Μία πιθανή διαρροή κρίσιμων δεδομένων για μία επιχείρηση ή οποιονδήποτε δημόσιο ή ιδιωτικό Οργανισμό, αποτελεί πλέον μία από τις βασικότερες αιτίες καταρράκωσης της φήμης αυτών. Γι’ αυτό η έννοια του DLP αποτελεί σήμερα ένα από τα σημαντικότερα συστατικά μιας πολιτικής ασφάλειας.
Τελευταία, η είδηση της διαρροής δεδομένων από μεγάλες πολυεθνικές εταιρείες ή τράπεζες κοσμεί τα πρωτοσέλιδα πολλών εφημερίδων και αποτελεί κύριο θέμα σε διάφορες ιστοσελίδες. Παρατηρείται επίσης ότι το θέμα ανησυχεί ιδιαιτέρως το ευρύ κοινό και αποτελεί μεγάλη δυσφήμιση για τον Οργανισμό που αστόχησε να προστατέψει τα δεδομένα του. Τα συνεχόμενα κρούσματα και η εξέχουσα σημασία των προσωπικών δεδομένων οδήγησαν με τη σειρά τους στη δημιουργία κανόνων χειρισμού τους, οι οποίοι γίνονται διαρκώς αυστηρότεροι. Γι’ αυτούς τους λόγους η τεχνολογία που υποστηρίζει την αποφυγή της απώλειας δεδομένων (DLP) γνωρίζει σημαντική άνθηση στην αγορά τον τελευταίο καιρό.
Αν και οι κανόνες ασφαλείας δεν θέτουν ως όρο την ύπαρξη της DLP τεχνολογίας σε έναν Οργανισμό, συνήθως επιλέγεται γιατί βοηθά στον εντοπισμό και το διαχωρισμό των ευαίσθητων ή προσωπικών δεδομένων, στην κρυπτογράφησή τους και στην αποτροπή έκθεσής τους σε μη εξουσιοδοτημένους χρήστες. Αυτές οι δυνατότητες είναι που την καθιστούν σημαντικό σύμμαχο για κάθε αξιόπιστη εταιρεία, ώστε να αποφύγει τυχόν απώλεια δεδομένων που θα της κοστίσει ίσως και ανυπολόγιστα.
Παρόλα αυτά, η επιλογή της DLP τεχνολογίας που θα υιοθετηθεί, πρέπει να βασίζεται σε μια ολόκληρη έρευνα και μελέτη, ώστε να αποδώσει τα επιθυμητά αποτελέσματα για τους στόχους της εκάστοτε εταιρείας. Σημαντική προσπάθεια πρέπει να καταβληθεί για να χαραχτεί η στρατηγική που θα ακολουθηθεί για την προστασία των δεδομένων, για το χειρισμό του ανθρώπινου δυναμικού και για την τελική διαδικασία εισόδου της τεχνολογίας στο πραγματικό περιβάλλον λειτουργίας της. Όταν μια DLP διαδικασία αστοχεί να προστατέψει τα δεδομένα της, είθισται να οφείλεται σε λάθη που άπτονται των προαναφερομένων τομέων και όχι στην ίδια την τεχνολογία. Τα λάθη αυτά είναι κοινά μεταξύ των εταιρειών και επαναλαμβανόμενα και γι’ αυτόν το λόγο ομαδοποιήθηκαν και αποτέλεσαν αντικείμενο μελέτης. Παρακάτω ακολουθεί μία ανάλυση για τις τέσσερις βασικές πρακτικές στις οποίες πρέπει να επικεντρωθεί ένας Οργανισμός προκειμένου να επιλέξει σωστά τη DLP τεχνολογία που θα αποκτήσει, καθώς και τον τρόπο εισαγωγής της στο εταιρικό δίκτυο.
