DLP – Πρόληψη Διαρροής Εταιρικών Πληροφοριών: Η μαγική λύση;

Η πρόληψη και αποφυγή της διαρροής κρίσιμων εταιρικών πληροφοριών αποτελεί τον πρωταρχικό στόχο και «όνειρο» κάθε υπεύθυνου Ασφάλειας Πληροφοριών, κάθε Διοικητικού στελέχους και κάθε στελέχους που το αφορά η κανονιστική συμμόρφωση.

Η πρόληψη και αποφυγή της διαρροής κρίσιμων εταιρικών πληροφοριών αποτελεί τον πρωταρχικό στόχο και «όνειρο» κάθε υπεύθυνου Ασφάλειας Πληροφοριών, κάθε Διοικητικού στελέχους και κάθε στελέχους που το αφορά η κανονιστική συμμόρφωση.

Τα τελευταία τρία χρόνια, η ανάγκη για υλοποίηση ενός πλαισίου για την πρόληψη και αποφυγή της διαρροής κρίσιμων εταιρικών πληροφοριών (DLP: Data Leakage Prevention) είναι αναγνωρισμένη και είναι το αποτέλεσμα της ωριμότητας στο χώρο της ασφάλειας πληροφοριών, που αναγνωρίζει ότι στο επίκεντρο της προστασίας βρίσκονται τα δεδομένα (και όχι απλά τα πληροφοριακά συστήματα ενός οργανισμού), όπου και αν αυτά βρίσκονται, ακόμα και εκτός των ‘ηλεκτρονικών τειχών’ του οργανισμού. Η αξιοπιστία των κρίσιμων εταιρικών δεδομένων θα βοηθήσει την εταιρεία να αποκτήσει το ανταγωνιστικό πλεονέκτημα που προσδοκά. Επιπρόσθετα, απαιτήσεις που πηγάζουν από το Νομικό & Θεσμικό πλαίσιο, καθώς και από συμβάσεις με τρίτα μέρη (συνεργάτες) που αφορούν στους κανόνες & απαιτήσεις προστασίας των δεδομένων, ενισχύουν την ανάγκη για αποτελεσματική προστασία και έλεγχο πρόσβασης των επιχειρηματικών δεδομένων.
Βασική Λειτουργία Συστημάτων DLP (1)
Όπως για κάθε ανάγκη στο χώρο της πληροφορικής, έτσι και στη συγκεκριμένη περίπτωση παρουσιάζονται αρκετές λύσεις, οι οποίες με ‘μαγικό’ τρόπο προσφέρουν το επιθυμητό: «πρόληψη και αποφυγή της διαρροής κρίσιμων εταιρικών πληροφοριών» με τρόπο ‘εύκολο’ & ‘αλάνθαστο’. Τουλάχιστον έτσι υποστηρίζουν. Αν θέλουμε να προσδιορίσουμε τι ακριβώς είναι οι λύσεις DLP, θα λέγαμε ότι είναι μια σειρά τεχνολογιών, που βασίζουν τη λειτουργία τους σε συγκεκριμένες πολιτικές και κανόνες ασφάλειας, που ορίζονται κεντρικά και στη συνέχεια αναγνωρίζουν, παρακολουθούν και προστατεύουν δεδομένα, τα οποία είτε βρίσκονται αποθηκευμένα είτε διακινούνται μέσω δικτύων είτε επεξεργάζονται από τις διάφορες εφαρμογές. Τα παραπάνω, στηρίζουν τη λειτουργία τους σε τεχνικές ανάλυσης και επιθεώρησης περιεχομένου (content inspection and analysis techniques).
Άλλα χαρακτηριστικά της τεχνολογίας DLP είναι:

• H ικανότητα ανάλυσης και επιθεώρησης περιεχομένου διαφορετικού τύπου, το οποίο μπορεί να βρίσκεται σε διαφορετικά σημεία (αποθηκευτικά μέσα, δίκτυο, Η/Υ χρηστών).
• H ύπαρξη κεντρικού μηχανισμού για διαμόρφωση και διαχείριση της πολιτικής που θέλουμε να εφαρμοσθεί.
• H ύπαρξη μηχανισμού αυτοματοποίησης της ροής που απαιτείται για την αντιμετώπιση περιστατικών ασφάλειας, που σχετίζονται με τη μη συμμόρφωση με τους κανόνες λειτουργίας του συστήματος DLP.

