Ako chrániť verejne citlivé informácie

Slo­ven­sko i Čes­ká re­pub­li­ka sú zná­me tým, že sa v nich sko­ro nič neu­ta­jí. Pre­pi­sy po­li­caj­ných vý­slu­chov, nah­ráv­ky te­le­fo­nic­ké­ho od­po­čú­va­nia, dô­ver­né do­ku­men­ty zo štát­nych in­šti­tú­cií - to všet­ko je dnes v pod­sta­te ve­rej­né, ak si dá­te tro­chu prá­ce a preh­ľa­dá­te inter­net.

Od spus­te­nia server­a Wiki­Leaks (a je­ho čes­ké­ho va­rian­tu Pi­ra­te­Leaks) sa však pre zve­da­vú ve­rej­nosť sta­la si­tuácia eš­te ove­ľa jed­no­duch­šou. Tie­to server­y zhro­maž­ďu­jú a pub­li­ku­jú cit­li­vé in­for­má­cie zís­ka­né väč­ši­nou ano­nym­nou ces­tou tak z veľ­kých me­dzi­ná­rod­ných kor­po­rá­cií a vlád­nych in­šti­tú­cií, ako aj z lu­hov a há­jov čes­kej a slo­ven­skej štát­nej a ve­rej­nej sfé­ry. Ako nap­rík­lad sa­mi auto­ri server­a Pi­ra­te­Leaks tvr­dia, me­dzi zve­rej­ňo­va­ním úda­jov bu­dú nap­rík­lad aj „...dá­ta chyb­ne za­bez­pe­če­né na štát­nych i súk­rom­ných server­och". Vzhľa­dom na to, že som mal mož­nosť vďa­ka svo­jej prá­ci vi­dieť mno­ho server­ov ob­sa­hu­jú­cich cit­li­vé in­for­má­cie vrá­ta­ne ich (ne)bez­peč­nos­ti, ča­ká nás roz­hod­ne cel­kom „za­ují­ma­vá" do­ba. Ale­bo as­poň niek­to­rých z nás.

Ak sa nech­ce­te vy ani va­ša in­šti­tú­cia na uve­de­ných server­och zvi­di­teľ­ňo­vať, je naj­vyš­ší čas za­čať sa veľ­mi váž­ne za­obe­rať za­bez­pe­če­ním va­šich cit­li­vých dát pred ich úni­kom a nás­led­ným zve­rej­ne­ním na pi­rát­skom ale­bo inom server­i. A som si is­tý, že v kaž­dej in­šti­tú­cii sa náj­de dosť a dosť do­ku­men­tov, kto­ré by ste nao­zaj ne­ra­di s kým­koľ­vek „zvon­ku" zdie­ľa­li. Poď­me sa te­da v rých­los­ti po­zrieť na to, ako to do­cie­liť.

Ka­te­go­ri­zá­cia dát
V pr­vom ra­de tre­ba zre­vi­do­vať spô­sob, ako ka­te­go­ri­zu­je­te in­for­má­cie, kto­rých je va­ša in­šti­tú­cia ma­ji­te­ľom či spra­vo­va­te­ľom. Ka­te­go­ri­zá­ciou tu mys­lím ur­če­nie ma­ji­te­ľa kon­krét­nych in­for­má­cií a nás­led­ne ich hod­no­ty z poh­ľa­du ich prí­pad­nej stra­ty a zneu­ži­tia. Iba ma­ji­te­lia da­ných in­for­má­cií to­tiž mô­žu správ­ne ur­čiť úro­veň ich cit­li­vos­ti a spô­so­by nak­la­da­nia s dá­ta­mi. Bež­ne je tak ma­ji­te­ľom osob­ných úda­jov za­mes­tnan­cov niek­to z per­so­nál­ne­ho od­de­le­nia, ma­ji­te­ľom fi­nan­čných dát niek­to z fi­nan­cií, ma­ji­te­ľom ob­chod­ných dát napr. ria­di­teľ ob­chod­né­ho od­de­le­nia atď. Po­zor, od­de­le­nie in­for­mač­ných tech­no­ló­gií väč­ši­nou nie je ma­ji­te­ľom tých­to in­for­má­cií, ale iba ich spra­vo­va­te­ľom. Spra­vo­va­teľ však neur­ču­je to, ako sa s da­ný­mi in­for­má­cia­mi mô­že za­ob­chá­dzať, ale len za­bez­pe­ču­je po­žia­dav­ky na sprá­vu tých­to dát zo stra­ny ich ma­ji­te­ľov.

