Jóllehet a vállalatok 83 százaléka használ adatvesztést megakadályozó (dataloss prevention, DLP-) megoldást), 33 százalékuk még mindig súlyos adatlopási incidensek áldozatává válik, állapította meg az Intel Security és a Ponemon Institute 2016 DataProtection Benchmark felmérése, amelynek során a legkülönfélébb iparágakban tevékenykedő ezer vállalati informatikai biztonsági szakembert kérdeztek meg világszerte. A kutatás során szerzett tapasztalatok alapján az Intel Security szakértői összefoglalták a DLP-rendszerek hatékony alkalmazásának fő ismérveit, amelyeket az alábbiakban ismertetünk.
Blokkolni kell
Mindenekelőtt a DLP-rendszert úgy célszerű konfigurálni, hogy ne csak monitorozzon, hanem blokkolja is az észlelt incidenseket. Az automatikus blokkolás egyrészt tehermentesíti a biztonságért felelős személyzetet, másrészt fontos visszajelzést nyújt a felhasználóknak, melynek alapján módosíthatnak szokásaikon a jövőbeli incidensek elkerülése érdekében. A felmérés válaszadóinak 35 százaléka kapcsolta be a rendszer telepítésénél a blokkolást, 55 százaléka pedig egy későbbi időpontban. Kilenc százalékuk még nem élesítette a funkciót, de a tervei között szerepel a védelmi intézkedés, és csupán 1 százalék nyilatkozott úgy, hogy nincs szándékában blokkolni.
Mivel az adatlopás mindinkább többféle típusú információ - pénzügyi, személyes, egészségügyi adatok, valamint szellemi tulajdon - megszerzésére irányul, a hatékony DLP-rendszereknek többféle adatazonosítási módszert kell alkalmazniuk a támadások kivédésére. Sajnálatos módon a kutatásban résztvevő szervezetek 41 százaléka még mindig csupán egyetlen, általános kifejezéseket használó módszerre hagyatkozik, ami gyakran a fejlesztő által előre konfigurált alapbeállítás. Szakértők szerint ez kezdetnek jó megoldás, különösen, ha a kiberbűnözők elsődleges célja bankkártyaadatok megszerzése. Azonban a hackerek egyre jobban érdeklődnek a strukturálatlan adatok, például a bizalmas vállalati dokumentumok iránt, amelyek megvédéséhez további módszerek - szótárak, strukturálatlan adatok elemzése - szükségesek. A válaszadók 36 százaléka használ kettő, 18 százaléka pedig három módszert azonosításhoz adatlopást megakadályozó rendszerében.
Mint a kutatás alapján megállapítható, minél több adatlopási kísérletet észlel a rendszer, annál nagyobb betekintést nyer a megoldás a vállalati felhasználók viselkedésébe és a szervezetnél alkalmazott adatmozgatási szokásokba. Bár a több incidens több munkát jelent, ugyanakkor csökkenti a téves negatív észlelések számát, egyúttal növeli annak valószínűségét, hogy a biztonsági személyzet megakadályozza az adatlopási kísérletet. Fény derült továbbá arra, hogy több adatazonosítási módszer használatakor nő a naponta észlelt incidensek száma. Azonban ahogy az adatvesztés megakadályozásáért felelő csapat egyre több tapasztalatra tesz szert ezeknek az incidenseknek a természetével kapcsolatban, megfelelő technikák - felhasználók oktatása, adatosztályozás és automatikus blokkolás - alkalmazásával képes lesz az incidensek számának csökkentésére.
Strukturálatlan adatokra lőnek
Gondoskodni kell tehát a hatékony adatvédelem érdekében a strukturált és strukturálatlan adatok többféle típusának, valamint az információk vállalati részlegek közötti megosztásának felügyeletéről. A felmérés válaszadói 57 százalékának szervezeténél monitorozzák és/vagy blokkolják a vállalati pénzügyi adatok nem megfelelő felhasználását, többek között a pénzügyi jelentések e-mailben való elküldését. Negyvennyolc százalékuknál kiterjed a figyelem a személyes hitelkártya-információk megosztására és lekérésére is, az alkalmazottak és az ügyfelek személyes azonosító információinak, valamint egészségügyi adatainak figyelésére azonban már csupán a megkérdezettek 38 százaléka fordít gondot. Márpedig az utóbbiak egyre értékesebbek a kiberbűnözők számára.
A figyelt tevékenységek száma szintén komoly hatással van a naponta észlelt incidensek számára. Egyetlen nemkívánatos tevékenység monitorozásakor átlagosan 17, öt tevékenység figyelésekor pedig átlagosan 58 incidenst tapasztaltak a felmérésben résztvevő szervezeteknél. A legtöbb esetben a gyanús e-mailhasználat (például a rivális cégekkel való levelezés) fordult elő, ezt követte a munkavállalók egészségügyi és bejelentkezési adatainak megosztása, illetve lekérdezése; a vállalati pénzügyi adatok nem megfelelő kezelése; az ügyfelek egészségügyi és bejelentkezési adatainak megosztása, illetve lekérdezése; a hitelkártya-információk megosztása, illetve lekérdezése; valamint céges szellemi tulajdon nem megfelelő kezelése (például stratégiai információk megosztása).