1. Κατανόηση των πραγματικών απαιτήσεων
Τα πιο κρίσιμα λάθη κατά την υιοθέτηση των DLP τελούνται προτού καν η τεχνολογία αξιολογηθεί από τους αγοραστές και τελικά αποκτηθεί. Η έλλειψη κατανόησης τόσο των πραγματικών δυνατοτήτων των DLP όσο και των ουσιαστικών αναγκών του Οργανισμού οδηγούν σε σφάλματα, τα οποία δύσκολα αποφεύγονται. Στο πρώτο λοιπόν στάδιο της αναζήτησης της ιδανικής τεχνολογίας DLP, ο Οργανισμός πρέπει να ορίσει τους πραγματικούς λόγους για τους οποίους χρειάζεται ένα τέτοιο εργαλείο. Καίρια ερωτήματα όπως «ποιο πρόβλημα προσπαθούμε να επιλύσουμε;», «τι ανάγκες επιθυμούμε να καλύψουμε;», οφείλουν να τεθούν εκ προοιμίου και ακολούθως να σχεδιαστεί η στρατηγική με την οποία θα επιτευχθούν οι ανωτέρω στόχοι. Μόνο έτσι η επιλεγμένη DLP τεχνολογία θα αποτελέσει σύμμαχο στο εταιρικό δίκτυο και όχι ένα επιπλέον πρόβλημα.
Πολλές φορές οι “αγοραστές” DLP ωθούνται στις επιλογές τους παρασυρόμενοι από τους εκάστοτε “πωλητές”, που τους καλλιεργούν αισθήματα φόβου και ανασφάλειας για τα δεδομένα τους και τους προτείνουν ακολούθως τα προϊόντα που εκείνοι επιθυμούν να προωθήσουν. Σαφώς αυτός ο τρόπος επιλογής είναι εσφαλμένος και απέχει ουσιαστικά από τις πραγματικές ανάγκες της εταιρείας, μιας και ο πωλητής δεν είναι σε θέση να τις γνωρίζει, να τις καθορίσει και να τις καλύψει επαρκώς. Από την άλλη μεριά, οι αγοραστές οφείλουν να έχουν κατά νου ότι καμία τεχνολογία DLP δεν αποτελεί πανάκεια για την επίλυση όλων των προβλημάτων απώλειας δεδομένων που εγείρονται. Ουσιαστικά αποτελεί μια συνεκτική λύση διαχείρισης όλων των διεργασιών που αφορούν σε θέματα απώλειας δεδομένων και σίγουρα δεν είναι άτρωτη.
Πιο αναλυτικά, ο όρος DLP περιγράφει ένα “ολοκληρωμένο προϊόν” που απαρτίζεται από διάφορα τμήματα, τα οποία καλύπτουν ένα συγκεκριμένο τομέα προστασίας των προσωπικών δεδομένων. Δηλαδή, άλλο τμήμα καλύπτει τα δεδομένα που βρίσκονται υπό κίνηση στο δίκτυο, άλλο τα αποθηκευμένα δεδομένα και τέλος, άλλο τα δεδομένα που βρίσκονται σε διεργασίες με εντολές του τελικού χρήστη. Αυτά τα διαφορετικά τμήματα διαχειρίζονται από μία ενιαία κεντρική κονσόλα, αν και οι πωλητές τα διαθέτουν ανά τμήμα στους αγοραστές, επιτρέποντάς τους να αποκτήσουν αυτό το οποίο είναι αναγκαίο για τη δική τους δομή και θα καλύψει τους στόχους τους στις περιοχές υψηλού κινδύνου.
Ο καθορισμός του είδους της DLP προστασίας που θα επιλεγεί από έναν Οργανισμό, ουσιαστικά είναι το πιο σημαντικό έργο που πρέπει να τελεστεί από τους αγοραστές, μιας και οφείλουν εκ των προτέρων να ορίσουν τα δεδομένα που χρήζουν προστασίας και που αυτά βρίσκονται ακριβώς μέσα στο δίκτυό τους. Όλες οι μελέτες έχουν δείξει ότι η επιλογή της ιδανικής DLP τεχνολογίας έγκειται στη βαθιά κατανόηση των δεδομένων που χρήζουν προστασίας και του τρόπου που αυτό θα επιτευχθεί.
Ουσιαστικά, μόλις οι τεχνικές λεπτομέρειες αποσαφηνιστούν, τότε θα είναι ευκολότερη και ορθολογική η επιλογή της DLP τεχνολογίας και θα εντοπιστεί το προϊόν που καλύπτει τις ανάγκες της εταιρείας, στο μεγαλύτερο δυνατό βαθμό. Παράλληλα με τον ορισμό των ευαίσθητων δεδομένων οι Οργανισμοί θα πρέπει να ορίσουν και τις εφαρμογές εκείνες που θα βρίσκονται υπό την επιτήρηση του DLP συστήματος. Κι αυτό γιατί συνήθως προκύπτουν συγκρούσεις κατά τον εκ νέου ορισμό των κανόνων λειτουργίας τους, που θα αλλάξει λόγω παραμέτρων οι οποίες θα τεθούν για να προστατεύονται τα δεδομένα. Αν και δεν αναστέλλεται η λειτουργία των εφαρμογών με κάποιες ρυθμίσεις που επιβάλλονται, εγκυμονεί ο κίνδυνος αν δεν είναι πλήρως κατανοητά τα δεδομένα που περνούν και διαχειρίζονται από τις εφαρμογές, να τεθούν ζητήματα αξιόπιστης λειτουργίας, η οποία δεν θα πρέπει να στέκεται εμπόδιο στις καθημερινές διεργασίες της εταιρείας.
