Manapság a biztonsági szakemberek között slágertéma lett a DLP - Data Loss Prevention, azaz adatszivárgás elleni védelem. Minden informatikai biztonsági terméket gyártó cég szinte kötelezően hozza ki a DLP - akármi fantázia nevezetű termékét, melyek újabb és újabb technológiákkal próbálják elhitetni a potenciális vevőkkel, hogy ez, és pontosan ez az, amire nekik szükségük van.
Pár év ezzel a területtel való foglalkozás után én egy kicsit másképpen látom a dolgokat.
Érdemes végignézni a tavalyi és az idei ITBN előadásokat, szinte minden cég kötelezőnek érezte, hogy ebben a témában adjon elő, miközben a véleményem szerint a célpontban levő cégek erre még a legkisebb mértékben sem készültek fel. Miért is mondom ezt? A DLP megoldások mindegyike abból indul ki, hogy az azt bevezető cég pontosan tisztában van, melyek azok az adatok, amiket védeni akar. Nos pontosan itt van a kutya elásva. Sajnos a fehér hollónál is ritkább az a cég, mely tisztában van az adatvagyonával, azaz a védendő adataival.
A legtöbb interjún, melyet ügyfelekkel folytattam, az ügyfelek meg tudják fogalmazni azt, hogy hogy is szeretnének védekezni, jól látják a védendő adatcsatornákat, azonban egyetlen dologgal nincsenek tisztában, a védendő adattal. Nincsenek tisztában azzal sem, hogy a cégükben hogy és merre folynak az adatok, valójában ki is használja őket, kinek van szükségük rá.
Az ilyen beszélgetések során az ügyfelek szinte biztosan elbizonytalanodnak, és végső megoldásként felvetődik bennük a "monitorozzunk mindent" gondolata, ami ugye elvileg megvalósítható, csak értelme nincs. Gondoljunk csak bele, hogy egy átlagos munkaállomás és egy átlagos felhasználó naponta több ezer állomány műveletet hajt végre. Szorozzuk fel ezt mondjuk 1000 felhasználóval és 200 munkanappal, és máris láthatjuk, hogy az ilyen típusú monitorozásnak sok értelme nincs.
A DLP bevezetések bukásai is mind erre vezethetők vissza. Nincs adatvagyon leltár, vagy csak részleges. Vagy túlzottan monitoroznak mindent, vagy valamit kifelejtenek, így lesz a megoldásból "valami", amit a bevezető cég kitehet a referencia listára, csak a valóságban semmit sem ér. Egy DLP bevezetés költségének majdnem egészét az adatvagyon felmérés költségének kellene, hogy kitegye, ehelyett szoftvereket, vasakat vásárolnak a cégek.
Rendben van, de akkor mit is csináljunk, hogy csökkentsük az adatok elvesztéséből fakadó veszélyt? Nekem erre az egyértelmű válaszom, építkezzünk alulról, csökkentsük az adatokhoz való hozzáférést. Hogy tehetjük meg ezt? Véleményem szerint először tegyük meg az alapvető lépéseket:
- oktassuk felhasználóinkat. Mondjuk el nekik, miért fontos az adatok védelme, hogy tudnak tenni az adatszivárgás ellen. Mutassuk meg nekik a nyomtatóik környékén heverésző céges adatokkal zsúfolt gazdátlan papírlapokat...
- nézzük át file szervereink, adatbázisaink és egyéb adattárolóink jogosultsági rendszerét. Hány olyan felhasználói jog van kiosztva, mely teljesen felesleges...
- használjunk teljes merevlemez titkosítást. Notebookokon mindenképpen, de akár munkaállomásainkon, szervereken is. Naponta vesztünk el, vagy lopnak el tőlünk notebookokat és csak a szerencse kérdése, hogy a rajta levő, sokszor értékes adatokat ki, mire, hogy fogja felhasználni.
- titkosítsuk le a hordozható adattárolóinkat, vagy használjunk hardveresen titkosított eszközöket. Próbaképpen próbálja meg mindenki visszakérni a felhasználóinak idén kiosztott USB kulcsokat. Hány százalékukat kapnánk vissza? Talán 10? Hol van a maradék 90%? Milyen adat volt rajta? Senki sem tudja....
- használjunk könyvtár titkosítást. Azaz használjunk olyan megoldást, mellyel egyes felhasználói csoportjaink közös kulccsal, de a másik csoporttól különböző kulcsú, titkosított mappákban dolgoznak. Azaz aki véletlenül belelát más mappájába, az sem tud véletlenül, de még szándékosan sem adatszivárgást okozni.
Ha mindezeket a lépéseket megtettük, akkor kezdjünk el gondolkodni minden egyéb megoldáson. Addig felesleges pénzkidobás.
Tavalyi év folyamán én is DLP-t prezentáltam, hiszen erre könnyen be lehetett csábítani az embereket a terembe. Idén nem álltam be a sorba Tamás barátommal, hanem megpróbáljuk bemutatni azt, hogy a felsorolt első lépések mennyire könnyűek, mennyire egyszerűen bevezethetőek, akár 30 perc alatt is :-)