Menü
44_www.seriousgamesinternational.com.jpg
Forrás: ITB

Az adatszivárogtatás, mint fogalom és mint jelenség, nem ismeretlen a vállalatok és a katonai szervek számára. Megtörténte az adott szervezet, valamint ügyfelei, partnerei számára beláthatatlan következménnyel járhat, a hatása rövid és hosszabb távon egyaránt katasztrofális lehet. A kockázatot a megfelelő megelőző lépések és kontrollok alkalmazása csökkentheti, ami az egyre bővülő körben kötelező szabályozási tényezőként is szerepet kap.

Ahhoz, hogy érdemben tárgyalni lehessen a problémakört, érdemes először csökkenteni a fogalmakat körülölelő homályosságot. Az adatoknak a feldolgozás folyamata során keletkezik információértéke. Tulajdonképp az információ értelmezett adat, jellegétől függően a tulajdonos számára kisebb-nagyobb jelentőséggel bír. Az így meghatározott értékek összessége nevezhető adatvagyonnak.

Ezt az értékelést adott esetben a konkurencia is elvégezheti és egy megfelelő munkatárs megkörnyékezésével nem csak a személyi erőforrást, hanem az adatvagyon egy kisebb-nagyobb részét is megszerezheti magának. Ez – sajnos – fordított irányban is működőképes szituáció, hiszen egy elégedetlen és bosszúálló munkatárs is megkeresheti a másik felet. Az a tény, hogy ez csöppet sem legális vagy épp etikus, sokaknak egyáltalán nem hátráltató – nemhogy elriasztó – tényező.

Annak ellenére, hogy egy biztonsági incidens katasztrofális helyzetté alakulhat, többnyire nem létezik tudatosan előkészített szabályzat, megismételhető, dokumentált folyamat vagy megkülönböztetett kategória a minősített adatvagyon kezelésére. Amikor felmerül a „Mit is mentsünk?” problémakör, a legkézenfekvőbb válasz a „Mindent!”, hiszen sokkal egyszerűbb az ehhez szükséges tárhelykapacitás bővítése, mint elvégezni az adatvagyon-kategorizálás hosszadalmas, izzadságos folyamatát, és fenntartani az elért állapotot. A mentési felhőszolgáltatások megjelenése is ezt az utat könnyíti meg. De biztosan ez a helyes irány?

 

Káosz az adatok között, káosz a fejekben

Az említett mentési stratégia az adatvagyon el nem végzett kategorizálásának egyik negatív következménye, de egyáltalán nem az egyetlen – és a legrosszabb – vonzata. Sokkal nagyobb veszélyt jelent, ha folyamatbeli hiányosságok vagy inkompetencia miatt a szervezet rosszul reagál egy biztonsági incidensre, ami akár katasztrófahelyzethez is vezethet. Azonban az sem különb hatású, ha a nem tesztelt terv miatt nem tarthatók a feltételezett adat- és rendszer-helyreállítási idők.

Ha az üzleti célok és az informatikai biztonság céljai között már az első pillanatokban inkonzisztencia mutatkozik, akkor az a későbbiekben csak mélyülni fog. A nem megfelelő adatkezelésnek vagy az adatkategorizálás elmaradásának ezen túlmenően is igen változatos okai lehetnek:

• jó eséllyel a szervezeten belül az adatvédelmet – a vállalat méretének függvényében – az informatikával foglalkozó osztály, csoport vagy épp személy felelősségének tekintik, miközben az üzleti folyamatokért felelős osztályok, vezetők külső szemlélőként is alig hajlandóak abban részt venni;

• hiányzik a felsővezetői támogatás;

• hiányos, nem elégséges az erre fordítható büdzsé;

• a kategorizálás szabályozásának (vagy épp az informatikai biztonságot érintő szabályzatok) hiánya, be nem tartása, elavult mivolta stb.;

• a szervezet csak és kizárólag a szokványos informatikai biztonsági megoldásokra hagyatkozik (tűzfal, anti-malware stb);

• a kollégák oktatására vonatkozó hiányosságok.

A fenti tényezők valósággal megágyaznak az adatvesztésnek, hiszen semmi nem akadályozza, hogy a munkatársak nem védett csatornán vagy akár mobileszközön osszanak meg védett (vagy legalábbis védendő) adatokat.

A hatékony adatvédelemre való felkészülés első lépéseként érdemes feltenni magunknak a kérdést: meg tudjuk mondani, hol és milyen eszközön található érzékeny adat?