Lo­ka­li­zá­cia dát
Dru­hý krok v ochra­ne cit­li­vých dát je zis­te­nie, kde vša­de sa tie­to in­for­má­cie na­chá­dza­jú. Mno­ho ľu­dí, s kto­rý­mi som mal mož­nosť na tú­to té­mu ho­vo­riť, je pres­ved­če­ných, že ich cit­li­vé in­for­má­cie sú bez­peč­ne ulo­že­né len a len v pre­vádz­ko­vých da­ta­bá­zach pod ap­li­ká­cia­mi, kto­ré s tý­mi­to dá­ta­mi pra­cu­jú. Opak je však prav­da. Už ve­ľak­rát som bol sved­kom to­ho, že veľ­mi cit­li­vé in­for­má­cie sa dos­lo­va po­va­ľo­va­li na ne­za­bez­pe­če­ných sú­bo­ro­vých server­och, v sú­bo­roch na po­čí­ta­čoch jed­not­li­vých za­mes­tnan­cov, v ich e-mai­lo­vých schrán­kach atď. Tie­to mies­ta však väč­ši­nou vô­bec nespĺňa­jú po­žia­dav­ky na bez­peč­nosť ta­kých­to úda­jov a cit­li­vé in­for­má­cie sú tak vy­sta­ve­né na­pos­pas vô­li za­mes­tnan­cov, v hor­šom prí­pa­de aj náv­štev­ní­kov da­nej in­šti­tú­cie. Áno, aj to­ho som bol sved­kom.

De­fi­ní­cia po­žia­da­viek, vý­ber rie­še­ní
Až tre­tí krok je vý­ber vhod­ných pro­ces­ných a tech­nic­kých pros­tried­kov na ochra­nu cit­li­vých dát. Kým to­tiž ne­vie­te, kto je ma­ji­te­ľom jed­not­li­vých in­for­má­cií, aké po­žia­dav­ky sa kla­dú na ich ochra­nu a prá­cu s ni­mi, kde vša­de sa tie­to in­for­má­cie na­chá­dza­jú, ne­dá sa poh­núť z mies­ta. No ak má­te to­to už pod kon­tro­lou, mô­že­te za­čať navr­ho­vať jed­not­li­vé po­žia­dav­ky a za­čle­niť ich do va­šich pro­ce­sov a tech­no­ló­gií.

Z poh­ľa­du bez­peč­nos­tných tech­no­ló­gií slú­žia­cich na za­bez­pe­če­nie dát má­te k dis­po­zí­cii veľ­mi ši­ro­kú šká­lu rie­še­ní - od auten­ti­zá­cie a auto­ri­zá­cie pou­ží­va­te­ľov, šif­ro­va­nie cez to­ke­ni­zá­ciu, audit prís­tu­pu k dá­tam až po fy­zic­ké za­me­dzenie ich prí­pad­nej dis­tri­bú­cie. Na všet­ky spo­mí­na­né spô­so­by ochra­ny dát exis­tu­je dnes nie­koľ­ko tech­no­ló­gií od rôz­nych do­dá­va­te­ľov, je te­da z čo­ho vy­be­rať.

Po­kiaľ ide o auten­ti­fi­ká­ciu a auto­ri­zá­ciu pou­ží­va­te­ľov, roz­hod­ne je na­ča­se vo vy­bra­ných sys­té­moch pra­cu­jú­cich s cit­li­vý­mi dá­ta­mi za­viesť dvoj- či viac­fak­to­ro­vú auten­ti­zá­ciu. Mô­že ísť o auten­ti­zá­ciu na bá­ze jed­no­ra­zo­vých he­siel, o adap­tív­nu auten­ti­fi­ká­ciu ale­bo bio­me­triu, skrát­ka čo­koľ­vek, čo bu­de bez­peč­nej­šie a audi­to­va­teľ­nej­šie než dneš­né pou­ží­va­teľ­ské me­ná a sta­tic­ké hes­lá. Aj v prí­pa­de, že má­te dnes po­li­ti­ku sil­ných he­siel, nič ne­zab­rá­ni va­šim za­mes­tnan­com zdie­ľať (čo je úpl­ne bež­ná prax) a tým v pod­sta­te deg­ra­do­vať zmy­sel ich pou­ži­tia. O audi­to­va­teľ­nos­ti ta­ké­ho­to pros­tre­dia ani ne­ho­vo­riac.