Στόχο της τεχνολογίας αποτελεί η τήρηση των κανόνων που διαμορφώνονται κεντρικά και που έχουν ως στόχο την πρόληψη διαρροής ή / και μη εξουσιοδοτημένης χρήσης των εταιρικών πληροφοριών. Για παράδειγμα, ενέργειες όπως η αντιγραφή επιχειρηματικών δεδομένων σε εξωτερικές συσκευές αποθήκευσης (USB sticks, hard disks, iPods) ή σε e-mails (ακόμα και πέραν του εταιρικού) είναι αδύνατη από χρήστες μη εξουσιοδοτημένους για την ενέργεια αυτή. Για να πραγματοποιηθούν όλα τα παραπάνω, οι λύσεις DLP χρησιμοποιούν αρχιτεκτονική, η οποία αποτελείται από κεντρικό(ά) σύστημα(τα), όπου αποτυπώνονται οι πολιτικές και οι κανόνες που θέλουμε να επιβληθούν και συγκεντρώνονται log files και αναφορές, καθώς και από λογισμικό (agents) το οποίο εγκαθίσταται στους Η/Υ των χρηστών ή / και σε διάφορα σημεία του δικτύου μιας εταιρείας.
Οι βασικές λειτουργίες ενός συστήματος DLP πρέπει να καλύπτουν τα ακόλουθα:

• Πρώτα αναγνώριση και μετά προστασία κρίσιμων δεδομένων, όπου και αν αυτά βρίσκονται.
• Επιθεώρηση και παρακολούθηση του τρόπου χρήσης των δεδομένων, τόσο σε επίπεδο τελικού χρήστη όσο και σε επίπεδο δικτύου.
• Ακρίβεια αναφορικά με την τήρηση των κανόνων που του έχουν προγραμματισθεί.
• Αυτοματοποίηση του τρόπου επιβολής της πολιτικής και της αναφοράς των περιπτώσεων παραβίασης αυτής.
• Δυνατότητα επιβολής πολιτικής, σχετικά με τη χρήση κρυπτογράφησης.
• Μη δημιουργία προβλημάτων απόδοσης στα συστήματα και τα τμήματα του δικτύου στα οποία εγκαθίσταται.

Οι λύσεις DLP αποτελούν μέρος ενός ευρύτερου πλαισίου που αφορά στην προστασία των εταιρικών πληροφοριών. Στην πραγματικότητα αποτελούν ένα από τα συστατικά για την προστασία των εταιρικών πληροφοριών και σαν τέτοιο πρέπει να αντιμετωπισθεί.
Kάποιες λύσεις DLP αναφέρονται ενδεικτικά στον πίνακα 1.

Ρίχνοντας μια γρήγορη ματιά σε διάφορες αναλύσεις σχετικά με το ποια από τις λύσεις που εμφανίζονται στον πίνακα είναι η καλύτερη, δηλαδή ποια ή ποιες καλύπτουν τις περισσότερες απαιτήσεις, σίγουρα δεν βγαίνει ασφαλές αποτέλεσμα, διότι ανάλογα με το φορέα – εταιρεία που κάνει την έρευνα, αλλάζει και το αποτέλεσμα. Μεγάλες εταιρείες παροχής λύσεων ασφάλειας πληροφοριών έχουν μπει δυναμικά στο συγκεκριμένο χώρο είτε αναπτύσσοντας είτε εξαγοράζοντας εταιρείες που έχουν αναπτύξει λύσεις DLP.

