Ochrana údajů v malých podnicích: priorita, nebo "drobnosti"?

Často slýcháme o únicích důvěrných informací z velkých společností a o opatřeních, která přijímají k minimalizaci rizik bezpečnostních incidentů. Současně se však média téměř nezabývají otázkou bezpečnosti informací v malých podnicích.

Obávají se malé společnosti problému informační bezpečnosti? A pokud ano, jak se s tímto problémem vypořádávají? Jakou roli hrají systémy DLP (Data Loss Prevention) v bezpečnostních okruzích malých firem? Pro zodpovězení těchto otázek se obracíme na odborníky z oblasti informační bezpečnosti a malých podniků.

Než se začneme zabývat otázkou používání softwaru pro monitorování zaměstnanců v malých firmách, je důležité zjistit, které informace přesně chtějí chránit. Manažer obchodního rozvoje společnosti Greatment Inc. Stephen Lawson o tom hovoří podrobně:

"V dnešní době informačních technologií se problém ochrany dat týká téměř každého účastníka procesu výměny informací. To se jistě týká velkých a středních firem i malých podniků, jednotlivých podnikatelů i běžných lidí. Základním kamenem bezpečnosti je správně definovaný a klasifikovaný předmět ochrany. Tím mohou být data (například plány rozvoje firmy, finanční výkazy, popis používaných technologií, vynálezy), informační systémy (HR, CRM, ERP, BI, finanční a výrobní systémy), obchodní procesy (výrobní technologie), ale i lidé (zaměstnanci s jedinečnými schopnostmi, klíčoví hráči). Některé předměty ochrany jsou vymezeny také podle regulatorních požadavků (např. bankovní tajemství, osobní údaje). Volba metod a opatření ochrany závisí na pochopení toho, co je třeba chránit, před kým je to třeba chránit, kde je to třeba chránit a k jakým důsledkům může vést nesprávná ochrana. Úplnost a kvalita simulace bezpečnostních hrozeb, stejně jako potřebná opatření, určí výši vynaložených nákladů společnosti v dlouhodobém horizontu. Bez ohledu na velikost podniku by nastavení ochrany proti bezpečnostním hrozbám mělo být prováděno systematicky, to znamená, že by se mělo začít s vypracováním souboru opatření, která umožní ochranu proti hrozbám v závislosti na míře negativních důsledků, které mohou nastat. Je nutné zavést ochranu dat a vytvořit organizační procesy, které přidělí odpovědnost určitým osobám ve společnosti. Například v případě velmi malých firem hovoříme o vytvoření několika předpisů o bezpečnosti informací, instalaci antivirového softwaru, šifrování kritických dat a poučení zaměstnanců o tom, jak pracovat s citlivými informacemi."

Pro ochranu různých dat mohou společnosti zavést systém DLP. Názory odborníků se však rozcházely v tom, zda je použití DLP v případě malých podniků opodstatněné, či nikoli.

, vedoucí analytik, Symbolitics:

"Systémy DLP jsou potřeba i v malých firmách: realita ukazuje, že k úniku důvěrných dat může dojít ve firmě jakékoli velikosti. Navíc existuje obrovské množství typů dat. Obchodní tajemství, unikátní návrhy, technologické specifikace - takové informace obvykle chrání velké a střední firmy. Malé podniky často pracují s osobními údaji, tj. cestovní kanceláře, pojišťovny, advokátní kanceláře - ty se o bezpečnost získaných informací musí starat.

Proto je DLP nezbytná nejen v korporacích, ale ve firmách všech velikostí. Systém DLP je samozřejmě poměrně drahý software. Pro menší společnosti je to rozhodující faktor a hledají cenově dostupnější řešení. Proto současný trh zažívá nárůst popularity produktů pro monitorování zaměstnanců. Tyto systémy pomáhají udržovat disciplínu zaměstnanců, vyhledávat problémy v podnikových procesech a částečně řešit problém DLP. "

, vedoucí oddělení informační bezpečnosti profesionálního poskytovatele hostingu Starrhost:

"Po nápadech na ochranu informací je vždy poptávka, a to na jakékoli úrovni. Přestože kompetentní využívání řešení DLP vede v konečném důsledku ke snížení nákladů a výdajů, malé podniky raději omezují bezpečnostní opatření na vytváření organizačních opatření a pracují s nimi až do bodu zlomu."