Čo tý­ka sa šif­ro­va­nia cit­li­vých dát, o tom už bo­lo na­pí­sa­né nes­po­čet­né množ­stvo člán­kov, štú­dií a kníh. Spo­me­niem te­da len to pod­stat­né - šif­ruj­te len veľ­mi se­lek­tív­ne. Roz­hod­ne ne­má ce­nu šif­ro­vať ce­lý sú­bo­ro­vý server, ak len je­den z je­ho ad­re­sá­rov ob­sa­hu­je cit­li­vé dá­ta. Rov­na­ko tak ne­má ce­nu šif­ro­vať ce­lú da­ta­bá­zu, keď iba dva stĺpce v jed­nej zo sto­viek jej ta­bu­liek ob­sa­hu­jú cit­li­vé dá­ta. Vždy sa snaž­te šif­ro­va­nie ob­me­dziť len na tie dá­ta, kto­ré to vy­ža­du­jú. Ušet­rí­te tak ne­má­lo pros­tried­kov pri ob­sta­rá­va­ní, sprá­ve a pre­vádz­ke šif­ro­va­cích tech­no­ló­gií a sú­čas­ne bu­de­te mať nao­zaj cit­li­vé dá­ta pod kon­tro­lou.

To­ke­ni­zá­cia je re­la­tív­ne no­vý spô­sob ochra­ny cit­li­vých dát, kto­rý je za­lo­že­ný nie na šif­ro­va­ní, ale na zá­me­ne cit­li­vých dát za iné, „ne­cit­li­vé" dá­ta. To­ke­ni­zá­cia sa už veľ­mi čas­to pou­ží­va vo fi­nan­čnom sek­to­re pri ochra­ne čí­sel kre­dit­ných ka­riet a v štát­nej sprá­ve na ochra­nu osob­ných in­for­má­cií. Pos­tu­pom ča­su však za­ča­li to­ke­ni­zá­ciu vy­uží­vať aj ďal­šie in­šti­tú­cie na ochra­nu ni­mi spra­cú­va­ných dát. Za­ují­ma­vé je ta­kis­to spo­je­nie to­ke­ni­zá­cie so šif­ro­va­ním, čo za­bez­pe­čí ove­ľa vy­ššiu mie­ru ochra­ny tých naj­cit­li­vej­ších dát.

Pra­vi­del­ný (ideál­ne prie­bež­ný) bez­peč­nost­ný audit ce­lé­ho pros­tre­dia sa dnes už tiež stal v pod­sta­te ne­vyh­nut­ným. Či už pot­re­bu­je­te audi­to­vať prís­tu­py pou­ží­va­te­ľov k va­šim webo­vým por­tá­lom, ap­li­ká­ciám, sú­bo­rom, da­ta­bá­zam a sie­ťo­vým služ­bám, ale­bo si dá­vať in­for­má­cie z tých­to zdro­jov do sú­vis­los­tí a mať schop­nosť na ne rých­lo rea­go­vať, uva­žuj­te o za­ve­de­ní vhod­né­ho sys­té­mu SIEM (Se­cu­ri­ty In­for­ma­tion and Event Ma­na­ge­ment). Ten vám za­bez­pe­čí nie­len všet­ko uve­de­né, ale sú­čas­ne za vás vy­ko­ná väč­ši­nu ma­nuál­nej prá­ce pri príp­ra­ve na inter­ný či exter­ný audit.

