Ryzyko wycieku danych mogą zminimalizować rozwiązania trojakiego rodzaju: DLP (Data Leakage Prevention), szyfrowanie (Full Disk Encryption) i pamięci przenośne (CD/DVD, pendrive), a także właściwe ramy proceduralne - określane zarówno w polityce bezpieczeństwa, regulaminie pracy, jak i planie obsługi incydentów. Przybliżamy dwa pierwsze.

DLP początkowo było terminem określającym różne systemy obrony przed wyciekiem danych. Zaliczano do nich m.in.: systemy filtrowania treści internetowych, kontroli poczty elektronicznej, oprogramowanie typu "endpoint security" - które realizują funkcje kontroli aplikacji lub kontroli urządzeń. Wreszcie wszelkiego rodzaju narzędzia AV/AS (antivirus/antispyware) zwalczające spyware, rootkity i inne zagrożenia typu "drive-by-download". Upatrzywszy w tej niszy rynkowej spory potencjał dla sprzedaży własnych rozwiązań i stosując wiele znanych od dawna technik, producenci obecnie oferują wiele funkcji zgrabnie zintegrowanych w jednym opakowaniu. Jeśli zajrzymy na witrynę firmową w zasadzie dowolnego producenta rozwiązań do ochrony sieci, to niemal każdy używa skrótu DLP, choćby jego rozwiązanie niewiele miało z tym wspólnego.

Można zatem powiedzieć, że DLP (czasami określane też jako Extrusion Detection) jest systemem, którego głównym celem jest ochrona przed zagrożeniami związanymi z wypływem chronionych danych na zewnątrz. Rynek w ciągu ostatnich kilkunastu miesięcy trochę okrzepł i dojrzał. Złośliwi mówią, że uległ uprzemysłowieniu. Małe firmy, które do tej pory nadawały ton DLP, zostały wykupione przez gigantów - Vontu (obecnie Symantec), PortAuthority (obecnie Websense) czy Tablus (obecnie EMC). Dominację tej wielkiej trójki potwierdza w swoim rankingu firma Gartner. Inni, którzy nie zdążyli bądź nie chcieli nikogo kupować, zawierają porozumienia z dostawcami DLP i otwierają swoje rozwiązania na współpracę. Przykładem może być tutaj Cisco z rozwiązaniem IronPort (brama do ochrony poczty).

Zainteresowanie systemem DLP jest duże również w Polsce, gdzie możemy odnotować pierwsze wdrożenia. Głównym celem jego instalacji powinno być wykrycie niedociągnięć wewnątrz organizacji i luk w procesach. Podczas wdrożeń pilotażowych takich rozwiązań, szefostwo organizacji często dokonuje interesujących odkryć. Na przykład nagle okazuje się, że w DMZ stoi serwer FTP, o którym nikt nigdy nie słyszał, a z którego pracownicy działu handlowego zrobili sobie platformę wymiany cenników, umów i ofert. Przyczyną takiego stanu rzeczy wcale nie musi być zła wola, ale np. brak dobrego systemu pracy grupowej. Na jaw wychodzą też inne smutne prawdy, jak choćby to, że połowa pracowników aktywnie szuka innego zatrudnienia, rozsyłając na prawo i lewo swoje CV i listy motywacyjne.

Zarówno przy okazji DLP, jak i wszelkich innych mechanizmów kontroli pojawiają się wątpliwości natury prawno-etycznej. Wielu postrzega DLP jako narzędzia czysto szpiegowskie, które głęboko ingerują w prywatność. Jest to częściowo prawda - zwykle po pilotażowej instalacji DLP następuje seria spektakularnych zwolnień. W naszej mentalności niestety systemy te traktowane są nie jako narzędzia pozwalające na usprawnienie procesu obiegu informacji i wykrycie złych praktyk, ale jako forma nagonki na pracowników. Warto jednak pamiętać, że taki rodzaj inwigilacji nie może być prowadzony bezkarnie. Pracodawca, zgodnie z prawem musi powiadomić pracowników o sposobach prowadzonej kontroli. Pracownik musi zatem wiedzieć, w jaki sposób i co jest kontrolowane.

Co może DLP?

Od systemu DLP oczekuje się, że będzie w stanie ogarnąć kontrolą wszelkie kanały, którymi informacje mogą wydostać się z organizacji. Powinien obejmować przede wszystkim: pocztę elektroniczną, komunikatory, FTP, transmisję webową oraz szeroko pojmowane kopiowanie. Podobnie jak w przypadku innych systemów bezpieczeństwa (w szczególności szyfrujących), także i w DLP można wydzielić trzy główne obszary, gdzie mamy do czynienia z przepływem informacji. Wyróżniamy tu dane:

- w spoczynku (data at rest), np. umieszczone w bazie danych lub na udziale sieciowym

- w ruchu (data in motion/in transit), np. przesyłane przez komunikatory, pocztą elektroniczną

- używane (data in use), np. CTRL+C/CTRL+V wrażliwe dane z dokumentu, kopiowane na pamięci przenośnej, drukowane.

Biorąc pod uwagę powyższe uwarunkowania, można wyróżnić co najmniej dwa główne miejsca podsłuchiwania danych: sieć i serwery oraz stacje robocze.