2. Συνεργασία με την επιχείρηση
Η επιτυχημένη εφαρμογή ενός DLP συστήματος σε έναν Οργανισμό εξαρτάται από την ευρεία και πλήρη υποστήριξη που λαμβάνει από όλα τα ενδιαφερόμενα μέρη εντός του Οργανισμού, τόσο χειριστές όσο και ιδιοκτήτες των δεδομένων. Η συνεργασία κρίνεται αναγκαία, μιας και η DLP τεχνολογία θα επηρεάσει σημαντικά τον τρόπο χειρισμού καθημερινών διεργασιών και γι’ αυτόν το λόγο απαιτείται να υπάρξει επιμόρφωση σε σχέση με την τεχνολογία και κατανόηση των λόγων υιοθέτησής της.
Εν συνεχεία και όταν εντός της επιχείρησης έχει επιτευχθεί ο απαιτούμενος βαθμός συνεργασίας και αποδοχής της τεχνολογίας, τότε θα πρέπει να ακολουθήσουν επαφές και εκτενείς συζητήσεις – ίσως και υπό τη μορφή συνεντεύξεων με τους ιδιοκτήτες των δεδομένων – ώστε να ξεκαθαριστεί σε ποια δεδομένα έχουν πρόσβαση, ποιες είναι οι αρμοδιότητες και οι ευθύνες που έχουν ανάλογα με τον τύπο των δεδομένων που διαχειρίζονται, πώς και με ποιον επιτρέπεται να διαμοιράζονται τα δεδομένα τους κ.ά. Έτσι ξεκαθαρίζεται ο τρόπος και διευκολύνεται η διαδικασία προστασίας των δεδομένων.
Πιο αναλυτικά, στο ενδοεταιρικό κομμάτι απαιτείται στήριξη από όλα τα συμβαλλόμενα μέρη, ώστε να εξασφαλιστεί ότι η DLP λειτουργία δεν θα διακόπτει αναίτια τις τρέχουσες διεργασίες. Οι άνθρωποι που χειρίζονται καθημερινά τα δεδομένα είναι αυτοί που μπορούν να εντοπίσουν αν κάποιες διεργασίες αστοχήσουν, γιατί τα δεδομένα που τις υποστηρίζουν έχουν «κλειδωθεί» αναίτια. Για παράδειγμα, έστω ότι το τμήμα διαφήμισης στέλνει στο τμήμα δημοσίων σχέσεων μια προωθητική καμπάνια, η οποία όμως αποκόπτεται κατά την αποστολή της από το ΙΤ τμήμα, θεωρώντας ότι περιέχει ευαίσθητα δεδομένα της εταιρείας, χωρίς ουσιαστικά να γνωρίζει αν πρόκειται για εγκεκριμένη αποστολή. Αυτό το θέμα αν δεν εντοπιστεί από τον αποστολέα ή από τον παραλήπτη και δεν γίνει υπόδειξη στο ΙΤ τμήμα, τότε σίγουρα δεν θα επιλυθεί και ουσιαστικά θα έχει δημιουργηθεί επικοινωνιακό πρόβλημα στην εταιρεία.
Σαφώς υπάρχει και η περίπτωση όπου η DLP τεχνολογία εκθέτει τις εταιρικές διεργασίες σε μη εξουσιοδοτημένους χρήστες, λόγω εσφαλμένης ρύθμισης των παραμέτρων λειτουργίας της. Επιβάλλεται λοιπόν το τμήμα ασφάλειας να συνεργαστεί στενά με τους ιδιοκτήτες, οι οποίοι με τη σειρά τους οφείλουν να κατανοήσουν γιατί μια διεργασία θεωρείται επικίνδυνη. Βηματικά θα πρέπει αναλύσουν τη διεργασία, να αποκαλύψουν τα σημεία αστοχίας της και να αποκατασταθεί σταδιακά το πρόβλημα. Για παράδειγμα, έστω ότι υπάλληλος του τμήματος μισθοδοσίας αποστέλλει τη λίστα μισθοδοσίας μέσω ηλεκτρονικού ταχυδρομείου. Ακόμα και αν ο παραλήπτης είναι εξουσιοδοτημένος να τη λάβει, μία τέτοιου είδους αποστολή θα έπρεπε να είναι κρυπτογραφημένη και αυτό πρέπει να καταστεί σαφές στον υπάλληλο, για να μην παραβιάζει τους κανόνες ασφαλείας.