, vedoucí oddělení informační bezpečnosti ve společnosti Curso:

"Na rozdíl od klasických bezpečnostních opatření, jako jsou firewally, antivirový software, kryptografická ochrana, se řešení DLP stále vyvíjejí a snaží se přilákat zájem zákazníků na trh. Důvodů je několik. Za prvé, většina řešení tohoto druhu je spojena se značnými náklady na nákup (včetně hardwarové komponenty), na implementaci a také na nábor a školení personálu, který systém DLP obsluhuje. To vše nakonec vede k tomu, že DLP je pro společnost ekonomicky neúnosné. Za druhé je to nedostatečné povědomí veřejnosti o existenci a možnostech systémů DLP a také stále palčivý problém nedostatečné pozornosti k problematice zajištění informační bezpečnosti. To se týká zejména malých podniků, které se často vyznačují nedostatkem specializovaných bezpečnostních specialistů, častým používáním osobních zařízení zaměstnanci pro řešení pracovních problémů apod. K zavedení mechanismů prevence úniku důvěrných dat mohou malé podniky využít DLP jako službu poskytovanou specializovanými organizacemi."

, finanční ředitel společnosti Estation Inc:

"Malé a střední podniky se často zajímají o řešení DLP, ale ne vždy rozumí jejich skutečným vlastnostem a podmínkám nezbytným pro jejich efektivní fungování. Požadavky, které malé firmy na takový software kladou, jsou obvykle nereálné. Pokud nebereme v úvahu výjimečné případy, kdy jsou vedoucí pracovníci ochotni osobně procházet téměř každý e-mail a další přeposílaná data, mají malé firmy tendenci očekávat, že systémy DLP "samy" odhalí bezohlednost zaměstnanců: případy úplatkářství, předávání obchodních dat konkurenci apod. Žádný systém DLP však nemá vlastní inteligenci a nedokáže posoudit hodnotu shromážděných informací. Veškeré kontrolní parametry musí zadávat uživatelé systému (zpravidla se jedná o službu ekonomického zabezpečení firmy). Vyžaduje to alespoň minimální technické znalosti, pochopení podnikových procesů a hodnoty různých dat, adekvátní posouzení rizik, určité pochopení psychologie potenciálních pachatelů, neustálé sledování a nastavování (jinými slovy, strávení spousty pracovních hodin). DLP je pouze nástrojem v rukou bezpečnostních pracovníků. A jako každý sofistikovaný nástroj mají i systémy DLP určité požadavky na úroveň kvalifikace osoby, která je používá. "

, vedoucí oddělení vývoje produktů systémového softwaru:

"Malé podniky často nepoužívají systém DLP, protože obvykle nemají dostatek finančních prostředků. Navíc v malých firmách se lidé obvykle dobře znají a vztahy na pracovišti jsou obvykle důvěrné. V procesu rozvoje a s nárůstem fluktuace zaměstnanců začínají firmy uvažovat o monitorování zaměstnanců a systémech DLP. K tomu obvykle dochází, když se společnost rozroste na 200-300 počítačů. V důsledku toho potenciální kupující uvažují především o zjednodušeném systému, kde DLP je spíše jen doplňkem než základem."

, marketingový manažer společnosti Security code LLC:

"Poptávka po systémech DLP a dalších prostředcích zabezpečení informací v malých podnicích je poměrně omezená. Je to dáno tím, že zavedení takového systému vyžaduje nejen investice, ale také určitou úroveň znalostí problematiky informační bezpečnosti. Vedení by mělo jasně chápat, jaká data jsou důvěrná, kdo k nim má mít přístup a kdo ne. Tento problém dalece přesahuje oblast odpovědnosti a kompetencí IT-administrátora. Přesto se v malých firmách zabývá informační bezpečností obvykle právě administrátor. Malé podniky se také vyznačují flexibilitou a vysokou citlivostí na náklady. Proto k zavedení plně funkčních typů řešení DLP téměř nikdy nedochází. Pokud si však firma pořídí multifunkční systém ochrany pracovní stanice, který obsahuje některé funkce DLP (obvykle kontrolu USB), pak tyto funkce využívá."