Βασική Λειτουργία Συστημάτων DLP (2)
Οι λύσεις DLP ξεπερνούν τους περιορισμούς που βλέπουμε σε λύσεις κρυπτογράφησης ή λύσεις (διαχείρισης ψηφιακών δικαιωμάτων) Digital Right Management, μέσω της ικανότητάς τους να κατανοούν το περιεχόμενο των δεδομένων που εξετάζουν και να αντιλαμβάνονται ότι πρόκειται για εταιρικές πληροφορίες. Οι λύσεις DLP χρησιμοποιούν κεντρικά οριζόμενες και διαχειριζόμενες πολιτικές και κανόνες, για την αναγνώριση, παρακολούθηση και προστασία των εταιρικών δεδομένων, τα οποία μπορεί να βρίσκονται αποθηκευμένα, να διακινούνται ή να χρησιμοποιούνται από κάποια εφαρμογή. Η επίτευξη των παραπάνω γίνεται με χρήση τεχνικών και αλγορίθμων εκτενούς ανάλυσης περιεχομένου (content analysis).
Αντί για τη χειροκίνητη εφαρμογή κανόνων και πολιτικών (όπως γίνεται σε λύσεις κρυπτογράφησης & διαχείρισης ψηφιακών δικαιωμάτων), οι λύσεις DLP σαρώνουν και αναλύουν το περιεχόμενο των δεδομένων και κάνουν χρήση προηγμένων τεχνικών, για να διαπιστωθεί ο τρόπος με τον οποίο θα προστατέψουν τις πληροφορίες. Για παράδειγμα, είναι δυνατό να ορισθεί κανόνας σύμφωνα με τον οποίο αν σε κάποιο e-mail υπάρχουν στοιχεία πιστωτικών καρτών ή στοιχεία συνδρομητών, το εν λόγω e-mail δεν μπορεί να σταλθεί τους αποδέκτες του. Επειδή οι λύσεις DLP σαρώνουν και αναλύουν το περιεχόμενο των πληροφοριών, μπορούν να ορισθούν κανόνες για την ανεύρεση ψηφιακών εγγράφων, τα οποία βρίσκονται σε μη εγκεκριμένους χώρους αποθήκευσης (server) ή κανόνες που να ψάχνουν για συγκεκριμένα εταιρικά έντυπα (ισολογισμούς, στοιχεία πωλήσεων) στους σταθμούς εργασίας των εταιρικών – και όχι μόνο – χρηστών. Οι προηγμένες λύσεις DLP, αφού αναγνωρίσουν το συγκεκριμένο περιεχόμενο όπως αυτό έχει ορισθεί από τους διάφορους κανόνες, έχουν τη δυνατότητα να μεταφέρουν το περιεχόμενο αυτό σε ασφαλή τοποθεσία, όπου εκεί ισχύουν συγκεκριμένοι κανόνες προστασίας, όπως η κρυπτογράφηση των πληροφοριών.