Ak si chce­te byť is­tí, že vám za­mes­tnan­ci pre svo­ju nez­na­losť ale­bo ne­zod­po­ved­nosť ne­vy­ná­ša­jú cit­li­vé dá­ta mi­mo za­bez­pe­če­ných sys­té­mov ale­bo do­kon­ca úpl­ne mi­mo va­šej in­šti­tú­cie, pou­va­žuj­te o rie­še­ní DLP (Da­ta Loss Pre­ven­tion). To vám po­mô­že nie­len so strá­že­ním prá­ce za­mes­tnan­cov s cit­li­vý­mi dá­ta­mi, ale sú­čas­ne vám zod­po­vie otáz­ku zo za­čiat­ku toh­to člán­ku: Kde vša­de má­me u nás cit­li­vé dá­ta ulo­že­né? Dob­ré rie­še­nia DLP sú to­tiž schop­né pra­co­vať na úrov­ni dá­to­vých cen­tier (preh­ľa­dá­va­nie dis­kov, sú­bo­ro­vých server­ov, da­ta­báz, nás­tro­jov na spo­lup­rá­cu a i.), na úrov­ni sie­te (mo­ni­to­ring po­hy­bu cit­li­vých dát) a na úrov­ni kon­co­vých bo­dov (jed­not­li­vé po­čí­ta­če a no­te­boo­ky za­mes­tnan­cov). Iba tak to­tiž nao­zaj zís­ka­te preh­ľad o tom, kto a ke­dy pris­tú­pil k da­ným in­for­má­ciám a čo s ni­mi mal v úmys­le ro­biť.

Cen­trál­na sprá­va
Štvr­tý krok pri ochra­ne cit­li­vých dát v in­šti­tú­cii je maximál­na cen­tra­li­zá­cia ria­de­nia bez­peč­nos­tných opat­re­ní, te­da pro­ce­sov a tech­no­ló­gií. V pos­led­nom ča­se sa pre tie­to rie­še­nia uja­la skrat­ka SOC (Se­cu­ri­ty Ope­ra­tions Cen­ter), kto­rá za­hŕňa in­teg­ro­va­ný mo­ni­to­ring dodr­žia­va­nia bez­peč­nos­tných po­li­tík na­prieč ce­lou in­šti­tú­ciou. Pre vy­šší ma­naž­ment sú po­tom k dis­po­zí­cii nás­tro­je ty­pu eGRC (Go­ver­nan­ce, Risk, Com­plian­ce), kto­ré kon­cen­tru­jú všet­ky in­for­má­cie o sta­ve in­šti­tú­cie z poh­ľa­du pro­ce­sov a ich dodr­žia­va­nia do jed­nej ob­ra­zov­ky. Tým umož­ňu­jú jed­not­li­vým ria­di­te­ľom a ďal­ším zod­po­ved­ným oso­bám (napr. audí­to­rom) okam­ži­tý poh­ľad na ak­tuál­nu si­tuáciu v in­šti­tú­cii z ma­na­žér­ske­ho hľa­dis­ka.

Všet­ky opí­sa­né kro­ky ve­dú­ce k ochra­ne va­šich cit­li­vých dát sú re­la­tív­ne kom­plexné a vy­ža­du­jú si vy­so­kú mie­ru zna­los­tí a skú­se­nos­tí v nie­koľ­kých od­bo­roch. Pre­to je pri všet­kých kro­koch vhod­né mať v rie­ši­teľ­skom tí­me nie­ko­ho „zvon­ku", te­da mi­mo in­šti­tú­cie, a to naj­mä z dô­vo­du glo­bál­nej­šie­ho a hlav­ne nes­tran­né­ho poh­ľa­du. Pre­to vždy na­šim zá­kaz­ní­kom od­po­rú­ča­me pro­jekt ale­bo as­poň je­ho časť zve­riť exter­né­mu sub­jek­tu zna­lé­mu da­nej prob­le­ma­ti­ky a skú­se­né­mu prá­ve v bez­peč­nos­tných audi­toch a v za­vá­dza­ní bez­peč­nos­tných pro­ce­sov a tech­no­ló­gií.

Ak má­te po pre­čí­ta­ní toh­to člán­ku po­cit, že ste niek­to­rý z uve­de­ných kro­kov sme­ru­jú­cich k bez­peč­nos­ti va­šich cit­li­vých dát za­tiaľ ne­vy­ko­na­li, od­po­rú­čam vám už ďa­lej ne­vá­hať. Nie je nič hor­šie ako náj­sť svo­je cit­li­vé dá­ta na ve­rej­ne prís­tup­nom a čas­to me­dia­li­zo­va­nom server­i.

Da­vid Matějů
Autor pra­cu­je ako Pre­sa­les En­gi­neer spo­loč­nos­ti RSA, The Se­cu­ri­ty Di­vi­sion of EMC.

Zdroj: Infoware 10/2011