Megoldási lehetőség az információ szivárgás megelőzésére

Bevezetés Napjainkban egyre gyakrabban hallunk az üzleti folyamatokban keletkezett információk kiszivárgásáról. Bárhol akadhat olyan dolgozó, aki – akár a legjobb szándékkal is – képes visszaélni a munkaköréhez kapcsolódó belső jogosítványokkal és lehetőségekkel, abban az esetben pedig az adatszivárgás valószínűsége jelentősen megnő, ha a dolgozó a megfelelő szabályzók hiányában biztos lehet abban, hogy nem kell tartania semmiféle felelősségre vonástól. A legtöbb cégnél léteznek ugyan szabályok a digitális információk kezelésére, de szigorú és következetes betartásukra csak ritkán kerül sor. Az információ szivárgás problémája a Magyar Államigazgatásban is jelentős kérdés, hiszen az elindított Államreform és a Kormányzat reformlépései sok embernek fájnak, sok, eddig az Államigazgatási intézménynél dolgozó munkatársat érintenek negatívan. Ebben a helyzetben jelentősen megnövekszik a kockázata annak, hogy az egyes Intézmények fontos adatai rossz helyre kerüljenek, azok felhasználásával senkinek nem hiányzó hangulatkeltés és politikai viták induljanak el. Ha valaki tenni is akar valamit a digitális információ védelme érdekében, első lépésként mindig az adatokat kezelő központi kiszolgálókat védi. Ez nagyon helyes lépés, de sajnos a tapasztalatok alapján nem elégséges. A számítógépes hálózatban csak kevés központi kiszolgáló van, amelyhez általában több, sőt esetenként igen nagy számú munkaállomás kapcsolódik, amelyek ebben az esetben mind kockázati tényezőnek számítanak. Hála a folyamatos műszaki fejlődésnek, a számítógépek egyre többet tudnak, egyre gyorsabbak, és egyre könnyebb kezelni őket. Ma már természetes igény, hogy a cég összes számítógépéről elérhető legyen a központi kiszolgáló, azaz az Intézmény központi adatbázisa, vagyis digitális vagyona. Ezzel a digitális vagyonnal dolgoznak nap mint nap a dolgozók: adatot visznek be a rendszerbe, készletmozgás, ügyfelek, szállítások, megrendelések, szerződések azaz gyarapszik az információ. A digitális információ nagy érték, és mint az értékes dolgokkal általában lenni szokott, mások számára is kívánatossá válhatnak. A központi számítógépre minden rendelkezésre álló eszközzel vigyázunk, de ki védi azt az információt, amelyik átkerült a központi gépről a munkaállomásra? Néhány éve még a floppy lemez volt az egyetlen adathordozó, amelyet a személyi számítógépek kezeltek, ma viszont a modern operációs rendszerek tucatnyi kapcsolódási technológiát támogatnak. Szinte naponta jelennek meg az egyre újabb, egyre nagyobb kapacitású és egyre gyorsabb adatátvitelre képes adathordozók és kommunikációs eszközök, amelyekkel bárki gond nélkül tud kapcsolódni a saját személyi számítógépéhez. Ha a digitális információ ellenőrzés nélkül kijuthat a cégtől a hálózatba kötött munkaállomásokon keresztül, akkor csak idő kérdése, hogy az “adatszivárgás” akár véletlenül, akár akarattal, mikor fog megtörténni. Megoldási lehetőség A Lumension Security (korábban SecureWave) cég által fejlesztett SanctuaryŽ elnevezésű szoftverrendszer egyedülálló lehetőségeket biztosít a fent jelzett problémák megoldására, azaz az adatáramlás központi menedzselésére, illetve a nem kívánt eszközhasználat korlátozására. Alkalmazása segítségével az informatikai rendszer valamennyi felhasználójára és eszközére egyedi biztonsági rendszabályok érvényesíthetők, és egy speciális megoldás segítségével szükség esetén a teljes ki- vagy bemenő adatforgalom eltárolható és utólag tartalmilag is vizsgálható. A szoftver segítségével megvalósítható a teljes, központosított felügyelet minden hordozható média, eszköz és port elérés esetében. A szoftver a működése során ellenőrzi a felhasználói jogosultságokat az ACL (Access Control List) segítségével, majd összehasonlítja a saját un. „fehér listáján” található felhasználó és a szabályzók által a felhasználónak