Τεχνολογία Υλοποίησης Συστημάτων DLP
Πολλά εργαλεία DLP παρέχουν τη δυνατότητα στους Οργανισμούς να προσδιορίσουν ποιους τύπους δεδομένων θεωρούν ως κρίσιμα. Τύποι δεδομένων όπως αυτά που αφορούν στις πιστωτικές κάρτες ή σε στοιχεία τραπεζικών λογαριασμών, είναι προφανείς και αναγνωρίζονται εύκολα. Όμως, σε περιπτώσεις που αφορούν στους άλλους τύπους δεδομένων, όπως η επιχειρηματική στρατηγική, ο οικονομικός προϋπολογισμός ή στοιχεία σχεδιασμού ενός προϊόντος, ο χαρακτηρισμός τους σίγουρα δεν είναι προφανής.
Η κίνδυνος στην περίπτωση αυτή για έναν Οργανισμό είναι ότι θα μπορούσε να μπλοκάρει συνήθεις επιχειρηματικές δραστηριότητες και ανταλλαγή επιχειρηματικών δεδομένων, με τη χρήση υπερβολικά αυστηρών ορισμών ως προς τι θεωρούνται κρίσιμα δεδομένα. Η άλλη όψη του νομίσματος είναι να χρησιμοποιηθούν πιο διευρυμένοι ορισμοί για τον προσδιορισμό των κρίσιμων επιχειρηματικών δεδομένων, με κίνδυνο να υπάρξουν θέματα ασφάλειας για τα συγκεκριμένα δεδομένα. Από τι στιγμή που θα ολοκληρωθεί ο προσδιορισμός των δεδομένων τα οποία θεωρούνται κρίσιμα, το σύστημα καλείται να αναγνωρίσει τα συγκεκριμένα δεδομένα, τόσο σε μέσα αποθήκευσης όσο και στις περιπτώσεις όπου τα δεδομένα διακινούνται ή χρησιμοποιούνται από κάποια εφαρμογή. Το σύστημα DLP έχει τη δυνατότητα παρακολούθησης μεγάλου όγκου δεδομένων, χρησιμοποιώντας αλγόριθμους που συγκρίνουν τα διάφορα αρχεία με το σχήμα που έχει δημιουργήσει ο κάθε Οργανισμός για το τι θεωρεί κρίσιμο – ευαίσθητο για τη λειτουργία του δεδομένο. Τα πιο απλά από τα συστήματα DLP χρησιμοποιούν αλγόριθμους τύπου expression-pattern-matching για να εντοπίσουν τα κρίσιμα επιχειρηματικά δεδομένα, κυρίως δεδομένα που περιλαμβάνουν αριθμητικά πεδία, όπως αριθμοί πιστωτικών καρτών. Ωστόσο, οι αλγόριθμοι αυτοί δεν μπορούν να εντοπίσουν δεδομένα τύπου πνευματικής ιδιοκτησίας, όπως για παράδειγμα σχέδια νέων προϊόντων, τα οποία δεν σχετίζονται με αριθμητικά πεδία. Ένα σημαντικό γεγονός που αφορά στη λειτουργία των συστημάτων DLP είναι ότι οι εκτεταμένες δομές προσδιορισμού & αναγνώρισης κρίσιμων δεδομένων, απαιτούν μεγάλη βάση προκαθορισμένων μοντέλων και αρκετή επεξεργαστική ισχύ, που μπορεί να επιβραδύνουν τις συνήθεις επιχειρηματικές εργασίες.
Για το λόγο αυτό, οι εταιρείες που κατασκευάζουν λύσεις DLP στρέφονται σε πιο εξελιγμένους αλγόριθμους.
Άλλες προσεγγίσεις περιλαμβάνουν τη δημιουργία & συντήρηση λεξικών με λέξεις κλειδιά, οι οποίες αναμένεται να υπάρχουν σε αρχεία με κρίσιμα δεδομένα, καθώς και χρήση στατιστικών αναλύσεων, με σκοπό να προσδιοριστεί η πιθανότητα ότι ένα σύνολο δεδομένων είναι κρίσιμα (ταιριάζουν δηλαδή με αυτό που έχει ορισθεί ως κρίσιμα δεδομένα).
Οι εταιρείες που θέλουν να υλοποιήσουν λύσεις DLP έχουν επιλογές που αφορούν στον τρόπο υλοποίησης. Υπάρχουν λύσεις που βασίζονται στη χρήση appliances, τα οποία ανακαλύπτουν τα κρίσιμα δεδομένα σε επίπεδο δικτύου και λύσεις οι οποίες, χρησιμοποιούν λογισμικό στους σταθμούς εργασίας (PCs) των χρηστών. Επίσης, υπάρχουν λύσεις οι οποίες δίνουν τη δυνατότητα χρήσης και των δύο προηγούμενων τρόπων υλοποίησης.

Εάν θα θέλαμε να αναφερθούμε στους διάφορους τύπους υλοποίησης της λύσης DLP, τότε θα προσδιορίζαμε τρεις (3) τύπους υλοποίησης:

• Συστήματα που επικεντρώνονται στην αναγνώριση και προστασία των κρίσιμων δεδομένων σε αποθηκευτικούς χώρους π.χ. files servers, storage.
• Συστήματα που επικεντρώνονται στην αναγνώριση και προστασία των κρίσιμων δεδομένων σε επίπεδο διακίνησης αυτών στα σημεία εισόδου και εξόδου στο εταιρικό δίκτυο.
• Συστήματα που επικεντρώνονται στην αναγνώριση και προστασία των κρίσιμων δεδομένων κατά την αλληλεπίδραση αυτών μεταξύ του σταθμού εργασίας και των περιφερειακών σε αυτό μηχανισμών.

