Πρόληψη διαρροής δεδομένων

Η λύση φαίνεται να είναι τόσο απλή όσο το γρήγορο φαγητό: αποκτήστε μια εφαρμογή DLP ή αποτροπής απώλειας δεδομένων από μια από τις γνωστές εταιρείες όπως η HP ή η Symantec. Είναι όντως τόσο απλό; Το πρόβλημα είναι ότι οι εργαζόμενοι θα μπορούσαν να είναι οι σιωπηλοί κλέφτες. Εξάλλου, η αντιγραφή δεδομένων έχει γίνει όνειρο στις μέρες μας, όπως με το στικάκι μέσω USB. Δεν χρειάζεται πλέον να παλεύετε με ογκώδη σκληρά αντίγραφα. Ένα μικροσκοπικό gadget θα μπορούσε να φιλοξενήσει μια βιβλιοθήκη πληροφοριών. Και έπειτα έχετε τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα συνημμένα αρχεία θα μπορούσαν να χρησιμοποιηθούν για την αποστολή ευαίσθητων πληροφοριών σε λάθος άτομα.

Ακριβώς όπως οι διαφημιστικοί πόλεμοι που διεξάγονται σκληρά μεταξύ των αντιπάλων στις επιχειρήσεις, όπως στα smartphones, ο πόλεμος των πληροφοριών είναι πολύ πραγματικός. Οι πληροφορίες κοστίζουν χρήματα, όπως βλέπουμε καθημερινά στα μέσα ενημέρωσης. Λίγα δευτερόλεπτα δημοσιότητας για τη μάρκα σοκολάτας και η εταιρεία πληρώνει μια περιουσία. Φανταστείτε μόνο πόσα θα πλήρωναν οι άνθρωποι για τις πατέντες και τα σχέδια που αφορούν προηγμένα προϊόντα τα οποία ερευνώνται 24 ώρες το 24ωρο.

Δεν είναι λοιπόν περίεργο που 19 εταιρείες μεγαθήρια διεκδικούν τις κορυφαίες θέσεις στην αγορά DLP. Η ζήτηση αναμένεται να κλιμακωθεί κατά σχεδόν 2 δισεκατομμύρια δολάρια μέχρι το 2019. Μπορούμε να φανταστούμε το γιατί. Το έγκλημα στον κυβερνοχώρο δεκαπλασιάζεται κάθε χρόνο και μπορούμε να δουλέψουμε μόνο με εκτιμήσεις. Η αποτροπή της μη εξουσιοδοτημένης πρόσβασης είναι αυτό που κρατάει τόσους πολλούς ανθρώπους απασχολημένους. Μεγάλο μέρος των μέσων ενημέρωσης εργάζεται με εκτιμήσεις, αλλά εμείς αντιμετωπίζουμε τα στοιχεία ως πολύ πραγματικά. Κανείς δεν γνωρίζει πραγματικά όλη την αλήθεια.

Οι έλεγχοι ιστορικού του προσωπικού μπορούν να βοηθήσουν στην εξακρίβωση της αξιοπιστίας και οι υπογεγραμμένες συμφωνίες για τη διατήρηση του απορρήτου μπορούν να δώσουν εμπιστοσύνη στον εργοδότη. Εάν το προσωπικό είναι πραγματικά ευχαριστημένο με τον οργανισμό, ίσως υπάρχουν λιγότερες πιθανότητες κλοπής δεδομένων. Ωστόσο, η εκπαίδευση είναι απαραίτητη για να διασφαλιστεί ότι οι εργαζόμενοι κατανοούν το πρόβλημα και γνωρίζουν πώς να ελέγχουν τη ροή των πληροφοριών. Κάθε υπολογιστής μπορεί να είναι συνδεδεμένος με είκοσι άλλους υπολογιστές και οι πληροφορίες ταξιδεύουν συνεχώς μεταξύ τους. Η παρακολούθηση του δικτύου διασφαλίζει συστηματικά την ομαλή διέλευση των πληροφοριών. Οι χάκερς χρησιμοποιούν την ίδια τεχνολογία για να παραβιάσουν το φρούριο και να κλέψουν δεδομένα για διάφορους λόγους, όπως επιχειρηματικούς, κατασκοπείας, τρομοκρατίας και απλής σκανδαλιάς.

Η διαρροή εμπιστευτικών πληροφοριών φαίνεται να είναι μικροσκοπική, σύμφωνα με την έκθεση της Verizon το 2012, ήταν μόνο 4%. Το τρομακτικό πρόβλημα είναι ότι τα στελέχη των εταιρειών διαθέτουν ένα χρυσωρυχείο πληροφοριών στο γραφείο και θα μπορούσαν εύκολα να τις αντιγράψουν. Μια Bank of America διέρρευσε πληροφορίες πελατών σε κλέφτες ταυτότητας και η οικονομική ζημία ανήλθε σε 10 εκατομμύρια δολάρια εκτός από τα ζητήματα δημοσίων σχέσεων. Είναι δύσκολο να το πιστέψετε; Όχι, όλα αυτά είναι αλήθεια. Το πανάρχαιο λογισμικό προστασίας από ιούς με υποστήριξη τείχους προστασίας συνιστάται συνεχώς για να διασφαλιστεί η ασφάλεια. Σχηματίζει ένα ισχυρό τείχος που δεν παραβιάζεται εύκολα, τουλάχιστον οι κορυφαίες εταιρείες υπόσχονται μια τέτοια ασπίδα. Τα DLP παρακολουθούν την κίνηση των δεδομένων με βάση το προφίλ πνευματικής ιδιοκτησίας της εταιρείας. Το λογισμικό εξετάζει κάθε κομμάτι πληροφορίας που φεύγει σε θύρες και πρωτόκολλα και ανταποκρίνεται κατάλληλα.

