Pierwszym krokiem w budowie systemu ochrony przed wyciekiem poufnych informacji może być wykorzystanie funkcji zaszytych w filtrach antyspamowych.

Z opublikowanych niedawno przez firmę SurfControl badań przeprowadzonych w Wlk. Brytanii wynika, że poczta elektroniczna jest wykorzystywana do przesyłania ważnych firmowych dokumentów. Badania wykazały też, że pracownikom nierzadko zdarza się wysłać poufne informacje do niewłaściwych adresatów. Wobec takiego zjawiska raczej trudno pozostać obojętnym.

Rozwiązania są jak zwykle dwa. Pierwsze polega na założeniu, że każdy pracownik z dostępem do sieci to potencjalne zagrożenie wyciekiem informacji na zewnątrz i zastosowaniem rozwiązań technicznych uniemożliwiających nawet przypadkowe upublicznienie informacji o charakterze poufnym. Drugie zakłada, że ponieważ to ludzie są najsłabszym ogniwem w firmowym "kordonie bezpieczeństwa", należy ich wzmocnić poprzez szkolenie i zachęcanie do zwracania uwagi na kwestie bezpieczeństwa informacji.

Powyższe podejścia nie muszą się wykluczać. Działania "wzmacniające" można uzupełniać technologią, która istnieje na rynku już od pewnego czasu i wciąż jest doskonalona. Oprogramowanie do filtrowania treści nie tylko pobieranych z Internetu, ale także wypływających z firmy oferują obecnie praktycznie wszyscy liczący się dostawcy oprogramowania ochronnego.

Treść przenicowana

Rozwiązania do kontroli treści wypływających z firmy od początku br. oferuje na swoich platformach Internet Security Systems. Proventia Web Filter i Proventia Mail Filter stanowią tandem zabezpieczający upływ poufnych informacji przez dwie najpopularniejsze usługi: WWW i pocztę. Drugie rozwiązanie pełni też rolę filtra antyspamowego dla poczty przychodzącej. Funkcjonalność analizy treści pojawiła się na Platformach Proventia w wyniku dostosowania do nich oprogramowania przejętego wraz z firmą Cobion.

Oprogramowanie Proventia wykorzystuje technologię automatycznej analizy treści i według zapewnień producenta nie wymaga ręcznego ustawiania słów kluczowych, których użycie ma blokować przesyłkę. Klasyfikacja odbywa się w centrum komputerowym firmy, w którym pracuje ponad tysiąc komputerów. Pozwala to, według ISS, na uniknięcie sytuacji, w której zostaje zablokowany list zawierający np. słowo "sex", nawet jeśli został napisany językiem medycznym i nie ma nic wspólnego z pornografią. System może ponadto rozpoznawać teksty zapisane w plikach graficznych, logo i twarze na fotografiach, a także wychwytywać tzw. cyfrowe znaki wodne, czyli treści niewidoczne gołym okiem zapisane w obrazach. Sprawdzane są także zawarte w poczcie odsyłacze do innych stron.

Innym rozwiązaniem jest wprowadzony na rynek pod koniec ubiegłego roku eTrust Security Content Manager firmy Computer Associates. Filtr ten pozwala kontrolować treści przesyłane przy wykorzystaniu protokołów HTTP, FTP oraz SMTP. Oprogramowanie to niejako przy okazji może służyć do blokowania określonego typu lub wielkości załączników do poczty elektronicznej. Rozwiązanie CA wymaga samodzielnej konfiguracji reguł, co dla niektórych firm może stanowić barierę kompetencyjną. Niemniej dzięki temu właśnie oraz dzięki nadawaniu słowom kluczowym wag eTrust Security Content Manager pozwala wykluczyć sytuację, w której blokowane są wszystkie przesyłki zawierające określone słowo.

Wartościową funkcją oprogramowania CA jest możliwość zdefiniowania kontekstu, tzn. wychwytywania przesyłek zawierających słowa kluczowe wyłącznie wtedy, jeśli występują w relacji z innymi słowami.

Rozwiązanie reklamowane jako uzupełnienie podstawowej ochrony antywirusowej kosztuje kilkaset złotych za pojedynczy węzeł.

W ofercie Symanteca za kontrolę treści odpowiadają produkty z serii Mail Security i Web Security. Funkcjonalność tego pierwszego Symantec postanowił zintegrować w ramach dedykowanego serwera pocztowego Symantec Mail Gear 2.0. Oprogramowanie to działa na kilku platformach (Windows, Red Hat Linux, Solaris) i pozwala na kontrolę treści zarówno wypływających (oraz, oczywiście, tych przychodzących). Ten sam pakiet może jednak działać jako bramka dla już działających serwerów SMTP. Mail Security oraz Mail Gear 2.0. są w stanie skanować treść zarówno wiadomości, jak i załączników w różnych formatach, w tym Word, Excel, PDF itp., a także pliki w typowych formatach skompresowanych. Symantec Web Security zapobiega "wyciekom" poufnych danych poprzez HTTP Upload czy FTP.