Οι προμηθευτές λύσεων DLP επιλέγουν την υλοποίηση συστημάτων τα οποία καλύπτουν έναν ή και περισσότερους από τους παραπάνω τύπους υλοποίησης. Εξαρτάται από την προσέγγιση και τη φιλοσοφία του κάθε προμηθευτή.

Ωριμότητα τεχνολογίας & προκλήσεις
Η τεχνολογία DLP δεν έχει φτάσει σε ώριμο επίπεδο ακόμα και για το λόγο αυτό καλείται να αντιμετωπίζει πολλές προκλήσεις, οι οποίες προσδιορίζονται στη συνέχεια.

Διαλειτουργικότητα
Επί του παρόντος, δεν υπάρχουν πρότυπα που να αφορούν στην τεχνολογία DLP και δεν φαίνεται να υπάρχει κανένα επιστημονικό ή άλλο forum που να ασχολείται.

Καθίσταται λοιπόν αδύνατο να υπάρχει η δυνατότητα, εργαλεία DLP διαφορετικών προμηθευτών, να:

• Μοιράζονται δεδομένα τα οποία χρησιμοποιούνται για την περιγραφή των κρίσιμων πληροφοριών (metadata),
• Να ανταλλάσσονται τα μοντέλα που χρησιμοποιούν για την αναγνώριση των κρίσιμων δεδομένων,
• Καθώς και να μπορούν να χρησιμοποιούν τους αλγόριθμούς που χρησιμοποιούν οι διάφορες λύσεις DLP.

Τα παραπάνω καθιστούν επίσης δύσκολο να υπάρξει διαλειτουργικότητα μεταξύ των συστημάτων DLP με άλλες λύσεις ασφάλειας (π.χ. firewalls, network access control κτλ).
Η επίτευξη της διαλειτουργικότητας απαιτεί από τους προμηθευτές λύσεων DLP τη δημιουργία γεφυρών συνεργασίας και κάποιες κοινές τεχνολογικές δομές μεταξύ των διαφορετικών λύσεων που υπάρχουν. Μια τέτοια διαδικασία, ενδεχομένως θα είναι δύσκολη, δαπανηρή και χρονοβόρα. Η απουσία διαλειτουργικότητας μεταξύ των λύσεων – προϊόντων DLP αναγκάζει τους Οργανισμούς να προμηθεύονται λύσεις από έναν και μόνο προμηθευτή κάθε φορά. Με τον τρόπο αυτό, δεν μπορούν να εκμεταλλευτούν συστατικά από διαφορετικές λύσεις DLP. Για παράδειγμα, αν μία λύση δεν διαθέτει τη δυνατότητα για αναγνώριση και προστασία των κρίσιμων δεδομένων σε επίπεδο διακίνησης αυτών στα σημεία εισόδου και εξόδου στο εταιρικό δίκτυο, δεν μπορεί να χρησιμοποιήσει το εν λόγω υποσύστημα από άλλον προμηθευτή λύσης DLP.
Άλλες προκλήσεις
Οι υφιστάμενες λύσεις DLP αντιμετωπίζουν προβλήματα στη δημιουργία αποτελεσματικών μοντέλων αναγνώρισης κρίσιμων δεδομένων, που βρίσκονται σε έγγραφα όπως τα αρχεία τύπου CAD ή σε αρχεία προγραμμάτων επεξεργασίας κειμένου, λόγω του γεγονότος ότι οι πληροφορίες είναι αδόμητες, δεν ακολουθούν συγκεκριμένη διάταξη και καθίσταται δύσκολο να εντοπιστούν.
Όταν υπάρχει μεγάλος όγκος πληροφοριών, τόσο η διαδικασία χαρακτηρισμού των δεδομένων ως κρίσιμα, όσο και ο εντοπισμός τους, απαιτούν αρκετό χρόνο καθώς και σημαντικούς υπολογιστικούς και δικτυακούς πόρους. Επιπροσθέτως, απαιτείται αρκετός χρόνος από την πλευρά των διαχειριστών των συστημάτων DLP, προκειμένου να παραμετροποιήσουν τα συστήματα, έτσι ώστε να εντοπίζουν τις πραγματικές διαρροές κρίσιμων δεδομένων και να μη δημιουργούν πάρα πολλούς ψευδείς συναγερμούς (false alarms). Οι υφιστάμενες λύσεις DLP αποτελούν μια αρκετά μεγάλη υποδομή, η οποία απαιτεί αρκετό διαχειριστικό και τεχνικό κόστος και αυτό, διότι, για τη λειτουργία των συστημάτων DLP χρειάζονται διαφορετικά υποσυστήματα, μοντέλα και αλγόριθμοι αναγνώρισης κρίσιμων δεδομένων, καθώς και μηχανισμοί αναφορών (reporting tools) προκειμένου να μπορέσουν να καλύψουν ανάγκες που αφορούν στα δεδομένα, τα οποία βρίσκονται αποθηκευμένα, διακινούνται ή χρησιμοποιούνται από κάποια εφαρμογή.
Ίσως στο μέλλον θα μπορούσαμε να δούμε την ενσωμάτωση λογισμικού DLP σε υποδομές αποθήκευσης δεδομένων (storage infrastructure), με σκοπό την αναγνώριση των κρίσιμων δεδομένων που βρίσκονται αποθηκευμένα στις συγκεκριμένες υποδομές, χωρίς να υπάρχει ανάγκη για ξεχωριστή λύση DLP.