 

A bevezetés előkészítése

A kérdés megválaszolásához feltétlenül el kell dönteni, mi számít érzékeny adatnak. Ebben az adatklasszifikáció nyújt segítséget, alapjainak lefektetése, bevezetése és fenntartása további pozitív vonzattal járhat. Ilyen járulékos előny lehet a megfelelő, tehát nem alul- vagy túltervezett adatvédelem, adatszivárogtatás elleni védelem, mentés és archiválás, szükséges adattárolási idő kijelölése, hozzáférések és adattulajdonosok precíz és pontos definiálása, fenyegetettségek megfelelő kezelése, valamint a prioritások helyes meghatározása incidens, katasztrófa elhárítása és az üzletmenet folytonosságának biztosítása esetén.

Az adatklasszifikáció alapja tulajdonképp egy, a felső vezetés hathatós támogatásával megalkotott keretrendszer, amelyben definiálják a szerepköröket, a kategóriákat, ezek kritériumait, valamint a kategóriákhoz párosított, elvárt minimális biztonsági szintet és kontrollokat.

Általános jelleggel meghatározható kategória lehet például az érzékeny, a bizalmas, a belső és a publikus adatok köre. A kategóriákat ugyanakkor mindenképpen a szervezetre szabottan kell megalkotni. Ne legyen belőlük túl sok, mert az a célszerűség és az egyértelműség rovására menne. Érzékeny adatnak tekintendők az ügyfelek személyes és egészségügyi adatai, a biometrikus adatok, a pénzügyi adatok (számla-, bankkártyaszámok). Vállalati szempontból bizalmas adatnak számítanak a kutatási adatok, üzleti tervek, védett algoritmusok vagy programkódok – vagyis minden olyan adat, információ, amelyek illetéktelen kezekbe kerülése igen nagy problémát jelentene.

Az adatosztályozás azonban nem egyszeri feladat. Bizonyos, előre meghatározott időközönként a kategorizálás folyamatán már átesett adathalmazt is célszerű felülvizsgálni, hiszen idővel az adatok besorolása változhat, ennélfogva nem feltétlenül szükséges az addigi kontrollt tovább is fenntartani. De a szabályzatban meghatározottak mellett konzekvens módon ki kell tartani, különben értelmét veszti a szabályozás. Ebben segíthetnek a gyártók által kialakított adatszivárgás elleni megoldások.

 

Technológiai lehetőségek

Ha már sikerült azonosítani a védendő adatokat, azt követően minden támadási vektor felől védeni szükséges őket. Ebbe beletartoznak alapvető védelmi eljárások (hálózati szegmentáció, tűzfal, IDS/IPS), illetve összetett kontrollok (a gyanús adatmegosztások, adatlekérést detektálása). Ezen felül alkalmazhatjuk a DLP (Data Leakage Prevention) rendszerek valamelyikét, amelyek az adatszivárogtatás detektálásában és megakadályozásában nyújtanak segítséget.

A DLP rendszerek esetében megkülönböztethetünk hálózati, végponti, mobil és felhő alapú megoldásokat. Kulcsfontosságúak a központi menedzsmentfunkciók: a jelentéskészítés, az adminisztráció, az esemény alapú értesítés vagy a csoport alapú hozzáférés-vezérlés, illetve az egyes modulok integrálása. A végpontokon megvalósuló védelemnél érdemes számolni a készülékekre telepítendő ügynökök jelentette erőforrásigénnyel is. Az utóbbi időszakban az okostelefonok és a cloud szolgáltatások elterjedése miatt szükségszerű volt a DLP technológia kiterjesztése e területekre is.

A hálózati vagy a célzott végponti védelmet tekinthetjük Data in Motion és Data in Use (adat mozgásban és használatban) védelemben. Ezeken túl beszélhetünk Data at Rest védelemről, ami az archivált adatokra vonatkozik. Utóbbi funkcionalitásra nem mindegyik gyártói DLP-megoldás képes. Választási lehetőségként természetesen az egyszerűbb és a bonyolultabb eszközök egyaránt megtalálhatóak. Akármelyikre is kerül a választás, a bekerülési és fenntartási értéken túlmenően a megoldás életciklusát és a feltárt, valamint a javított sérülékenységeket is érdemes szem előtt tartani.

Bookmark and Share

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 1903 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Kenczler Mihály

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4538 cég szerepel adatbázisunkban.
Az utolsó regisztrált:Lexmark Magyarország Kft.

A legkeresettebb cégek: