– Żadna uważająca się za poważną firma nie może pozwolić sobie na wyciek danych. Po pierwsze, ze względu na sankcje i bardzo wysokie kary, jakie nakłada UODO w ramach przepisów RODO i ustawy o ochronie danych osobowych. Po drugie, wyciek danych klientów lub wewnętrznych informacji, świadczy o braku profesjonalizmu i skutecznie odstrasza partnerów biznesowych – mówi Piotr Czarnecki, wiceprezes zarządu NetFormers.

Wciąż najczęściej stosowanym mechanizmem zabezpieczającym zasoby jest szyfrowanie, jednak coraz więcej klientów wprowadza także rozwiązania, które mają zapobiegać wyciekowi informacji. Pozwala to zabezpieczyć najsłabsze ogniwo środowiska IT, którym są użytkownicy. Przy czym nie tylko organizacje samorządowe, ale także prywatne firmy, które przetwarzają dane, dostrzegają konieczność wdrożenia rozwiązań kontrolujących zasoby i zapobiegających wyciekowi danych.

– Zgodnie z art. 32 ustawy o RODO, wybierając metodę zabezpieczania należy wziąć pod uwagę bieżący stan wiedzy technicznej, koszt wdrożenia, zakres, charakter i cel przetwarzania informacji oraz ryzyko naruszenia praw i wolności osób, których one dotyczą – przypomina Grzegorz Nocoń, inżynier systemowy w Sophosie.

Jakie rozwiązanie do szyfrowania danych?

Przy wyborze oprogramowania do szyfrowania danych to nie aspekty techniczne powinny być najważniejsze, ale użyteczność i elastyczność rozwiązania. Powinno być wygodne w użyciu dla pracowników — w przeciwnym razie po prostu nie będą z niego korzystać. Powinno być także skalowalne, a więc zapewniać dostosowywanie ochrony do tempa rozwoju firmy oraz zmieniających się potrzeb w zakresie bezpieczeństwa.

Oczywiście, wdrażane rozwiązanie musi mieć zaimplementowane mocne standardy szyfrowania. Przykładowo, instytucje rządowe oraz prywatne i publiczne organizacje na całym świecie powszechnie stosują dziś branżowy standard szyfrowania AES (Advanced Encryption Standard). Zastąpił on starszy DES (Data Encryption Standard), podatny na ataki typu brute force, podczas których napastnik wypróbowuje wiele kombinacji kluczy do momentu, aż jeden z nich w końcu zadziała.

Wdrożenie może wymagać szyfrowania zarówno danych w spoczynku, jak i w ruchu. Dane w spoczynku (pliki, foldery lub całe dyski) są zapisywane na serwerach, komputerach stacjonarnych, laptopach, przenośnych pamięciach itp. Z kolei dane w ruchu są przesyłane przez sieć firmową lub dalej, przez internet, np. pocztą elektroniczną. Są one najczęściej chronione poprzez ustanowienie bezpiecznego połączenia między urządzeniami końcowymi i szyfrowanie transmisji za pomocą protokołów IPsec albo TLS. Innym sposobem jest zaszyfrowanie wiadomości wraz z jej załącznikami przed wysłaniem, dzięki czemu tylko autoryzowany odbiorca może uzyskać do niej dostęp.

Dobre rozwiązanie powinno zapewniać granularne szyfrowanie – gdy obejmuje ono wszystkie dane, zbyt mocno obciążane są zasoby obliczeniowe. Dlatego częściej szyfruje się tylko te najbardziej wrażliwe, takie jak informacje związane z własnością intelektualną firmy, umożliwiające identyfikację osób czy finansowe. Elastyczne narzędzia zapewniają wiele poziomów szczegółowości szyfrowania, np. określonych folderów, typów plików lub aplikacji, a także szyfrowanie całego dysku oraz nośników wymiennych.

Ochrona poprzez szyfrowanie może obejmować przydatną funkcję „always-on encryption”, która zapewni, że poufne pliki będą zawsze w formie zaszyfrowanej. W tym wypadku szyfrowanie „podąża” za plikiem, gdziekolwiek się znajduje. Pliki są szyfrowane już podczas tworzenia i pozostają tak chronione, gdy są kopiowane, wysyłane pocztą e-mail lub aktualizowane.

Niszczenie silniejsze od każdego szyfrowania Do wycieku może dojść nie tylko podczas wykorzystywania danych w ramach obiegu informacji, ale także w wyniku wycofania z użytku ich nośników. Wobec ogromnego przyrostu informacji przetwarzanej i przechowywanej w formie elektronicznej potencjał rynku bezpiecznego niszczenia danych jest niezmiennie duży. W tym obszarze stosowane są dwa podejścia. Jednym jest skuteczne niszczenie nośników, a drugim specjalistyczne kasowanie danych. Ta druga metoda daje możliwość ponownego wprowadzenia sprzętu na rynek. To do klienta należy wybór: czy programowo usunąć dane, co może być lepsze dla środowiska naturalnego, czy raczej postawić na fizyczne ich zniszczenie, jeśli ma to zapewnić większy spokój zlecającemu. Profesjonalni dostawcy na rynku polskim oferują obie usługi, gwarantując ich stuprocentową skuteczność.

Artykuł Walka o najsłabsze ogniwo pochodzi z serwisu CRN.

Problem potęgowany jest przez fakt, że większość właścicieli firm nie zdaje sobie sprawy ze szkód, jakie mogą wyrządzić odchodzący pracownicy. Nawet jeśli uda się złapać kogoś na gorącym uczynku, pozostaje kwestia dochodzenia swoich praw w procesie sądowym. Bez odpowiednich dowodów trudno wykazać winę podejrzanego, a w grę wchodzą niemałe stawki. Według Ponemon Institute średni koszt wycieku danych opiewa bowiem na kwotę 3,86 mln dol.

Niestety, w większości firm kwestia ta jest zupełnie ignorowana. Brak jest odpowiednich zapisów w polityce bezpieczeństwa oraz dostępu do narzędzi, które umożliwią weryfikację sposobu korzystania z najbardziej poufnych danych. Ale nie oznacza to, że rozwiązanie tego problemu nie istnieje – jedną z najskuteczniejszych metod zminimalizowania ryzyka, przynajmniej tego związanego ze szkodliwą działalnością personelu, jest wdrożenie systemu DLP (Data Loss Prevention). Oprogramowanie to wykrywa wrażliwe dane znajdujące się w plikach i wiadomościach mailowych oraz zabezpiecza je przed opuszczeniem firmowej sieci.

Wewnętrzne zagrożenia pod lupą

Jednym z dostawców specjalizowanych systemów DLP jest Safetica. Pod koniec ubiegłego roku do jej portfolio trafił nowy produkt – Safetica ONE. Oprócz funkcji klasycznego DLP, oprogramowanie zapewnia mechanizm Insider Threat Protection(ITP), w ramach którego wykrywane i analizowane są zagrożenia wewnętrzne, a następnie w szybki sposób łagodzone ich ewentualne skutki.

Mateusz Piątek, Product Manager Safetica, Dagma  

Zdaniem użytkowników rozwiązanie Safetica jest nie tylko skuteczne, ale też wyjątkowo intuicyjne – potwierdzają to też niezależne organizacje badawcze. W jednym z ostatnich rankingów SoftwareReviews przeanalizowano najpopularniejsze na rynku rozwiązania DLP służące do ochrony przed wyciekiem danych. Zestawienie przygotowano na bazie opinii klientów korzystających z tego typu produktów. Produkt Safetica został nagrodzony złotym medalem i sklasyfikowany w ścisłej czołówce zestawienia, w tzw. kwadrancie liderów DLP.

  

Safetica ONE kontroluje i rejestruje wszelkie próby celowego lub niezamierzonego wycieku danych, bez względu na to, gdzie przechowywane są poufne informacje lub kto uzyskał do nich dostęp. Szczególnie pomocna w wykrywaniu zagrożeń wewnętrznych jest analiza przestrzeni roboczej i zachowania pracowników. Dzięki zrozumieniu, w jaki sposób zatrudnieni korzystają z urządzeń i oprogramowania, pracodawca może optymalizować koszty i zwiększać wydajność operacyjną. Safetica ONE ułatwia też użytkownikom zapewnienie zgodności z wymaganiami stawianymi przez krajowe i międzynarodowe przepisy prawa (RODO, PCI-DSS, HIPAA i normy ISO/IEC 27001).

Konsola umożliwia administratorom zarządzanie regułami polityki bezpieczeństwa, a także wyświetlanie zebranych informacji. Narzędzie to chroni dane osobowe, strategiczne dokumenty, kontrakty, bazy danych, informacje dotyczące płatności (np. numery kart kredytowych) oraz własność intelektualną (wzory przemysłowe, tajemnice handlowe i know-how).

Wyłącznym dystrybutorem rozwiązań Safetica w Polsce jest Dagma.

Dodatkowe informacje: Mateusz Piątek, Product Manager Safetica, Dagma, piatek.m@dagma.pl, safetica.pl oraz dagma.com.pl.

Artykuł Pracownik szpieguje skuteczniej niż Pegasus pochodzi z serwisu CRN.

Jedną z najskuteczniejszych metod zminimalizowania ryzyka, przynajmniej tego związanego ze szkodliwą działalnością personelu, jest inwestycja w system DLP (Data Loss Prevention). Oprogramowanie działa w ten sposób, że wykrywa wrażliwe dane znajdujące się w plikach i wiadomościach mailowych oraz zabezpiecza je przed opuszczeniem firmowej sieci. Gartner szacuje, że do końca bieżącego roku aż 90 proc. organizacji wdroży system DLP w postaci zintegrowanej lub jako osobne narzędzia (dla porównania, w 2017 r. ten odsetek wynosił 50 proc.).

Pracownicy pod lupą

Jednym z dostawców specjalizowanych systemów DLP jest firma Safetica. Klienci cenią rozwiązania tego producenta za łatwość i szybkość wdrażania oraz przyjazną administrację. W połowie listopada na rynku zadebiutował nowy produkt – Safetica ONE. Producent podkreśla, że oprócz funkcji klasycznego DLP, oprogramowanie oferuje również ITP (Insider Threat Protection). Szeroka gama funkcji sprawia, że system może analizować zagrożenia wewnętrzne, wykrywać je i szybko łagodzić ich ewentualne skutki. Safetica ONE kontroluje i rejestruje wszelkie próby celowego lub niezamierzonego wycieku danych, bez względu na to, gdzie przechowywane są poufne informacje lub kto uzyskał do nich dostęp. Szczególnie pomocna w wykrywaniu zagrożeń wewnętrznych jest analiza przestrzeni roboczej i zachowania pracowników. Ta funkcja ma dodatkowy walor, a mianowicie dzięki zrozumieniu, w jaki sposób zatrudnieni korzystają z urządzeń czy też oprogramowania, pracodawca może optymalizować koszty i zwiększać wydajność operacyjną. Warto dodać, że Safetica ONE ułatwia zapewnienie zgodności z wymaganiami stawianymi przez krajowe i międzynarodowe przepisy prawa (RODO, PCI-DSS, HIPAA i normy ISO/IEC 27 001).

Ochrona wszystkich kanałów informacji

Baza danych z rekordami opisującymi aktywność i bezpieczeństwo punktów końcowych znajduje się na serwerze fizycznym lub wirtualnym. Konsola umożliwia administratorom zarządzanie politykami bezpieczeństwa, a także wyświetlanie zebranych informacji. Wszelkie działania są rejestrowane i zabezpieczane, zasady natomiast są stosowane na komputerach stacjonarnych i laptopach z klientem Safetica. System ten chroni dane na wielu kanałach i platformach, dając pewność, że są one bezpieczne wszędzie tam, gdzie się znajdują lub przepływają.

Możliwości Safetica ONE dodatkowo wzbogaca moduł User and Entity Behaviour Analytics (UEBA), który pozwala szczegółowo analizować działania użytkowników i tym samym odkrywać anomalie w ich zachowaniu nawet wtedy, gdy pracują zdalnie.