Ανάλυση αγοράς λύσεων DLP
Η πιο αποτελεσματική λύση DLP, ιδανικά, είναι αυτή που αποτελείται από τα καλύτερα επιμέρους εργαλεία που χρησιμοποιούν οι διάφορες λύσεις, οι οποίες κυκλοφορούν στην αγορά. Φυσικά, αυτό δεν μπορεί να πραγματοποιηθεί, τόσο λόγω των θεμάτων διαλειτουργικότητας, όσο και λόγω της διαφορετικής προσέγγισης που υπάρχει από κάθε προμηθευτή. Στο μέλλον, αναμένεται οι λύσεις DLP να αποτελέσουν μέρος μιας ευρύτερης λύσης, που θα αφορά στην προστασία των κρίσιμων εταιρικών δεδομένων. Με τον τρόπο αυτό, θα μειωθεί το λειτουργικό κόστος που προκύπτει από τη διαχείριση & συντήρηση πολλών διαφορετικών λύσεων προστασίας των δεδομένων. Το παραπάνω αποτελεί και μέρος των απαιτήσεων για τη μελλοντική κατεύθυνση των τεχνολογιών προστασίας των δεδομένων, όπως αυτές προκύπτουν από τις διάφορες έρευνες που αφορούν στους επαγγελματίες του χώρου της Ασφάλειας Πληροφοριών.
Η συγκεκριμένη απαίτηση έχει γίνει αντιληπτή από τους προμηθευτές λύσεων ασφάλειας πληροφοριών και η αγορά προσανατολίζεται σε ενοποίηση λύσεων και τεχνολογιών, με σκοπό την ολοκληρωμένη προστασία των εταιρικών πληροφοριών με χρήση μίας και όχι διαφορετικών υποδομών.
Αυτό εξηγεί και το γεγονός της εξαγοράς των μικρού μεγέθους εταιρειών παροχής λύσεων DLP, από τις παραδοσιακά μεγαλύτερες εταιρείες του χώρου, την προηγούμενη χρονιά. Για παράδειγμα, η Cisco Systems εξαγόρασε την εταιρεία Iron Port Systems, η RSA Security εξαγόρασε την εταιρεία Tablus, η McAfee εξαγόρασε τις εταιρείες Onigma και SafeBoot, η Raytheon εξαγόρασε την εταιρεία Oakley Networks, η Symantec εξαγόρασε τη μεγαλύτερη από τις εταιρείες του χώρου στην Αμερική, την εταιρεία Vontu, η Trend Micro εξαγόρασε την εταιρεία Provilla και η Websense εξαγόρασε τις εταιρείες PortAuthority Technologies & SurfControl.
