Bár a leghangosabb IT-biztonsági hírek nemzetközi vállalatok feltöréséről vagy adatlopásairól szólnak, nem szabad azt hinni, hogy itthon nincs példa ilyesmire.
A Symantec kutatása szerint 2010-ben a vállalati adatszivárgás átlagos költsége elérte a 7,2 millió dollárt. Könnyű az ilyen eseteket rosszindulatú támadókra fogni, de a CDSYS és a Symantec közös rendezvényén kiderült: a védekezést nem csak külső fenyegetettségek ellen kell felkészíteni.
A pénz a fő motiváció ■ Ahogy
Teasdale Harold, a Symantec hazai képviseletének vezetője szerint mára teljesen átalakult az adatbiztonsági támadások motivációja. Míg 5-10 éve leginkább a károkozás, szolgáltatások leállítása volt a fő cél (például politikai vagy erőfitogtatási céllal), addig a mai incidensek legnagyobb része konkrét pénzszerzésre irányul. A Neckermann, a Citi Group, vagy épp a
Sony adatainak ellopása mögött a megszerzett információk értékesítése, vagy az azokkal történő közvetlen visszaélés volt a cél: a károkozók ezen esetekben már nem feltűnősködő kamaszok, hanem konkrét "megélhetési bűnözők".
A vállalatoknak azonban nem csak a külső veszélyekre kell felkészülniük, a belső "szivárogtatóknak" két típusa is problémákat okozhat. A jóhiszemű felhasználók számára sokszor az oktatás jelentheti a leggyorsabb megoldást: ők azok, akik hazaviszik és az asztalukon hagyják merevlemezeiket, pendrive-jaikat, gyanútlanul továbbküldenek bizalmas információkat emailben.
Ennél már jóval elővigyázatosabban kell eljárni azokkal szemben, akik belülről, ám szándékosan szivárogtatnak adatokat a vállalattól.
Egerszegi Krisztián, a CDSYS ügyvezető igazgatója szerint auditjaik során Magyarországon is találkoztak olyan céggel, ahol rábukkantak ilyen belső veszélyforrásra. Egy felmondási idejét töltő kolléga kihasználta, hogy - bár már ismert volt, hogy hasonló területen működő vállalathoz ül át - továbbra is minden céges adathoz hozzáfért, és másolta is nagy erőkkel, amit csak lehetett. A CDSYS épp az ilyen esetek elkerülése végett elindította
facebookos információs oldalát az adatszivárgás veszélyeivel, és az alkalmazható megoldásokkal kapcsolatban.
Rések a falon ■ Sajnos a tapasztalat még mindig az, hogy az adatbiztonság terén még mindig tart a válság Magyarországon. Sokan továbbra is a "vírusirtó" cimkével tartják nyilván a biztonsági feladatokat, és ez az egyik olyan témakör, amin a leggyakrabban spórolnak. A Symantec megoldása DLP 11 névre hallgat, melyben már a nemrég megvásárolt VeriSign által kifejlesztett megoldások is bővítik a lehetőségeket.
Az adatszivárgás elleni védelem megtervezése és implementálása azonban nem csak egy szoftver megvásárlásából áll: komoly, több lépésből álló folyamat, amely viszont hosszú távon meggátolja az információk kikerülésével, eltulajdonításával járó presztizsveszteséget, vagy akár konkrét anyagi károkat.
Lépésről lépésre ■ Az adatszivárgás elleni védelem alapvetően a kockázatfelméréssel kezdődik, amelynek segítségével megtervezzük, frissítjük vagy erősítjük információvédelmi stratégiánkat. A bizalmas adatok azonosítása és besorolása ugyancsak alapvető lépés, hiszen a megfelelő stratégiához meg kell határoznunk, hogy melyik információ milyen típusú védelmet kíván. Ezután jöhet a szabályok és a folyamatok megtervezése, amit egy konfigurálható, de az adott szoftverben előre beépített sablon alkalmazásával ma már automatikus szabályzattervező eszközök is képesek kialakítani.
Az olyan adatvédelmi szabályozás, amelynek ellenőrzése és betartatása nem biztosított, inkább veszélyt jelent, mintsem megoldást, ezért a következő lépésben hasznos lehet a szabályozás betartására szolgáló automatizált technológiák használata. A nemrégiben kifejlesztett és jelenleg terjedőben lévő monitorozó, megfigyelő technológiák képesek arra, hogy a felhasználók viselkedését a megfelelő irányba tereljék, így biztosítva a következetes és hatékony védelmet.
Fontos lépés az adatszivárgás elleni védelemben az érintettek képzése és a megfelelőség kultúrájának kialakítása, ugyanis ezek a megoldások csak olyan vállalati kultúrában hatásosak, ahol a dolgozók személyes felelősséget vállalnak a cég értékes szellemi tulajdonáért. A képzés célja, hogy megtanítsa az érintetteknek, hogyan teljesítsék a kötelezettségeiket, a bizalmas adatok osztályozásától az ügyfelektől való adat átvételén keresztül a vállalati megbeszélések tartalmáig. A tréningeknek meg kell ismertetniük a felhasználókkal az információvédelmi eszközöket és technológiákat is.
A következő lépésben arra kell koncentrálnunk, hogy az eddig taglalt adatvédelmi eljárásokat és alkalmazásokat megfelelően integrálni tudjuk az üzleti folyamatokba. A menedzsmentnek olyan környezetet kell teremtenie, amelyben az adatvédelem a mindennapi rutin része, legyen szó termékfejlesztésről, marketingtervek kidolgozásáról, pénzügyi elemzésről, értékesítési telefonhívásokról, beszerzésről vagy toborzásról.
Az adatvédelmi stratégia alapinfrastruktúrájának elkészülte után az auditálás következik, amelynek célja, hogy megbizonyosodjunk a vállalat által elfogadott információvédelmi eljárások és gyakorlatok következetes és eredményes végrehajtásáról. Ennél a lépésnél egy másik vizsgálat is lehetővé válik, amelynek keretében egy specifikus felderítő és monitorozó szoftver segítségével a szervezet nyomon követheti, ki, milyen adatot, mikor, honnan és kinek küld elektronikusan, ezáltal megállapítható a szabályozás és a tréning hatékonysága is.
Az adatszivárgás elleni védelem utolsó pontjaként hosszú távú stratégiát kell kialakítanunk, amelyben meg kell fogalmaznunk jövőbeli adatvédelmi igényeinket, lépést kell tartanunk az egyre növekvő kihívásokkal és naprakészen kell tartanunk a felhasználói adatbázisokat. Érdemes megfontolni a speciálisan erre a területre összpontosító szakértők alkalmazását az adatok biztonságának felméréséhez.