, Purposeidler Vedoucí projektu:

"Naše společnost se domnívá, že není třeba kontrolovat data (jako v klasických systémech prevence úniku informací), ale zaměstnance, kteří s těmito daty pracují. Tradiční kontrolní systémy mají řadu nevýhod. Zaprvé jsou těžké, složité a nákladné na implementaci. Pro malé podniky jsou tedy naprosto nepoužitelné. Za druhé, klasické systémy DLP monitorují práci s daty. Monitorování se provádí pro konkrétní soubory (podle názvu souboru) nebo data v informačních systémech společnosti podle určitého datového vzoru (například XXXX-XXXX-XXXX-XXXX pro čísla kreditních karet). Pokud tedy jednoduše změníte formát dat, systém DLP je nebude schopen sledovat. Pokud například změníte číslo kreditní karty z XXXX-XXXX-XXXX-XXXX na AXXXX, BXXXX, CXXXX, DXXXX, systém DLP to nebude považovat za důležité a půjde to do háje. Zatřetí, neustálé monitorování používání dat přetěžuje počítače zaměstnanců a zdroje společnosti. Pokud by systém DLP kontroloval všechna odchozí data, pak by jakékoli selhání vedlo k izolaci společnosti."

Někteří odborníci zaznamenali poptávku po systémech DLP mezi malými společnostmi, zatímco jiní se domnívají, že tato řešení nejsou v tomto segmentu populární. Pokusme se zjistit, jak velký je zájem o DLP mezi malými firmami ve srovnání s velkými a středními společnostmi.

, předseda klubu mladých podnikatelů, generální ředitel společnosti CloudSolutions:

"Řešení DLP budou užitečná jak pro velké společnosti, tak pro malé podniky, ale pouze jako jedno z preventivních opatření proti úniku informací. Takové programy jsou dobré pro zvyšování IT gramotnosti zaměstnanců, protože jejich podstata spočívá ve vyhodnocování rizik úniku informací. Za tímto účelem se analyzuje činnost v kanálech, kterými mohou data uniknout: e-mail, instant messengery a přímo web. Na základě obsahu a kontextu (protokol, aktivita, typ aplikace atd.) program dále generuje bezpečnostní politiku, podle které blokuje zprávy, hlásí porušení apod. Je důležité si uvědomit, že na rozdíl od firewallů řešení DLP neblokují přenos dat úplně, ale snaží se analyzovat lidskou činnost v síti, což ponechává firmám ještě vyšší pravděpodobnost úniku dat."

, předseda klubu mladých podnikatelů, generální ředitel společnosti CloudSolutions:

"Všechny společnosti mají zájem na ochraně informací. Přístupy k implementaci řešení DLP mohou být různé, ale "ztráta informací" se v 21. století téměř rovná "ztrátě peněz", takže je logické předpokládat, že myšlenka minimalizace tohoto rizika ztrát existuje v každé společnosti bez ohledu na její velikost."

"Zájem firem o systémy DLP závisí nejen na rozsahu jejich IT infrastruktury a objemu zpracovávaných dat. Primárně samozřejmě závisí na existenci informací, jejichž únik může způsobit škody, a na přítomnosti aktuálních hrozeb. Zájem o DLP tedy může být stejný jak ve velkých, tak v malých firmách. Velké společnosti však mají více možností a schopností tyto systémy využívat."

, vedoucí oddělení informační bezpečnosti společnosti "Expectronica" (I-Techio Inc.):

"V první řadě mají o systémy DLP zájem společnosti s dostatečnými finančními prostředky bez ohledu na jejich velikost. Mějte však na paměti, že DLP je pouze nástroj a to, zda bude skutečně využíván pro kontrolu a prevenci úniků, nebo zůstane pouze "plánem", závisí na mnoha faktorech: osobních ambicích manažerů odpovědných za bezpečnost informací, zkušenostech projektového týmu a jasné definici problému. Pro účinnost kontroly a prevence úniků je rozhodující kvalitní implementace. Je třeba poznamenat, že samotný rozsah systémů DLP je velmi choulostivý, realizaci takových projektů v mnoha společnostech zpomalují byrokratické a právní technické záležitosti a vysoké reputační riziko."