Dodatkowe informacje: Mateusz Piątek, Product Manager Safetica, Dagma, piatek.m@dagma.pl.

Artykuł Safetica ONE: więcej niż DLP pochodzi z serwisu CRN.

– Zdarzenia naruszające bezpieczeństwo danych mogą pochodzić z zewnątrz i mieć formę ataku wymierzonego przeciw danemu podmiotowi, aczkolwiek większości instytucji finansowych ma na taką okoliczność skuteczne zabezpieczenia. Natomiast często pomijane są zagrożenia wewnętrzne, będące skutkiem celowego działania bądź zaniedbania ze strony któregoś z pracowników. Wraz z przejściem na zdalny tryb pracy, trzeba liczyć się z tym, że coraz częściej dochodzić będzie do tego typu incydentów – tłumaczy Mateusz Piątek, Product Manager rozwiązania Safetica DLP w Dagmie.

Szyfrowanie zapobiega wyciekom danych

Szczególnie kłopotliwe są sytuacje, kiedy pracownik zgubi laptopa bądź pendrive’a, na którym znajdowały się dane osób fizycznych. Wartość utraconego sprzętu to tylko jedno ze zmartwień przedsiębiorcy. Każdy taki przypadek należy zgłosić organowi sprawującemu nadzór nad danymi osobowymi. Można tego uniknąć, o ile dane są zaszyfrowane z wykorzystaniem najnowocześniejszych metod kryptografii. To zresztą oficjalne stanowisko Europejskiej Rada Ochrony Danych Osobowych (EROD). Te wymagania spełniają systemy ESET Endpoint Encryption i ESET Full Disk Encryption, które używają silnych algorytmów takich jak AES 256-bit.

Użytkownicy pierwszego z wymienionych produktów zyskują szerokie możliwości w zakresie szyfrowania, które może obejmować całe nośniki bądź wybrane partycje na dyskach i pamięciach przenośnych. Dodatkowym walorem jest możliwość zaszyfrowania wiadomości e-mail za pomocą specjalnej wtyczki dla klienta pocztowego. Treść i załączniki mogą być przesyłane w sposób bezpieczny nie tylko przez użytkowników oprogramowania ESET Endpoint Encryption, ale również odbiorców, którzy z niego korzystają. Odszyfrowanie otrzymanego dokumentu umożliwia darmowe narzędzie dostępne na stronie Eseta.

Produkt jest dostępny w trzech wersjach: Essential Edition, Standard Edition i PRO. W tej ostatniej opcji klient otrzymuje kompletne rozwiązanie do ochrony wrażliwych danych, zarówno na stacjach roboczych, jak i na urządzeniach mobilnych, a także dodatkowo wsparcie dla UEFI i partycji typu GPT.

ESET Full Disk Encryption to nowe rozwiązanie, które jest dostępne w formie dodatku do konsol zarządzanych lokalnie oraz w chmurze. Jego zastosowanie zapewnia szyfrowanie całych powierzchni dysków twardych. Dagma wiąże duże nadzieje ze sprzedażą tego produktu. Optymizm jest jak najbardziej uzasadniony – badania przeprowadzone przez specjalistów Eseta wykazały, że 85 proc. firm uważa szyfrowanie całego dysku za najbardziej istotną funkcję podczas wyboru rozwiązania do szyfrowania danych.

DLP niemal od ręki

Ofertę Dagmy w zakresie rozwiązań zapobiegających wewnętrznym wyciekom danych w instytucjach uzupełnia Safetica DLP. Narzędzie to odbiega nieco od klasycznych produktów tej klasy. Zazwyczaj wdrożenie DLP wymaga od przedsiębiorstwa zdefiniowania wielu procesów, zaś Safetica jest stosunkowo prosta w implementacji. To ciekawa propozycja dla nieco mniejszych instytucji finansowych. Co ważne, system realizuje kluczowe funkcje, takie jak identyfikacja plików wrażliwych, tworzenie uprawnień dla pracowników korzystających z plików wrażliwych, a także monitoring aktywności użytkowników.

Artykuł Dagma tamuje wycieki danych pochodzi z serwisu CRN.

