Bez względu na to czy chronimy nasze własne dane osobowe, adres zamieszkania, PIN do karty kredytowej, adres mailowy lub też listę klientów, dane finansowe naszej firmy czy też dane pacjentów w gabinecie medycznym, informacje te są dla nas czy naszej firmy dosłownie na wagę złota.
Co więc możemy zrobić, aby nie dostały się one w niepowołane ręce?
Przede wszystkim powinniśmy się przyjrzeć w jaki sposób zorganizowana jest nasza firma czy instytucja i spróbować postawić się w sytuacji osób, które mogłyby ewentualnie chcieć wejść w posiadanie naszych danych.
Innymi słowy – zastanówmy się jak spróbowalibyśmy ukraść dane z naszej własnej firmy. Najprawdopodobniej dopiero wtedy uświadomimy sobie jak wiele luk, pozwalających na wyciek informacji istnieje w naszym otoczeniu.
Nieuchronnie nasze pierwsze podejrzenie padnie na komputery firmowe i obsługujących ich pracowników. Może nagle uświadomimy sobie że pod pozorem prostych i niewinnie wyglądających czynności robią oni coś niedobrego dla firmy…
Przykładowo:
- wpięty do komputera służbowego przez kabel USB telefon, smartfon czy odtwarzacz MP3 wcale niekoniecznie tylko się ładuje – może przecież pracować jako pendrive a pracownik może za jego pomocą właśnie wynosić dane z firmy pod pozorem ładowania urządzenia,
- firmowy aparat fotograficzny to też z punktu widzenia komputera nośnik wymienny… Podróżujący pomiędzy firmą a domem pracownika (np. w ramach wyjazdów w delegacje) może również służyć do wycieku informacji,
- pracownik, który korzysta z prywatnego Gmaila w firmie, wchodząc na swoją pocztę, uruchamia również dość efektywny własny dysk online za pomocą którego dość łatwo wyprowadzić na zewnątrz firmowe dane,
- dostęp do portali społecznościowych jak Facebook czy Google+ to z jednej strony miły gest w kierunku naszych pracowników ale również niebezpieczeństwo dla naszej firmy. Przecież w każdej chwili mogą tam opublikować coś co jest tajemnicą firmy – np. projekt kampanii reklamowej, projekt nowego modelu produktu a może jakiś mało smaczny obrazkowy żart firmowy, który do tej pory mieszkał tylko na firmowym intranecie,
- a może spędza nam sen z oczu fakt, że pracownik w ferworze walki ze swoimi bieżącymi zadaniami, wyśle omyłkowo mailem strategiczny dokument wewnętrzny do klienta, P. Andrzeja, zamiast do P. Andrzeja z działu finansów?
- wyciek informacji możliwy jest również przy pośrednim udziale pracowników poprzez zainfekowane wirusami czy trojanami komputery firmowe. W tym przypadku pracownik może się do tego „przyczynić” poprzez próby otwarcia na komputerze zainfekowanego nośnika prywatnego czy odwiedzanie różnych niechcianych czy niebezpiecznych stron www, oczywiście nie związanych z zadaniami służbowymi.
To tylko przykładowe sytuacje, które zdarzają się praktycznie codziennie w większości firm. Oczywiście niekoniecznie kończą się one katastrofą dla firmy, ale stanowią potencjalny słaby punkt, który w niesprzyjających okolicznościach mogą doprowadzić do firmowej klęski.
Czy jest na to lekarstwo? Co możemy zrobić?
Jednym z ważniejszych sposobów ochrony przed wydarzeniami klasy przedstawionej powyżej jest wdrożenie systemu DLP (Data Leak/Leakage/Loss Protection/Prevention), którego głównym zadaniem będzie ochrona naszego systemu przed wyciekiem danych właśnie w analogicznych jak przykładowe, powyższych sytuacjach.
System taki ma za zadanie monitorować przepływ informacji na poziomie stacji roboczej i działań podejmowanych przez pracownika, celem wyłapania działań podejrzanych lub w oczywisty sposób zakazanych. W zależności od kwalifikacji zdarzenia i naszych wytycznych system może blokować takie działanie lub tylko nas o nim informować. Niezależnie możliwe jest przechwycenie treści informacji, której operacja dotyczyła aby mieć pełny obraz tego co faktycznie pracownik próbował wysłać, zabrać na pendrive itp.
Jednym z systemów, które proponujemy i wdrażamy klientom w takich przypadkach jest system Devicelock. Z pełnymi informacjami na temat jego możliwości możemy zapoznać się na stronach producenta i dystrybutora na terenie Polski.
Zapraszamy również do kontaktu z nami w celu ustalenia zakresu i okoliczności planowanego potencjalnego wdrożenia systemu DLP.
Brak komentarzy:
Prześlij komentarz