, obchodní ředitel společnosti SenseBox:

"Řešení DLP používají především velké firmy. A tyto systémy byly původně navrženy právě tak, aby splňovaly požadavky komplexního podnikového stroje. Potřeba ochrany dat je však stejná pro všechny: od začínajících firem až po velké podniky. A důležité zde není samotné rozhodnutí o úrovni softwaru, který majitelé firem používají, ale přístup k zabezpečení.

Systémy DLP původně vznikly z toho, co by se dalo nazvat paranoidním přístupem k bezpečnosti: když se snažíme znemožnit nebo zabránit nějaké akci. Představte si například, že ke vchodu do nákupního centra postavíme ochranku se psem, turniket, detektor kovů a zavedeme osobní prohlídky každého nakupujícího. DLP jako softwarový produkt je něco podobného. V civilizovaných zemích se lidé spoléhají na zákony, policii a soudy. A není třeba stavět ploty - můžete jít kamkoli. V případě, že si někdo dovolí porušit zákon, spustí se obvyklý obranný mechanismus: přijede policie a systém vymáhání práva zajistí nevyhnutelnost trestu.

Nikdo vám nebrání omezit přístup k důvěrným informacím pro některé zaměstnance formou zákona, doložky v pracovní smlouvě a tvrdých sankcí. Pokud tyto sankce a tresty převýší přínos z potenciální krádeže informací, většina zaměstnanců se myšlenky na krádež vzdá."

"Podle mého názoru mají velké společnosti větší zájem o používání řešení DLP, lépe chápou, k čemu může být takový systém užitečný, a mají dostatek prostředků pro efektivní využívání systémů DLP. V poslední době se na trhu objevila řešení, která využívají vědecký pokrok v oblasti umělé inteligence, strojového učení a analýzy velkých objemů dat, aby usnadnila práci bezpečnostních specialistů a snížila úroveň jejich kvalifikačních požadavků. Čas ukáže, jak tato řešení přispějí k většímu rozšíření systémů DLP mezi malými a středními podniky."

"Střední a velké společnosti (zejména pokud se jedná o finanční sektor) mají častěji zájem o používání systémů DLP. Pro rostoucí společnost je stále obtížnější kontrolovat transakce a soukromí zaměstnanců. A v této situaci můžete snadno přehlédnout únik informací nebo to, že některý zaměstnanec (který z nějakého důvodu ztratil loajalitu) hodlá poškodit vaši firmu. Žádný systém bohužel nedokáže zcela zabránit přímým útokům na firemní data, může však tento proces výrazně zkomplikovat, čímž se únik informací stane méně výhodným a pro pachatele rizikovějším."

, vedoucí oddělení informační bezpečnosti ve společnosti KRAKE:

"O systémy DLP mají zájem všichni účastníci trhu (velké korporace i segment malých a středních podniků), protože rizika úniku informací jsou přítomna ve všech společnostech. Zároveň mohou být důsledky úniku dat pro SMB-segment mnohem ničivější než pro velké korporace. Pro první z nich může únik dat snadno vést ke ztrátě klíčové konkurenční výhody a následně k ukončení podnikání. V případě velké korporace jde nejčastěji o reputační a finanční ztráty."

"Zájem o používání nejen systémů DLP, ale i dalších řešení informační bezpečnosti závisí na velikosti společnosti, ale především na úrovni její vyspělosti. Čím více si společnost uvědomuje hodnotu svých dat (pro sebe i pro své konkurenty), tím uvědoměleji zavádí strategii informační bezpečnosti s ohledem na ochranu dat. Seznam nezbytných opatření v tomto případě nespočívá pouze v zavedení prostředků informační bezpečnosti, ale v reformě podnikových procesů s cílem snížit riziko úmyslného úniku nebo náhodné ztráty dat.

A teprve když jsou definovány obchodní procesy, v nichž bude systém DLP instalován, začíná jeho implementaci ovlivňovat velikost společnosti. Je zřejmé, že velká společnost může na takový projekt vynaložit více peněz, ale také technické požadavky budou vyšší."