Zdarzenia związane z niekontrolowanym wyciekiem danych nie omijają także naszego kraju. W ubiegłym roku w Polsce odnotowano 4359 takich przypadków, co oznacza, że na każdy dzień roboczy przypadało 18 incydentów. Serwis internetowy Niebezpiecznik.pl zwraca uwagę na inną ważną kwestię, a mianowicie niezgłaszanie wycieku danych przez administratorów do właściwych instytucji. Według Urzędu Ochrony Danych Osobowych w minionych 12 miesiącach administratorzy aż 813 razy nie dopełnili obowiązku złożenia zawiadomienia o wystąpieniu incydentu związanego z naruszeniem informacji wrażliwych.

Przyczyny wycieków danych bywają bardzo różne. Często są to pomyłki ludzkie, np. pracownik kieruje e-mail do niewłaściwych odbiorców lub gubi firmowy pendrive. Znamienny jest przypadek bibliotekarki z Katowic, która wysłała do przypadkowej osoby informację o 3 tys. dłużników. Lista zawierała dane osób o zróżnicowanym zadłużeniu wobec biblioteki, a rekordziści winni byli ponad 10 tys. zł.

Rzecz jasna nie tylko gapiostwo prowadzi do niekontrolowanego wypływu informacji. Według badań IBM nieco ponad 50 proc. tego typu zdarzeń wynika z działalności przestępczej i umyślnie szkodliwej. Tego rodzaju historie najczęściej dotyczą osób rozstających się z pracodawcą w niezbyt przyjaznej atmosferze. Szczególnie interesujący jest przykład technologa pracującego dla polskiej firmy produkującej mieszanki paszowe dla zwierząt hodowlanych, który odchodząc z pracy, skopiował informacje o wartości 1,5 mln zł. Sprawa znalazła swój finał w sądzie, a oskarżony musiał zapłacić 30 tys. zł grzywny i 25 tys. zł nawiązki na rzecz pracodawcy.

Rośnie świadomość na temat DLP

O ile przywłaszczenie firmowego auta budzi oburzenie, o tyle wynoszenie informacji, które często stanowią nieporównywalnie większą wartość biznesową niż flota samochodowa, nie jest oceniane aż tak surowo. Niemniej wiele wskazuje na to, że zarówno właściciele firm, jak i kadra zarządzająca będą coraz bardziej rygorystycznie podchodzić do incydentów związanych z kradzieżą danych. Nie bez przyczyny rośnie liczba przedsiębiorców, którzy poszukują produktów umożliwiających ograniczenie do minimum ryzyka wycieku informacji. Jednym ze sposobów jest wdrożenie rozwiązań służących do kontroli zachowania pracowników. Szczególnie dużo do zaoferowania mają w tym zakresie systemy DLP (Data Loss Protection lub Data Leak Prevention).

– Korzystając z tego oprogramowania można oznaczyć pliki wymagające ochrony, w tym dane dłużników czy know-how firmy, a następnie uniemożliwienie ich wyprowadzenie poza siedzibę przedsiębiorstwa. Niezależnie od tego, czy znajdują się w pamięci przenośnej, czy na serwerze poczty elektronicznej – tłumaczy Mateusz Piątek, Product Manager Safetica w Dagmie.

Niektóre z rozwiązań DLP, w tym wspomniana Safetica, zapewniają firmom przeprowadzenie prostego audytu, który wskazuje dane najbardziej narażone na wyciek. Wykonanie takiej operacji uświadamia przedsiębiorcom, że ich najcenniejsze aktywa nie są chronione, a dostęp do nich ma każdy pracownik.

– Wdrożenie systemu DLP oszczędziłoby firmom wielu problemów, w tym wizerunkowych i prawnych. W Polsce świadomość na temat istnienia tego typu rozwiązań dopiero się buduje, głównie za sprawą RODO – podkreśla Mateusz Piątek.

Artykuł Safetica: zatrzymać wyciek danych pochodzi z serwisu CRN.