3. Συμμόρφωση στο κανονιστικό πλαίσιο
Ακόμα ένα ανθρωποκεντρικό πρόβλημα που ανακύπτει είναι η συνεργασία του νομικού τμήματος με τα ενδιαφερόμενα μέρη, ώστε να υιοθετηθούν πρακτικές που θα συμπορεύονται με τα πρότυπα ασφαλείας και τους κανόνες που έχουν τεθεί. Όπως και με τον καθορισμό των απαιτήσεων, έτσι και οι κανόνες ασφαλείας πρέπει να συμπεριληφθούν στο σχεδιασμό δράσης, προτού επιλεγεί η DLP τεχνολογία. Ερωτήσεις όπως αν προκύπτουν θέματα συμμόρφωσης, για ποιο λόγο θα χρησιμοποιηθεί το εργαλείο, τι πρακτικές θα ακολουθηθούν ώστε να διασφαλιστεί ότι δεν θα παραβλεφθεί κανένας κανόνας, πρέπει να τεθούν εξαρχής και πριν την τελική επιλογή.
Τα ενδιαφερόμενα μέρη που σχετίζονται με τη νομική χροιά της προστασίας δεδομένων, διαδραματίζουν πολύπλευρο ρόλο στα συστήματα DLP. Ουσιαστικά, οι κανόνες συμμόρφωσης αποτελούν την επίσημη και έμπιστη πηγή η οποία καθορίζει τον τρόπο δράσης και αντίδρασης, ώστε να μην προκληθούν ανεπιθύμητα επεισόδια – ή αν προκληθούν πώς θα αντιμετωπιστούν έγκαιρα και αποτελεσματικά. Τα πρότυπα ασφαλείας βρίσκονται διαρκώς υπό μελέτη και υπόκεινται σε συνεχόμενες αλλαγές από τους ειδικούς, μιας και οι επιθέσεις αυξάνονται και γίνονται πιο αποτελεσματικές και επίμονες. Αυτές τις εξελίξεις πρέπει να παρακολουθεί το νομικό τμήμα κάθε Οργανισμού και να φροντίζει να ενημερώνει το ΙΤ τμήμα για να διενεργεί και να προλαμβάνει, ώστε να μη βρεθεί ο Οργανισμός εκτεθειμένος, από νομικής άποψης. Από την άλλη μεριά, το νομικό τμήμα πρέπει να συνεργάζεται και με το τμήμα ανθρώπινου δυναμικού, ώστε να αντιμετωπίζονται ορθολογικά περιστατικά που αφορούν στους υπαλλήλους και να υπάρχει διαύγεια και συνοχή σχετικά με τα μέτρα που θα λαμβάνονται ανά περίπτωση.
Προφανώς, το νομικό τμήμα οφείλει να διασφαλίζει ότι ο Οργανισμός είναι συμμορφωμένος με τα πρότυπα ασφαλείας, όπως τα HIPAA και PCI DSS. Παρόλα αυτά, σε περιπτώσεις πολυεθνικών που εδρεύουν σε διαφορετικά σημεία ανά τον κόσμο, οι κανόνες ασφαλείας διαφοροποιούνται ανάλογα τη χώρα και απαιτείται ιδιαίτερη προσοχή ως προς τη συμμόρφωση, ειδικά στα θέματα της παρακολούθησης των υπαλλήλων. Το νομικό τμήμα λοιπόν πρέπει να αποσαφηνίσει αυτές τις διαφοροποιήσεις και να διασφαλίσει ότι το DLP προϊόν είναι συμβατό και λειτουργεί εντός των ορίων ασφαλείας.