Οι μεγαλύτεροι προμηθευτές λύσεων Ασφάλειας πληροφοριών έχουν εντάξει και λύσεις DLP στη φαρέτρα τους. Οι ειδικοί λένε ότι η παγκόσμια αγορά λύσεων DLP, το 2008 θα αγγίξει τα 100.000.000 δολάρια παγκοσμίως. Ορισμένοι από τους ειδικούς υποστηρίζουν ότι η υιοθέτηση λύσεων DLP θα είναι περιορισμένη. Η μεγαλύτερη πρόκληση είναι να πεισθούν οι επιχειρήσεις ότι η διαδικασία ταξινόμησης του τεράστιου όγκου των δεδομένων που διαθέτουν, αλλά και η επιβολή συγκεκριμένων κανόνων στα κρίσιμα εταιρικά δεδομένα, αξίζει το χρόνο και τα χρήματα που θα δαπανηθούν. Εξάλλου, οι λύσεις DLP δεν μπορούν να λειτουργήσουν αποτελεσματικά, αν δεν προηγηθεί διαδικασία ταξινόμησης των εταιρικών δεδομένων και αν δεν υπάρχει συγκεκριμένη Πολιτική και Διαδικασίες για τη διαχείριση των κρίσιμων εταιρικών δεδομένων.
Από την άλλη πλευρά, το θεσμικό και νομικό πλαίσιο σε παγκόσμιο επίπεδο, φαίνεται ότι θα βοηθήσει την αγορά στην εξάπλωση των λύσεων DLP.
Συμπέρασμα
Η προστασία των εταιρικών δεδομένων δεν επιτυγχάνεται μόνο με την υλοποίηση λύσεων DLP, DRM, κρυπτογράφησης κτλ. Χρειάζεται μεθοδευμένη προσέγγιση, η οποία αφορά στην προστασία των δεδομένων όπου και αν αυτά βρίσκονται και από όποιον και αν αυτά είναι προσπελάσιμα. Μια τέτοια προσέγγιση χρειάζεται να χτιστεί γύρω από τη θεώρηση ότι στο επίκεντρο της προστασίας είναι τα δεδομένα (και όχι απλά τα πληροφοριακά συστήματα ενός Οργανισμού), όπου και αν αυτά βρίσκονται, ακόμα και εκτός των ‘ηλεκτρονικών τειχών’ του Οργανισμού. Έχοντας ενστερνιστεί την παραπάνω θεώρηση, γίνεται αντιληπτό ότι λύσεις που επικεντρώνονται στο σταθμό εργασίας του τελικού χρήστη (end user) δεν είναι αρκετές για να προστατευτούν επαρκώς τα επιχειρησιακά δεδομένα και να σταματήσει η διαρροή τους προς μη εξουσιοδοτημένους χρήστες. Μια ολοκληρωμένη προσέγγιση απαιτεί η προστασία των δεδομένων να ξεκινά από τον πληροφοριακό πόρο που αυτά αποθηκεύονται και επεξεργάζονται, δηλαδή από τα ίδια τα πληροφορικά συστήματα και τις εφαρμογές. Επίσης, απαιτεί τις κατάλληλες διαδικασίες που θέτουν τους κανόνες, βάσει των οποίων επιλέγονται οι παραπάνω τεχνολογίες προκειμένου να επιβάλουν τους κανόνες αυτούς.