Jednak wielu przedsiębiorców zdecydowało się na „plan minimum” w zakresie wdrażania konkretnych rozwiązań, co mimo wszystko należy uznać za zjawisko pozytywne z punktu widzenia producentów, dystrybutorów i integratorów działających w sektorze cyberbezpieczeństwa. Według specjalistów z katowickiej Dagmy większą wagę do wymagań rozporządzenia przykłada m.in. branża telemarketingowa, którą prezes UODO wziął na celownik w pierwszej kolejności, włączając w to zjawisko profilowania w sektorze bankowym i ubezpieczeniowym. Z polecanych i niezbędnych działań należałoby w tym (ale nie tylko) kontekście wymienić DLP, szyfrowanie i audyty.

Audyt: na dobry początek

Godną polecenia praktyką jest przeprowadzenie audytu, który wskaże, gdzie i w jaki sposób przetwarzane są w firmie dane, a następnie umożliwi objęcie polityką bezpieczeństwa oprócz danych „fizycznych” także ich elektroniczne odpowiedniki. Po dokładnej analizie możliwe jest skuteczne wdrożenie polityki bezpieczeństwa. Dopiero przy kompleksowym podejściu (dbałość o dane fizyczne i zapewnienie ochrony danym zapisanym w cyfrowy sposób) można uznać, że przedsiębiorstwo zastosowało „adekwatne środki bezpieczeństwa”. Dzięki temu w razie kontroli UODO firma udowodni, że zrobiono wszystko, co w jej mocy, aby odpowiednio zabezpieczyć przetwarzane dane.

Kompleksową usługę audytu dla swojego klienta (w tym audyt konfiguracji ESET) można zlecić specjalistom z Dagmy. Dystrybutor dysponuje kadrą specjalistów posiadających prestiżową certyfikację Certified Ethical Hacker. Świadectwo CEH zapewnia, że audytor używa tej samej wiedzy i narzędzi co cyberprzestępca, ale w odróżnieniu od niego – w legalny i zgodny z prawem sposób. Dzięki temu wykonywane przez niego kontrole, testy penetracyjne i socjotechniczne jeszcze skuteczniej weryfikują, jak w sytuacji realnego zagrożenia zachowują się nie tylko zabezpieczenia, ale też sami pracownicy audytowanej firmy.

DLP: gwarancja dobrej woli

Zabezpieczenie danych fizycznych bez zabezpieczenia klasy DLP, które ochroni dane cyfrowe przed wyciekiem, nie powinno i nie zostanie uznane za wystarczający środek ochrony. Nie można jednak z góry założyć, że posiadanie oprogramowania klasy DLP gwarantuje uniknięcie kar związanych z RODO. Jeśli reguły polityki bezpieczeństwa w firmie czy instytucji nie zostaną wdrożone, a dane wrażliwe w formie wydrukowanej przechowywane będą bez zachowania odpowiednich środków ostrożności – z pewnością rozwiązanie DLP nie uchroni przed karami.

Szyfrowanie: nie ma zmiłuj!

Jednym z obowiązków wynikających z art. 32 RODO jest szyfrowanie danych. Przy czym rozporządzenie nie precyzuje technicznych szczegółów dotyczących wykorzystywanych zabezpieczeń. To, jakie rozwiązania ochronne zostaną zastosowane w przedsiębiorstwie, powinno wynikać z analizy ryzyka, która musi uwzględniać każdy aspekt jego działalności. RODO, bazując na normie ISO/IEC 27 001, nakazuje takie zabezpieczenie danych, które zapewni im ochronę w zakresie tzw. triady CIA (Confidentiality, Integrity, Availability).

Przykładem firmy, która sprostała wymogom RODO jest Wielka Orkiestra Świątecznej Pomocy. Fundacji zależało na wdrożeniu rozwiązania szyfrującego zdolnego zabezpieczyć dane będące w jej posiadaniu, by ich przechowywanie oraz korzystanie z nich było zgodne z zapisami rozporządzenia. Kluczowym wymogiem okazała się przy tym możliwość centralnego zarządzania rozwiązaniem szyfrującym, które z założenia miało być również proste we wdrożeniu i codziennej administracji (wybór padł na ESET Endpoint Encryption).

Artykuł RODO w teorii i praktyce pochodzi z serwisu CRN.