Kontrola na poziomie

Oczywiście wdrożenie i odpowiednie skonfigurowanie filtra analizującego treść przesyłanej poczty nie zabezpiecza przed wyciekiem informacji z firmy. Należałoby przecież także zablokować możliwość korzystania z poczty przy wykorzystaniu interfejsu WWW, a także blokować lub kontrolować inne sposoby komunikacji, takie jak chaty czy wszechobecne komunikatory internetowe. Jednak nawet takie podejście nie rozwiązuje problemu. Ochrona przed wyciekiem informacji musi stanowić część całego systemu ochrony informacji. W szczególności powinna zostać wbudowana w procedury bezpieczeństwa, a także zintegrowana z innymi rozwiązaniami ochronnymi.

Na rynku dostępnych jest mnóstwo rozwiązań technicznych wspierających realizowanie kompleksowej polityki bezpieczeństwa. Eksperci skłonni są mówić nie tyle o ochronie informacji w ogóle, ile o ochronie na pewnych poziomach. Rozwiązania zapobiegające wyciekowi informacji nie muszą przecież działać wyłącznie na poziomie sieci. Są takie, które pozwalają np. kontrolować dostęp informacji na poziomie plików bez względu na wykorzystywane środowisko systemowe. Przy ich wykorzystaniu możliwe jest ograniczenie swobody kopiowania plików, np. tylko do określonych miejsc sieciowych, a także dostępu do nich wyłącznie za pośrednictwem określonych programów.

Jak przekonują specjaliści, należy unikać sytuacji, w której istnieje użytkownik mający absolutną władzę nad systemem informacyjnym. Przy użyciu takich systemów można kontrolować prawa nawet tzw. roota. Pomimo tego, że system przyznaje mu nieograniczone możliwości w zakresie wykonywanych operacji, można umożliwić mu odczytanie poufnych informacji wyłącznie przy użyciu programu do archiwizacji danych.

Kolejnym krokiem powinno być przyznanie praw dostępu do taśm z danymi innej osobie tak, by brakowało pojedynczej osoby z dostępem do wszystkich plików. Gdy komuś bardzo zależy na informacji, nie będzie próbował najbardziej wyrafinowanych metod, ale spróbuje do nich dotrzeć po linii najmniejszego oporu. Skontaktuje się z rootem, administratorem, który w wielu firmach nie podlega jakiejkolwiek kontroli, i spróbuje go przekupić, jedynym wyjściem jest więc przemyślane ograniczenie jego praw.

Jest jeszcze poziom aplikacji. Kontrola dostępu do poszczególnych programów jest ważnym elementem całościowego systemu zabezpieczania informacji. Nie wszyscy pracownicy potrzebują przecież dostępu do każdej wykorzystywanej w firmie aplikacji. W tym celu nieocenioną pomoc stanowią systemy pozwalające na centralne zarządzanie kontami użytkowników oraz systemy jednokrotnego logowania.

Możliwe jest także wykorzystanie rozwiązań pozwalających na korelowanie praw dostępu do informacji z czasem i miejscem, z jakiego odbywa się dostęp. Przykładem może być pakiet CA eTrust 20/20. Oprogramowanie wszczyna alarm, jeśli okazuje się, że dany pracownik próbuje dostać się do informacji o 5.00 rano w sobotę. Być może ma do wykonania pilną pracę, nie należy blokować mu tej możliwości, ale należałoby ostrzec administratora. Alert może także np. generować próba zyskania dostępu do informacji z piętra, do którego dana osoba nie powinna mieć dostępu. System pozwala na wychwytywanie tych anomalii. Z drugiej strony, w dobie mobilności możliwej dzięki WLAN łatwo popaść w przesadę...

Detektyw na etacie

Przeciwdziałania wyciekom metodami technicznymi i procedurami, choć skutecznego, nie można uważać za panaceum. Żaden system nie jest w stanie zapewnić ochrony absolutnej. Kiedy zatem już dojdzie do wycieku, firma powinna zapewnić sobie możliwość wykrycia sprawcy. Dostępne aplikacje tego typu (często rozwijane początkowo na potrzeby służb specjalnych) pozwalają np. na tworzenie baz o zachowaniach poszczególnych użytkowników i precyzyjne analizowanie zdarzeń.