4. Εφαρμογή της DLP τεχνολογίας
Εφόσον ορίστηκαν οι κατάλληλοι άνθρωποι, καθορίστηκαν ποια δεδομένα θα προστατευθούν και πώς αυτό θα επιτευχθεί, επόμενο βήμα είναι να επιλεγεί η καταλληλότερη DLP τεχνολογία και άρα το τελικό προϊόν που θα αποκτηθεί. Όταν το προϊόν βρίσκεται στα χέρια του ΙΤ τμήματος, το πιο σύνηθες σφάλμα που πραγματοποιείται είναι η ολική ένταξή του με μία κίνηση στο δίκτυο του Οργανισμού. Αποτέλεσμα αυτής της ένταξης είναι η δημιουργία συγκρούσεων σε πολλαπλά μέτωπα και χωρίς να υπάρχει ξεκάθαρη εικόνα για το πού έγινε το σφάλμα και για ποιο λόγο. Αν υιοθετηθεί μια πιο υπολογισμένη προσέγγιση, κατά την οποία τα διαφορετικά τμήματα από τα οποία αποτελείται το προϊόν εφαρμοστούν σταδιακά – μερικά στο δίκτυο της εταιρείας και κατά προτίμηση ανά τμήμα του Οργανισμού, τα τυχόν σφάλματα που θα προκύψουν θα είναι σαφώς πιο διαχειρίσιμα και δεν θα ανατρέπουν ολόκληρη τη λειτουργία της παραγωγής.
Η τμηματική εφαρμογή προσφέρει πλήθος πλεονεκτημάτων, συμπεριλαμβανομένης της ευκαιρίας απόκτησης εκπαίδευσης και εμπειρίας σε σχέση με το προϊόν, κάτι που βοηθά εξαιρετικά, καθώς τα πράγματα περιπλέκονται και η εφαρμογή προχωρά σε βάθος μέσα στο δίκτυο του Οργανισμού. Από την άλλη μεριά, η επιτυχημένη έκβαση της πρώτης φάσης της εφαρμογής της DLP τεχνολογίας καλλιεργεί αισθήματα εμπιστοσύνης και ασφάλειας σε όλα τα ενδιαφερόμενα μέρη που σχετίζονται με τις διεργασίες αυτές και προσφέρει την απαιτούμενη αυτοπεποίθηση στους επιχειρηματίες ώστε να προχωρήσουν στην επόμενη φάση. Δεν είναι λίγες οι φορές, που επειδή το κόστος μιας DLP τεχνολογίας είναι υψηλό και η απόκτηση ενός ολοκληρωμένου πακέτου δεν είναι εφικτή εξαρχής, να αναμένουν οι επενδυτές τα αποτελέσματα της πρώτης φάσης ώστε να επιχορηγήσουν την περαιτέρω αγορά των εξαρτημάτων εκείνων που απαιτούνται για τη δεύτερη φάση. Φυσικά, ακόμα και για τις περιπτώσεις όπου η DLP τεχνολογία έχει αγοραστεί εξ ολοκλήρου, η σταδιακή ενσωμάτωσή της στην επιχειρησιακή πραγματικότητα, μόνο οφέλη μπορεί να προσφέρει στους εμπλεκόμενους.
Η τεχνολογία DLP βρίσκεται στο στάδιο της ωρίμασης, μιας και τα θέματα απώλειας δεδομένων τελευταίως εγείρουν έντονες αντιδράσεις. Η αγορά μέχρι στιγμής υποστηρίζει σε γενικές γραμμές δύο λύσεις DLP προϊόντων: η πρώτη λύση παρέχει δυνατότητες DLP ως προϊόν ή υπηρεσία, με στόχο την προστασία μόνο των δομημένων δεδομένων. Οι πωλητές λοιπόν παρέχουν DLP δυνατότητες σε ήδη διατιθέμενα προϊόντα, όπως είναι τα email και οι web security gateways (υλοποίηση υπηρεσιών ασφάλειας στην πύλη του δικτύου προς το Internet). Η δεύτερη λύση είναι πληρέστερη και αφορά σε δομημένα ή μη δεδομένα – και γενικότερα ό,τι θεωρείται πολύτιμη, ευαίσθητη ή προσωπική πληροφορία. Μια τέτοια εφαρμογή σαφώς είναι σημαντική και ουσιαστική για κάθε επιχείρηση, αλλά απαιτεί ευρεία και εις βάθος εφαρμογή, καθώς και δαπάνη χρόνου, πόρων και χρήματος, ώστε αυτός ο στόχος να επιτευχθεί στο ακέραιο.
Της Παναγιώτας Τσώνη
