Ochrana před ztrátou dat (data loss prevention, DLP) je termín z oblasti informační bezpečnosti, který představuje systémy schopné identifikovat, monitorovat a chránit data. A to při jejich použití (data in use), jako je například práce s daty na koncových stanicích, při přenosu (data in motion), kam spadá přenos dat síťovými prostředky, i dat v klidové podobě (data at rest), což znamená ochranu například na úložištích dat. Ochrana je realizována pomocí hloubkové kontroly obsahu a analýzy transakcí v kontextu zahrnujícím atributy, jako jsou odesílatel, datový objekt, médium, čas, příjemce apod. DLP systémy obsahují některou z forem centralizované správy.

Typy DLP systémů

DLP systémy se v zásadě dělí na dvě základní kategorie: síťová DLP (network DLP) a DLP koncových bodů (host based DLP).

Síťová DLP

Často jsou označována jako bránové systémy (gateway based) a obvykle představují dedikované síťové zařízení instalované na perimetru podnikové sítě u připojení do internetu. Tato zařízení provádějí analýzu procházející komunikace a vyhledávají transakce přenášející klasifikované informace. Typicky sledovanou komunikací jsou e-mail, přenos FTP, HTTP a HTTPS.
Síťové DLP systémy jsou relativně jednodušší na instalaci a obvykle nabízejí nižší náklady na vlastnictví (TCO, total cost of ownership) než řešení DLP koncových bodů. Jistou nevýhodou některých komerčních řešení je nutnost kombinace s proxy systémy pro skutečné blokování DLP incidentů. Při volbě dedikovaných zařízení také nastupují výdaje za další zařízení v síti. Již dnes ovšem existují systémy, které se integrují s bezpečnostními branami na perimetru podnikové sítě (perimetr firewall) ve formě softwarového modulu.

DLP koncových bodů

Tyto systémy představují klienty běžící na koncových stanicích – počítačích a serverech. DLP systémy koncových bodů, stejně jako síťové DLP systémy, kontrolují komunikaci mezi interními skupinami uživatelů a mezi interními a externími subjekty. Mohou kontrolovat e-mailovou komunikaci stejně jako instant messaging. Další výhodou DLP systémů koncových bodů je schopnost kontroly přístupu na fyzická zařízení (například externí disky, CD-DVD mechaniky, flash disky, mobilní komunikační zařízení a přehrávače médií s vlastní pamětí) stejně jako schopnost kontrolovat fyzické komunikační porty koncových stanic. Mezi DLP systémy koncových bodů patří také řešení pro datovou enkrypci disků (full disk encryption) a enkrypci souborů a složek na pevných discích (file and folder encryption).
Zatímco u síťových DLP systémů administrátoři spravují obvykle jednotky zařízení, u DLP systémů koncových stanic to jsou obvykle stovky až tisíce stanic. Efektivní centralizovaná správa je u takových systémů naprostou nutností.

Proč je důležité nasazení systémů DLP

Bezpečnost dat a jejich ochrana před ztrátou se stává stále důležitější. Řada firem dnes spadá pod dohled vládních a komerčních nařízení, jako například HIPAA (Health Insurance Portability and Accountability Act) v oblasti zdravotnictví, GLBA (Gramm-Leach-Bliley Act, známý též jako Financial Services Modernization Act z roku 1999) a Basel_II (Doporučení bankovních zákonů a regulace vydaná Basel Committee on Banking Supervision) ve finančním sektoru a PCI DSS (Payment Card Industry Data Security Standard) pro organizace zpracovávající transakce platebních karet. Únik citlivých dat, chráněných na základě těchto nařízení, může mít dopad ve výrazných finančních postizích.
Velkým problémem pro řadu firem se stává ztráta intelektuálního vlastnictví, například ve formě softwarového kódu, technických plánů či know-how. Firmy také často pracují s citlivými daty svých zákazníků, která je třeba velmi dobře chránit.
Pro všechny organizace má případná ztráta citlivých dat negativní dopad na jejich dobrou pověst, který se v případě medializace úniku citlivých dat ještě násobí. Významnou část finančních ztrát pak tvoří platby smluvních sankcí a následné ukončení kontraktů.
Tak jak se pracovní síla stává víc a víc mobilní, riziko možné ztráty dat se výrazně zvětšuje. Firemní notebooky často obsahují desítky gigabytů informací a ztráta takového zařízení může mít rozsáhlé finanční dopady a dopady na dobré jméno společnosti. Podle analýzy společnosti World at Work (z roku 2009) povoluje zaměstnancům 42 procent zaměstnavatelů v USA práci mimo kancelář (například z domova) a v Evropě podíl takových firem roste rok od roku také.
Dalším velkým problémem se stávají externí spolupracovníci, kontraktoři a partneři. Podle studie provedené Ponemon Institutem v roce 2009 bylo přes 44 procent všech případů úniku dat spojeno s třetími stranami (externími subjekty).