Έτσι, οι πληροφορίες θα μπορούσαν να εμποδιστούν να φύγουν πέρα από ορισμένα καθορισμένα όρια. Η κρυπτογράφηση και το μπλοκάρισμα USB φαίνεται να είναι ορθές στρατηγικές για τη διατήρηση των πολύτιμων πληροφοριών και την αποτροπή της παράνομης πρόσβασης και παραποίησης. Οι τράπεζες χρησιμοποιούν συνεχώς τέτοια κρυπτογράφηση και το σύστημα φαίνεται να λειτουργεί άψογα. Λαμβάνοντας υπόψη τα τεράστια ποσά μετρητών που αλλάζουν χέρια νόμιμα κάθε μέρα μέσω του internet banking, φαίνεται ότι δεν υπάρχει λόγος να ανησυχείτε. Οι υπηρεσίες πύλης ασφαλείας ιστού ως εναλλακτική λύση στα DLP προστατεύουν από κακές ιστοσελίδες και λογισμικό. Σαρώνουν τα αρχεία σε όλες τις οδούς επικοινωνίας για πιθανή απώλεια δεδομένων, σύμφωνα με τους γλωσσικούς όρους που περιέχονται σε αυτές. Εάν κάποιος συμπεριφέρεται ανεύθυνα, το λογισμικό το αντιλαμβάνεται και κρούει τον κώδωνα του κινδύνου.

Όχι μόνο οι πληροφορίες βρίσκονται παντού σε τόσες πολλές ενσαρκώσεις, όπως DVD, IM, smartphones και blogs, email και στικάκια, αλλά η ιδιωτικότητα τίθεται συνεχώς σε κίνδυνο από τα smartphones με κάμερες και βιντεοσκόπηση που φτάνουν στις πιο ευαίσθητες ζώνες. Τίποτα δεν φαίνεται να είναι εκτός της εμβέλειάς τους, ούτε καν οι αίθουσες δοκιμών των εταιρειών. Άλλωστε, το να επιτρέπεται να φέρνετε τον δικό σας εξοπλισμό στον χώρο εργασίας έχει και πιθανούς κινδύνους, όπως μια ανοιχτή πρόσκληση για κλοπή πληροφοριών. Ευτυχισμένες ήταν οι μέρες με τη χειροκίνητη γραφομηχανή, το τηλέφωνο και το φαξ μόνο.

Η τυχαία απώλεια ή κατάχρηση πληροφοριών συμβαίνει μερικές φορές όταν τις στέλνετε τυχαία σε λάθος άτομο. Το πρόβλημα συχνά δεν είναι αυτό που βρίσκεται πέρα από την περίμετρο αλλά αυτό που συμβαίνει στο εσωτερικό. Δεδομένου ότι οι πληροφορίες αποστέλλονται και ξαναστέλνονται συνεχώς, υπάρχουν πολλές ευκαιρίες στο εσωτερικό για χειραγώγηση ή κλοπή. Η καταπολέμηση του κακόβουλου λογισμικού και η κρυπτογράφηση, εκτός από άλλους ελέγχους ασφαλείας, παίζουν τον σημαντικό τους ρόλο. Χρησιμοποιούνται τρία επίπεδα άμυνας που κρατούν αποτελεσματικά τα πράγματα στη θέση τους. Φανταστείτε το βαθμό ασφάλειας που θα απαιτούσαν οι αριθμοί πιστωτικών καρτών και κοινωνικής ασφάλισης.

Ένα σύστημα ταξινόμησης αρχείων θα εξασφάλιζε ότι οι ευαίσθητες πληροφορίες δεν θα περνούσαν από ένα πρωτόκολλο ή μια πύλη και θα σήμαινε συναγερμό αν περνούσαν. Ένα τέτοιο σύστημα θα μπορούσε επίσης να εφαρμοστεί στα μέσα κοινωνικής δικτύωσης, όπου εμποδίζεται η πρόσβαση σε περιεχόμενο ή εικόνες που δεν είναι αποδεκτά. Οι ρυθμίσεις θα μπορούσαν επίσης να βασίζονται στο μέγεθος των αρχείων και τα ασυνήθιστα μεγάλα αρχεία θα προκαλούσαν αμφιβολίες και θα σταματούσαν τη διαδικασία. Η ασυνήθιστη συμπεριφορά των εργαζομένων θα μπορούσε επίσης να εποπτεύεται με αυτόν τον τρόπο.

Η περίπτωση της κλοπής 400 εκατομμυρίων δολαρίων από τη βάση δεδομένων της DuPont για αρκετούς μήνες είναι μια υπόθεση που ανοίγει τα μάτια. Το άτομο είχε πρόσβαση σε 15 φορές μεγαλύτερο αριθμό αρχείων από αυτόν που είχαν οι υπόλοιποι στο γραφείο. Ένας υπάλληλος της Duracell πούλησε πληροφορίες σχετικά με τις μπαταρίες, στέλνοντάς τες αρχικά στο σπίτι του και αργότερα σε μια αντίπαλη εταιρεία. Η διαχείριση των εσωτερικών δεδομένων είναι ζωτικής σημασίας, αλλά για κάθε κατηγορία πληροφοριών θα απαιτηθεί ξεχωριστό λογισμικό. Αποφύγετε να βάλετε όλα τα αυγά σε ένα καλάθι.