Annak érdekében, hogy a munkavállalók biztonságtudatos szemlélete erősödjön és elsajátítsák a megfelelő viselkedést, képzésre, az értékek meghatározására és folyamatos visszajelzésre van szükség. A tréningek mellőzésével csupán a DLP-megoldásokra hagyatkozni nem a leghatékonyabb módja az adatlopások megakadályozásának. A felmérésben résztvevő vállalatok túlnyomó többsége, 85 százaléka használja adatvesztést megakadályozó megoldását az alkalmazottak biztonságtudatosságának megerősítésére. Úgy ítélik meg, hogy ez segít csökkenteni az incidensek számát. Hasonlóképpen a szervezetek nagy része (86 százaléka) felkészíti alkalmazottait az adatok értékességük alapján való osztályozására, így tisztában vannak azzal, mely információk bizalmasak és melyek kifejezetten titkosak, továbbá melyek tartoznak a szellemi tulajdon kategóriájába.
Ami az adatvesztést megakadályozó rendszer által szolgáltatott adatok üzleti vezetőkkel való megosztását illeti, ez csupán a vállalatok 33 százalékánál történik meg. Bár a kutatás nem terjedt ki ennek okaira, szakértők szerint az adatlopási incidensekkel kapcsolatos információk eltitkolása azt eredményezheti, hogy a cégvezetés nem kap világos képet a vállalatot érintő biztonsági kockázatokról. Ráadásul kevés információjuk lesz a biztonsági részleg munkájának mibenlétéről és hatékonyságáról, és ami még ennél is rosszabb, folyosói pletykákból fognak értesülni a bekövetkezett incidensekről. Az üzleti vezetőkhöz egyébként is eljutnak néha panaszok az informatikusokra és a DLP-rendszer működésére vonatkozólag, például az, hogy akadályozza a munkájukat és csökkenti a hatékonyságukat. Ha pedig a vezetők nem kapnak megfelelő információkat az illetékesektől az informatikai rendszerek működéséről, sokkal valószínűbb, hogy rossz döntéseket fognak hozni. Ennek elkerülése érdekében az üzleti vezetésnek részt kell vennie az adatlopást megakadályozó programok irányításában, továbbá pontos képet kell kapniuk ennek teljesítményéről és hatékonyságáról.
Automatizált működés
A legtöbb megoldás automatikusan figyelmezteti a felhasználókat, ha nem megfelelően kezelik a bizalmas adatokat, megsértve ezzel a vállalati előírásokat. Ezzel igen hatékonyan megakadályozható az érzékeny dokumentumok véletlenszerű kiszivárogtatása, például egy céges titkokat tartalmazó fájl e-mailben való elküldése. A felmérésben résztvevő vállalatok 44 százalékánál automatikusan figyelmeztetik az alkalmazottakat, ha megsértik a vállalati biztonsági előírásokat. A jelentősebb adatvesztést eddig elkerülő vállalatok 39 százaléka értesíti a nem megfelelő viselkedésről mind az alkalmazottat, mind a főnökét. Ugyanez az arány csupán 20 százalék azoknál a cégeknél, amelyek már szembesültek komolyabb adatvesztéssel. A csak manuális figyelmeztetés nem védi meg kellően a vállalatokat az adatszivárgástól, az ezt a módszert használó vállalatok kétharmadánál történt már jelentősebb adatvesztés.
Végezetül azt tanácsolják az Intel Security biztonsági szakemberei, hogy a DLP-megoldásokat használók monitorozzák a lehető legtöbb adatmozgást. A megkérdezett vállalatok 69 százaléka figyeli a levelezőrendszer nemkívánatos használatát, például a versenytársakkal való kommunikációs próbálkozásokat. Egy korábbi kutatás szerint azonban nem az e-mail a leggyakoribb adattovábbítási eszköze a belső kiszivárogtatóknak. A munkaadójuk elárulására vetemedő alkalmazottak által elkövetett adatlopások 26 százalékát elemelt laptopokkal vagy USB-memóriákkal követik el. A vállalatok DLP-megoldásaikkal főként a hálózatukat figyelik (44 százalék), ami nagy valószínűséggel nem akadályozza meg az ilyen típusú adatlopási incidenseket. Csupán a megkérdezett szervezetek 37 százaléka monitorozza a végpontokat, amelyeknél már nagyobb hatásfokkal fedezhető fel a fizikai eszközök eltulajdonítása.