Μία αποτελεσματική προσέγγιση για την προστασία των εταιρικών πληροφοριών αποτελείται από τα ακόλουθα:

• Αξιολόγηση των κινδύνων που αφορούν στην ασφάλεια πληροφοριών.
• Προσδιορισμό και ταξινόμηση των εμπιστευτικών εταιρικών πληροφοριών.
• Ανάπτυξη κανόνων και διαδικασιών προστασίας των εταιρικών πληροφοριών.
• Εγκατάσταση λύσεων ικανών να επιβάλουν τους κανόνες και τις πολιτικές ασφάλειας.
• Ενημέρωση και εκπαίδευση προσωπικού, με σκοπό τη δημιουργία κουλτούρας σχετικά με την εναρμόνιση με την πολιτική ασφάλειας.
• Ενσωμάτωση των κανόνων και διαδικασιών ασφάλειας πληροφοριών, στην καθημερινή λειτουργία της εταιρείας.
• Συνεχή έλεγχο και επιθεώρηση της τήρησης της πολιτικής ασφάλειας, αλλά και της αποτελεσματικότητας των δικλείδων ασφάλειας.

Οι λύσεις DLP αποτελούν μέρος της παραπάνω διεργασίας – και όχι τρόπο ολοκληρωμένης αντιμετώπισης του προβλήματος της προστασίας των εμπιστευτικών πληροφοριών. Είναι τεχνολογία, η οποία βρίσκεται σε αρχικό στάδιο ωρίμανσης, αλλά εξαπλώνεται αρκετά γρήγορα. Η έννοια της Πρόληψης Διαρροής Εταιρικών Πληροφοριών είναι κάτι παραπάνω από ένα αυτοματοποιημένο εργαλείο, είναι ένα σύνολο κανόνων και τεχνολογίας εναρμονισμένης με τους κανόνες που αφορούν στην πρόληψη διαρροής των Εταιρικών Πληροφοριών. Η λειτουργία λύσεων DLP είναι ένα μέσο επίτευξης του στόχου, αλλά ακόμα, από μόνη της η τεχνολογία αυτή δεν μπορεί να μας διασφαλίσει αξιόλογο ποσοστό επίτευξης του τελικού στόχου. Οι ενδείξεις από τις εγκαταστάσεις κυρίως σε Αμερική και δευτερευόντως σε Ευρώπη, δείχνουν ότι η τεχνολογία είναι προς τη σωστή κατεύθυνση, αλλά προς το παρόν υλοποιεί αξιόπιστα τις βασικές λειτουργίες ενός συστήματος DLP και όχι τα υπόλοιπα ΄μαγικά’ χαρακτηριστικά τους. Μεγάλες εταιρείες παροχής λύσεων ασφάλειας πληροφοριών έχουν μπει δυναμικά στο συγκεκριμένο χώρο είτε αναπτύσσοντας είτε εξαγοράζοντας εταιρείες που έχουν αναπτύξει λύσεις DLP. Στόχος τους είναι η δημιουργία ενός και μόνο λογισμικού, το οποίο θα εγκαθίσταται στους Η/Υ των χρηστών, θα ελέγχεται κεντρικά και θα μπορεί να συνδυάζει τη λειτουργικότητα λύσεων Antivirus, Network Access Control, firewall, host IPS και DLP. Έχουμε χρόνο ως εκεί, όμως.
Log off
Η εγκατάσταση μιας λύσης DLP αποτελεί ένα από τα βήματα για την προστασία των Εταιρικών Πληροφοριών, από Διαρροή προς μη εξουσιοδοτημένους αποδέκτες. Αποτελεί μία από τις τεχνολογίες που βοηθούν στην προστασία των πληροφοριών και σαν τέτοια πρέπει να αντιμετωπίζεται αλλά και να προωθείται τόσο από τις εταιρείες τεχνολογίας DLP, αλλά πρωτίστως από τους υπεύθυνους για την ασφάλεια των πληροφοριών των Οργανισμών.

Παραπομπές
Data drain – [Rich Mogul, Information Security Magazine, 2008]
New Technology Prevents Data Leakage – [George Lawton, IEEE Computer Magazine, 2008]
7 Requirements of Data Loss Prevention – [Symantec Corporation, 2008]

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.