Zamestnanec radnice v kanadskom Calgary potreboval poradiť s pracovným problémom. Oslovil preto svojho technicky zdatnejšieho známeho z radnice iného mesta a poslal mu excelovský súbor, s ktorým si nevedel rady.
Súbor obsahoval údaje o troch tisíckach zamestnancoch mesta, vrátane adries bydliska, dátumov narodenia, či záznamov, týkajúcich sa ich zdravotného stavu. Hoci sa na problém hneď prišlo a informácie nikto nezneužil, mesto Calgary čelilo žiadosti o odškodné vo výške viac ako 90 miliónov kanadských dolárov. Išlo pritom len o chybu úsudku zamestnanca - no sú známe i prípady, keď citlivé údaje niekto vynesie úmyselne.
„Kedysi vám stačil bystrý zrak a pohľad na policu, aby ste zistili, že vám niekto ukradol šanón. V dobe elektronických dokumentov je však odhalenie ich úniku a prevencia proti nemu zložitejšia,“ hovorí Michal Sekula, odborník spoločnosti Atos na bezpečnosť. „Aj preto sa takýchto prípadov objavuje viac, či už sú spôsobené len nepozornosťou alebo je za nimi nahnevaný administrátor, ktorý dostal výpoveď a chce sa pomstiť,“ dodáva.
Päť otázok
Informácie sú pritom dnes často tým najcennejším, čo firmy majú. Na druhej strane, dát sa dnes vyprodukuje toľko, že je príliš zložité vyznať sa v nich a zabezpečiť, aby k nim mali prístup všetci, ktorí to potrebujú a zároveň nikto ďalší. Ochrana citlivých informácií je v prvom rade záujmom jednotlivých firiem, no zároveň im ju predpisujú i rôzne regulácie, ako zákon o ochrane osobných údajov či európske nariadenie GDPR.
„Alfou a omegou je, aby si firma stanovila, čo vlastne chce chrániť. Je jej domácou úlohou, aby si zodpovedala päť otázok: Aké údaje považuje za citlivé jednak z pohľadu regulácií i svojich potrieb, kde má tieto dáta uložené, kto si nimi manipuluje, čo ich ohrozuje a ako s nimi vlastne chce pracovať,“ hovorí odborník Atosu.
Podľa vašich pravidiel
Jednou z ciest, ako si ochranu citlivých údajov uľahčiť, je označovanie dokumentov. Medzi najčastejšie používané klasifikačné systémy patrí Boldon James. Umožňuje každému dokumentu prideliť atribút a označiť ho tak za verejný, určený len na distribúciu v rámci firmy či pracovnej skupiny alebo za úplne utajený.
Základná klasifikácia zodpovedá zákonu o ochrane osobných údajov, kybernetickému zákonu či GDPR, no firma si môže nastaviť i vlastné pravidlá. Môže tak napríklad nariadiť, že dokument nemožno uložiť ani odoslať, kým nie je označený, alebo že dôverné dokumenty nemožno posielať mimo firmy.
Systém dokonca vie automaticky zareagovať podľa ich obsahu. „Zákazník poslal do banky e-mail s dopytom a aby urýchlil vybavenie, do tela mailu napísal všetky svoje údaje, počnúc číslom účtu a končiac rodným číslom. Zamestnankyňa banky chcela poslať odpoveď, no jej e-mail už neprešiel. Systém ju upozornil, že pošta obsahuje citlivé údaje v rozpore s GDPR,“ pripája príklad z praxe odborník spoločnosti Atos. Systém vie skontrolovať i to, či zoznam adresátov e-mailu zodpovedá úrovni zabezpečenia posielaného dokumentu.
Hoci si firma môže pravidlá prispôsobiť na mieru, Boldon James klasifikátor v základnej verzii už obsahuje politiky, zodpovedajúce najčastejším reguláciám, ktorým firmy bežne čelia.
Integrované riešenie
Označovací systém možno integrovať do programov balíka Office, takže prideliť súboru značku ide jednoducho priamo vo Worde, Exceli, či Outlooku. Značkovať však možno i manuálne, takže ak vo firme využívate hoci i netradičný softvér na technické výkresy, vaše údaje môžete klasifikovať. Čo však v prípade, ak už v čase zavádzania systému máte tisíce dokumentov? Discovery modul si s tým poradí a automaticky označí súbory podľa citlivosti.
Ak firma využíva Active Directory alebo iný systém správy rolí, Boldon James dokáže rozlišovať aj podľa tohto filtra. Inú úroveň citlivosti tak viete nastaviť napríklad pre zamestnanca z oddelenia ľudských zdrojov a inú pre člena obchodného tímu.
Záznamy zo systému sa automaticky posielajú na vyhodnotenie do firemného bezpečnostného systému SIEM. „Pôsobí to ako ďalšia úroveň prevencie. Ak sa napríklad ukáže, že jeden zamestnanec sa snaží opakovane posielať mimo firmu dokumenty, ktoré ju nemajú opustiť, systém na to upozorní,“ uzatvára odborník spoločnosti Atos.