Typické problémy při nasazování DLP systémů

1. Administrativní náročnost řešení DLP incidentů

Počítačové systémy jsou velmi dobré ve vyhledávání specifických dat, ale mají velké problémy s identifikováním dat v odpovídajícím kontextu. Tradiční DLP systémy generují mnoho incidentů a vystavují bezpečnostní administrátory nutnosti procházet citlivá interní data, která mohou obsahovat osobní údaje, údaje o platech zaměstnanců, o kontraktech a podobně. Řešení DLP incidentů obvykle představuje komplikovaný administrativní proces složený z řady časově náročných kroků (viz schéma řešení DLP incidentu níže). Je nutné si uvědomit, že typické DLP řešení generuje desítky až stovky incidentů týdně.

Obr. 1: Schéma řešení bezpečnostního DLP incidentu
Důsledkem je, že většina velkých podnikových implementací končí po určité době v monitorovacím módu a pouze sbírá informace pro potřeby pozdější forenzní analýzy. Z průzkumů provedených například firmou Gartner vyplývá, že osmdesát až devadesát procent DLP incidentů je neúmyslných. Velká část úmyslných incidentů je navíc vedena snahou zaměstnanců o zvýšení produktivity (například odeslání podnikového dokumentu na soukromý e-mail pro možnost pracovat večer doma). Skutečně kriminálních DLP případů je velmi málo, a pokud se objeví, tak jsou většinou natolik sofistikované, že je DLP systémy nejsou schopny zastavit.
Z výše uvedených informací vyplývá, že možným zapojením koncových uživatelů do procesu identifikace DLP incidentů, lze velmi efektivně snížit počet tzv. false positive incidentů (falešný poplach) a tím výrazně ulehčit práci bezpečnostních administrátorů, a navíc odstranit nutnost vystavení administrátorů citlivým datům. Příkladem může být nová technologie User Check od společnosti Check Point použitá v síťovém DLP řešení. Ta umožňuje poslat informace odesílateli při identifikaci DLP události a požádat ho o validaci, zda se jedná o legitimní přenos interních, dat nebo zda došlo skutečně k omylu. Příkladem může být situace, kdy uživatel v rychlosti zadává adresu do e-mailové zprávy a funkce automatického doplňování mu nabídne dříve použité adresy. Uživatel může snadno vybrat omylem jinou adresu, která začíná podobně jako původně zamýšlená e-mailová adresa. Tento častý omyl se jistě stal již téměř každému z nás. Dopad takového omylu může ovšem být kritický.
Následující případ se stal v září 2009. Zaměstnanec Rocky Mountain Bank ve Wyomingu byl požádán klientem o zaslání klientských dat na svou veřejnou e-mailovou adresu na Googlu. Zaměstnanec omylem odeslal data na jinou e-mailovou adresu, a navíc omylem vložil do mailu soubor s daty dalších 1325 zákazníků. Rocky Mountain Bank pak žádala společnost Google o zveřejnění identity majitele dané e-mailové adresy, ale nebylo jí vyhověno. Celá kauza nakonec skončila u soudu.
Celý případ by ale mohl vypadat jinak. Zaměstnanec by odeslal e-mail na externí adresu, což by bylo identifikováno jako DLP incident, zároveň by systém identifikoval, že zpráva obsahuje přílohu, dokument s větším počtem zákaznických záznamů. Odesílaná zpráva by byla uložena do karantény a zaměstnanec by dostal zprávu o tomto incidentu se zvýrazněnými informacemi o tom, co není v souladu s bezpečnostní politikou. Po kontrole obsahu by se mohl rozhodnout zprávu smazat, nebo potvrdit její odeslání.
Zapojení uživatelů do rozhodovacího procesu DLP technologie nemá jen dopad na snížení počtu incidentů, které musí řešit bezpečnostní administrátor, ale má i školící účinek. Jak již bylo uvedeno, osmdesát až devadesát procent DLP incidentů je neúmyslných. V mnoha případech zaměstnanci nejsou schopni správně identifikovat citlivost odesílaných dat. Jejich zapojení do procesu rozhodování umožňuje poskytnout jim informace o tom, že jejich jednání není v souladu s firemní bezpečnostní politikou. Navíc budou vědět, že jejich rozhodnutí data odeslat bude zaznamenáno v logu, může být použito v případě řešení bezpečnostního incidentu a může vést k disciplinárnímu postihu.

