Ze względu na zakres stosowania rozwiązania z zakresu DLP dzieli się na dwa typy: Full Suite oraz Channel Data Loss Prevention.

Full Suite Data Loss Prevention

To rozwiązanie skupia się wyłącznie na kwestii zapewnienia odpowiedniego poziomu bezpieczeństwa danych. Mimo to jego działanie ma jednak oczywiście charakter kompleksowy ze względu na zupełnie inne sposoby ochrony różnych poziomów ważności i różnych rodzajów danych (w spoczynku, w użyciu, w ruchu). Obejmuje też pełen zakres protokołów sieciowych (m.in. e-mail, HTTP, HTTPS, FTP).

Channel Data Loss Prevention

W tym przypadku rozwiązanie z zakresu DLP traktowane jest jako jeden z elementów większego systemu cyberbezpieczeństwa firmy. Zwykle jest ono od początku wbudowane w ten system, dzięki czemu dobrze się z nim integruje. Z drugiej strony jego możliwości są bardziej ograniczone i obejmują zazwyczaj zabezpieczenie (nieco bardziej ograniczone) poczty e-mail, backup danych oraz kontrolę urządzeń, na których są one przechowywane. Weryfikacja danych przesyłanych poprzez popularne protokoły (HTTP, HTTPS, FTP) w tym przypadku nie jest zazwyczaj dostępna.

Warto zwrócić w tym miejscu uwagę na to, że rozwiązania z zakresu DLP związane są raczej z zarządzaniem firmą – chociażby poprzez ustalenie i wdrożenie odpowiedniej polityki bezpieczeństwa – niż z technologią. Oczywiście technologia ma w tym pomagać, ale pełni ona tylko rolę podrzędną. Z drugiej strony to dzięki nowoczesnym technologiom wdrożenie zasad DLP w firmach stało się znacznie łatwiejsze i szybsze. Na przykład uczenie maszynowe pozwala na zautomatyzowaną klasyfikację danych według stopnia ich ważności czy sposobu/miejsca wykorzystania w firmie.

Jak zadbać o bezpieczeństwo danych poprzez wdrożenie DLP?

Każdy z elementów wdrożenia zasad Data Loss Prevention w firmie niesie ze sobą odrębne wyzwania. W skrócie można podzielić je na etapy identyfikacji, monitorowania i zapobiegania utracie informacji – i na każdym z nich należy zachować szczególną uwagę. Na początku kluczowe jest właściwe wykrycie szczególnie wrażliwych informacji, następnie skuteczne monitorowanie sposobu ich wykorzystywania i przepływu w firmie. Najtrudniejsza i najbardziej złożona jest jednak oczywiście prewencja.

Dane wykorzystywane w firmie możemy przy tym podzielić na trzy typy:

Dane w spoczynku – wszystkie przechowywane w ramach systemu IT firmy, np. na jej serwerach, komputerach czy urządzeniach mobilnych. A także w chmurze. Prewencyjna ochrona tego typu danych polega m.in. na ustaleniu odpowiednich poziomów uprawnień dostępu dla poszczególnych pracowników firmy.

Dane w użyciu – to te informacje, do których pracownik uzyskuje dostęp i z których w danym momencie korzysta. W ich przypadku ochrona prewencyjna obejmuje m.in. kontrolę (lub blokowanie) kopiowania wybranych danych na zewnętrzne nośniki (dyski, pendrive’y) oraz ich drukowania – zwłaszcza poza siecią firmową.

Dane w ruchu – w ten sposób identyfikujemy informacje, które są w jakiś sposób przesyłane, np. poprzez e-mail albo komunikatory internetowe. W tym przypadku zabezpieczenie przed utratą wrażliwych danych polega nie tylko na monitorowaniu ich przesyłania, ale także szyfrowaniu czy – w przypadku najważniejszych danych – blokowaniu ich przesyłania.