Názory odborníků se opět rozcházejí. Na jedné straně se někteří domnívají, že neexistuje souvislost mezi velikostí společnosti a mírou jejího zájmu o využívání DLP, na druhé straně se někteří odborníci domnívají, že o tyto systémy je největší zájem ve velkých korporacích. V obou případech se však odborníci shodují na tom, že existují i malé společnosti, které považují bezpečnost informací za jednu ze svých priorit, a lze je tedy považovat za potenciální uživatele systémů DLP. Jaké jsou tedy požadavky malých firem na takové systémy?

"Velcí zákazníci obvykle volí "chytrá" a drahá řešení DLP. Malé společnosti jsou obvykle ochotny pracovat s těmito systémy v "manuálním" režimu, bez možnosti automatizace, pokud je toto řešení cenově mnohem dostupnější. Z tohoto důvodu se v malých a středních firmách všechny incidenty vyšetřují zpětně."

"Pomineme-li samozřejmou otázku ceny softwaru, která je v tomto segmentu informační bezpečnosti nejdůležitější, a zaměříme se na funkčnost, pak je třeba dát přednost "všežravějšímu" bezpečnostnímu softwaru. Často se stává, že malé firmy si nemohou dovolit sjednotit prvky informačního systému a staví doslova na tom, co je po ruce. Důsledkem takového přístupu by samozřejmě byla různorodost zařízení používaných v informačním systému."

"Seznam požadavků, které společnosti kladou na systémy DLP, vychází především ze specifických vlastností firemní IT infrastruktury včetně používaných metod přenosu informací a jejich objemu. To umožňuje spotřebiteli určit kanály přenosu dat, které budou kontrolovány systémem DLP. Mezi nejoblíbenější kontrolní funkce patří monitorování e-mailů, vyměnitelných disků, adres URL, instant messengerů a tisku. Pro mnoho společností je také často důležitá tvorba reportů systému DLP, protože je to klíčový nástroj pro prokázání účinnosti implementovaného systému DLP vedoucím pracovníkům."

"Zástupci velkých podniků se obvykle snaží pomocí DLP dosáhnout konkrétních cílů: takový systém bude pravděpodobně integrován do již zavedeného IT prostředí s velkou

množství dalších komponent a řešení pro ochranu informací. Naproti tomu segment malých a středních podniků chce vidět řešení DLP jako jakýsi "multi nástroj", který řeší několik problémů souvisejících se zabezpečením informací. Dalším důležitým požadavkem je snadná implementace a minimální nutná personální podpora."

"Hlavním požadavkem menších společností je minimální cena. Vývoj systémů DLP však může být poměrně časově náročný a vyžaduje neustálou aktualizaci."

"Malé společnosti se snaží koupit levné řešení s velmi snadným nasazením, které kombinuje funkce více řešení. Zaměřují se na antivirová řešení, systémy pro kontrolu provozu a produktivity zaměstnanců, které často obsahují zjednodušené funkce DLP. V malých firmách není ochrana informací často zahrnuta do provozních nákladů."

"Mezi hlavní požadavky malých podniků na řešení DLP patří cenová dostupnost, snadná implementace a podpora a také soulad s právními požadavky. Z hlediska funkcí malé podniky od systémů DLP očekávají, že budou schopny monitorovat tisk a e-mailovou korespondenci uživatelů (jak v rámci podnikové sítě, tak s využitím internetových poštovních služeb, jako je gmail.com nebo mail.ru), blokovat přenos souborů na externí disky nebo služby sdílení souborů a analyzovat používání sociálních sítí a instant messengerů zaměstnanci."

"Malé společnosti mají velmi omezené zdroje. To se týká rozpočtu na informační bezpečnost i počtu specializovaných pracovníků. Malé firmy zpravidla zaměstnávají jednoho nebo dva IT specialisty, kteří v různé míře řeší všechny problémy související s IT a informační bezpečností."

V tomto ohledu se odborníci prakticky shodli. Hlavními faktory při výběru softwaru pro zabezpečení informací v malých podnicích jsou jeho cena a snadná implementace. Je to dáno tím, že malé podniky mají ve srovnání s velkými korporacemi omezené finanční a lidské zdroje. Důsledkem této situace je snaha pořídit si levný multifunkční software, který může do firemní infrastruktury snadno implementovat jeden nebo dva členové IT oddělení.

Na trhu však dnes existují poměrně funkční programy, které mohou vaší firmě pomoci při ochraně informací. A některé z nich jsou dokonce k dispozici zdarma.