2. Časová náročnost implementace

Řada klasických DLP systémů nabízí sofistikované technologie, ale dodává se ve formě rámcového řešení (framework), bez definované bezpečnostní politiky. Takové řešení je vhodné pro skutečně velké organizace, které mají specializované týmy bezpečnostních pracovníků, schopných definovat bezpečnostní politiku. Ve většině případů však stejně nastupuje časově náročná a nákladná fáze integrace do podnikového prostředí formou externího integrátora. Některé DLP systémy také mají problémy s lokalizací a nedají se vhodně implementovat do neanglického prostředí.
DLP systémy, vhodné pro rychlé a finančně nenáročné nasazení, by měly obsahovat předdefinovanou politiku na bázi tzv. best practises (nejlepší praxe), zejména politiky vycházející z požadavků standardů jako SOX, HIPPA nebo PCI DSS a možnost jednoduché adaptace na cizojazyčná prostředí. Důležitá je i flexibilita při tvorbě datových struktur (datové typy představující informace, které jsou vyhledávány v přenášených zprávách a slouží k identifikaci chráněných dat), která přináší velkou nezávislost na dodavateli technologie a externích integrátorech.

3. Minimalizace „false pozitive“ incidentů.

Termínem false positive se označuje falešný poplach, tedy incident, který ve skutečnosti není bezpečnostním incidentem. DLP systémy, které generují velké množství takových událostí, jsou velmi náročné na správu a ve většině případů končí dříve nebo později ve stavu monitoringu, protože velmi často dochází k blokování legitimní komunikace.
Moderní DLP řešení nabízejí analýzu založenou na více faktorech, možnost definice logických operátorů a podmínek a možnost skriptovacích jazyků pro definici specifických datových struktur (například identifikace rodných čísel). Taková řešení umožňují mnohem lépe definovat pravidla pro identifikaci DLP incidentů a tím minimalizovat „false positives“. Zde je opět nutnost podpory adaptace na lokální specifické datové struktury.

Závěr

Problematika ochrany před ztrátou dat je velmi rozsáhlá a obsahuje řadu technologických řešení. Vhodným doporučením je začít se síťovým DLP řešením a na koncových bodech začít s implementačně jednoduššími technologiemi, kam spadá enkrypce dat na pevných discích, enkrypce souborů a složek, enkrypce externích médií a ochrana komunikačních portů.
Pro potřeby externích spolupracovníků a kontraktorů již dnes existuje velmi efektivní řešení bezpečného úložiště podnikových dat na kryptovaném USB disku s aplikací virtuální pracovní plochy, bezpečně oddělené od hostitelského počítače, a s integrovaným VPN klientem pro přístup do podnikové sítě. Podniková bezpečnostní politika tak může být efektivně implementovaná i na počítače, které nejsou v přímé správě podnikového IT, čímž se docílí požadované ochrany dat v lokálním i externím prostředí.

Autor působí ve společnosti Check Point Software Technologies.