jogosan használhatónak nyilvánított eszközlistával. Amennyiben a szbályrendszer által a felhasználó és az eszköz is engedélyezett, így a használat megvalósul, az összes többi esetben az eszköz használhatatlan az adott számítógép adott portján, adott felhasználó által. A szoftver lehetőséget biztosít az adminisztrátornak arra, hogy gyorsan azonosítsa az egyes eszközöket és ezek használatának szabályait csoportokhoz, felhasználókhoz rendelhesse. A felhasználhatósági információk az Active Directory-ban tárolódnak, így jelentősen egyszerűsödik a szoftver menedzsmentje, az egyes eszközök „fehár listára” kerülése így percek kérdése. A fehér lista segítségével könnyen elérhető akár az is, hogy az Intézmény felhasználói csakis azokat az USB pen drive-okat használhassák amelyeket az Intézmény vezetése biztosít számukra. Ellenőrzött adatmozgás A Sanctuary szoftverek a „minden tilos, amit nem engedélyezünk” elvet használják. A szoftverben jellemzően engedélyeket adunk ki minden jóváhagyott adatmozgásra vagy eszközre. A fenti elvet követve engedélyt adhatunk egy bizonyos port (pl USB port, Bluetooth stb) használatára, vagy engedélyezhetjük az adatátvitelt a számítógép és egy konkrét eszköz között (pl adott típusú memóriakulcs, okostelefon). A felhasználó csak olyan periférián keresztül és csak olyan eszközre küldhet ki vagy olvashat be adatot, amely számára engedélyezésre került, ezáltal automatikusan megakadályozza a rendszer a nem kívánt adatmozgást. Nem kell törődni azzal, hogy hányféle kommunikáció lehetséges, hanem elég csak arra figyelnünk, hogy mi az, amit a cég használni kíván. Létezhet akárhány adat ki- és beviteli lehetőség egy számítógépen, a cégnek elegendő azt a néhány eszközt és adatkiviteli módot engedélyezni, amelyet ténylegesen használ. A kialakított szabályokon kizárólag akkor kell változtatni, ha valamelyik felhasználó egy új engedélyezett eszközt kíván használatba venni. Árnyékmásolat – adatszirvárgás megakadályozására A Lumension cég „Device Control” termékének szabadalmazott „Shadow” technológiája lehetővé teszi, hogy a kliens az adott felhasználónak a munkaállomáson keresztül a külvilággal folytatott bármely adatcseréjét rögzítse. Az adatcsere ebben az esetben szó szerint értednő, hiszen nemcsak az az információ lehet káros amit valaki elvisz a cégtől, hanem az is, amit behoz. Ezen technológia segítségével azonban pontosan nyomon lehet követni, hogy felhasználó mikor, milyen adatokat másolt ki egy külső eszközre, illetve mikor, milyen adatokat vitt be egy külső eszközről a céghez az adott munkaállomáson keresztül. Az un. „árnyékmásolatok” a felhasználó munkaállomásáról automatikusan egy központi tárhelyre kerülnek, ezáltal bármikor visszakereshető, hogy ki, melyik munkaállomáson, milyen információkat másolt ki, illetve hozott be. Tekintettel arra, hogy az árnyékmásolatok akár komoly tárhelyet is foglalhatnak, választhatunk, hogy a teljes adatforgalmat tároljuk el, vagy csak a gépről elvitt (vagy behozott) file nevét. A választás megtehető külön-külön felhasználónként, felhasználó csoportonként, munkaállomásonként, eszköztípusonként, és rugalmasan módosítható a cég biztonsági elvárásainak megfelelően. Állományszűrés Engedélyezett eszközök, és eszköztípusok esetén az adatmozgás felügyeletének további finomítására van mód az állományszűrők segítségével. Ebben az esetben csak az előre meghatározott fájltípusok másolása lehetséges a Lumension rendszerrel védett számítógépeken. Természetesen a fájltípusok ellenőrzése valós idejű állományátvizsgálással történik, és nem kiterjesztés alapján. Így például előre meghatározható, hogy egy adott felhasználó csak Word dokumentumot (doc fájlt) másolhasson, és más fájltípust nem. További előnyök • Rugalmas jogosultságok rendelhetők az Active Directory és eDirectory adatbázisokban tárolt felhasználókhoz és csoportokhoz, • Minden I/O eszköz használati kísérletről jelentést küld a kliens munkaállomás a központi Lumension adatbázisba • A Lumension szoftver többféle módon telepíthető a kliens munkaállomásokra: a menedzsment eszköz beépített telepítőjével, Microsoft SMS vagy Group Policy segítségével, stb. • További finomhangolási lehetőségek állnak rendelkezésre, pl. meghatározható a napi másolási mennyiség a médiákra, átmeneti hozzáférés engedélyezés adható a felhasználóknak, stb. • Kiváló enkriptálási lehetőség a hordozható eszközökre. Az egyes hordozható eszközökön (pld USB pen drive) tárolt adatok védelmére lehetséges azokat a mentés során enkriptált formában tárolni, így a pen drive elvesztése esetén a felhasználó nyugodt lehet, hogy az adat biztos nem férhető hozzá mások által. A felhasználó viszont olyan számítógépeken is hozzáférhet adataihoz, ahol a Sanctuary szoftver nem került telepítésre. Az enkriptálás történhet egyedileg, de akár a központi policy-ban meghatározottan, kényszerített formában is. Támogatott eszközök és kapcsolatok Támogatott eszköz típusok Támogatott kapcsolatok USB memóriakulcsok Wireless LAN adapterek USB LPT ZIP drive-ok Digitális kamerák FireWire IrDA PDA-k CD/DVD író-olvasók BlueTooth IDE Szalagos egységek Szkennerek WiFi COM Floppy drive-ok Smart kártya olvasók PCMCIA S-ATA Merevlemezek Biotechnológia azonosítók PS/2 SCSI Modemek USB nyomtatók Patchlink Scan – sérülékenységvizsgálat gyorsan és olcsón A Lumension cég egy másik terméke kiegészíti a fehér listás védelmet, egyfajta sérülékenységviszgálatot tesz lehetővé a rendszerbe bevont számítógépekre. A szoftver elvégzi a számítógépes hálózatban található eszközök átfogó sérülékenységi vizsgálatát, felmérést készít a biztonsági beállításokról (antivírus, antispam, hiányzó javító csomagok, nyitott portok, stb.) és mindezek alapján javaslatot készít az azonosított potenciális támadási pontok helyreállításának sorrendjére. Fontos megjegyezni, hogy a Microsoft által rendelkezésre bocsátott szoftverekkel ellentétben ez a termék nemcsak a Microsoft szoftverek, hanem a gépre telepített többi szoftver nagy részének biztonsági hiányosságait is felfedezi. Patchlink Update A szoftver automatizálja a heterogén hálózati környezetben a biztonsági javító csomagok összegyűjtését, analizálását és kiosztását. A PatchLink Update rendelkezik a világ legnagyobb, legtöbb termékre kiterjedő biztonsági javítócsomag gyűjteményével, vagyis a Patchlink által felfedezett biztonsági hiánnyosságokat orvosolni is képes. A termékek működésének főbb jellemzői: • Biztonsági sebezhetőségek feltárása, javítása és érvényesítése. • A hálózat összes eszközének automatikus azonosítása és leltárba vétele. • Szoftver alkalmazások és hardver eszközök felügyelete. • Átfogó riportok a házirendben rögzített szabályok betartásáról. • Szoros együttműködés más gyártók hálózatfelügyeleti megoldásaival. Melléklet - Az információ szivárgás elleni termékbevezetések referenciái Magyarországi referenciák Pénzügyminisztérium Büntetés-Végrehajtás Országos Parancsnoksága Raiffeisen Bank HungaroControl Magyar Légiforgalmi Szolgálat ZRt Európai referenciák Cég/Intézmény Felhasználók száma Barclays Bank 22 000 Norwich Union 30 000 MoD (Ministery of Defence) UK 150 000 Commerzbank (D) 31 400 MTU (München) Corporate license Commissariat a l’Energie Atomique (French Nuclear Office) 5 000 Metropolitan Police (UK) 15 000 Banque Pictet (CH) 5 000 Goldman Sachs 12 000(30 000) Zentrale Polizeitechnische Dienste NRW 26 000 ZKB (Zürcher Kantonalbank) 6 000 Andreas Stihl 5 000 Dutch ministry of Foreign Affairs 7 000 UK customs (HMC) 100 000 DEXIA Bank 5 000 BAE (British Aerospace) 44 000 Bavarian Ministry of Justice 14 000 FBI (US) 36 800 ING-Diba 5 500 Credit du Nord (France) 10 000 Dutch Police 45 000 El Cortes Ingles (Spain) 2 000 PWC UK 16 000 Brose (Germany) 5 800 OBI 16 000 Gazprombank (Russia) 5 500 JSC "TNK-BP Management"(Russia) 10 000