Skrytá data všude kolem: Proč je pro bezpečnost dat důležitá úplná viditelnost

Efektivní data discovery je zásadní pro účinnou bezpečnost dat a klíčovou součástí tohoto procesu je viditelnost. I když máte zavedené vynikající metody pro vyhledávání dat, jste v ohrožení v takové míře, v jaké je neaplikujete na všechny části vaší organizace. 

Skrytá data jsou všude a je na vás jako na bezpečnostním lídrovi zajistit, že máte přehled o celé digitální stopě vaší společnosti. Je to jediný způsob, jak skutečně zajistit bezpečnost dat a firemních aktiv.

Shadow IT, ještě důležitější v éře umělé inteligence

Každý nový zaměstnanec představuje další riziko, pokud není správně zařazen do firemních protokolů pro úkoly související s IT. Nedostatek školení o tom, co zaměstnanec může a nemůže sdílet, otevírá dveře riziku. To vede ke vzniku shadow IT, které může být pro organizace významným rizikovým faktorem.

Shadow IT může být zdánlivě neškodné – například přidání aplikace třetí strany pro správu sociálních sítí nebo nahrávání hlasových záznamů do cloudové služby pro přepis hlasu, která si data uchovává. To však může být pro firmy v přísně regulovaných odvětvích doslova minové pole.

S příchodem umělé inteligence se toto riziko výrazně zvyšuje. Ať už jde o jednorázový rozhovor s AI chatbotem nebo o rozsáhlejší integraci, při práci s AI vzniká obrovské datové riziko. Pouhé použití ChatGPT může dostat firmy do nesouladu s předpisy o ochraně dat, zejména když stále platí soudní příkaz, který ukládá OpenAI uchovávat každou konverzaci se zákazníky. U hlubších integrací pak firmy využívající AI nástroje pro programování riskují sdílení důvěrného, proprietárního kódu s třetími stranami. 

Zaměstnanci často nevědí, co se smí a nesmí AI sdělovat – zejména pokud používání zahrnuje nahrávání klíčových dokumentů nebo integraci databází v rámci rozsáhlejších iniciativ. Zavádění technických opatření je zásadní, aby se zaměstnanci nedostali do pasti mylného přesvědčení, že „jen tentokrát“ nebo „jen tahle neškodná informace“ sdílet nevadí. 

Správa shadow IT, obzvlášť s příchodem AI, může být náročná. Není realistické jej zcela eliminovat a jak říká CTO Safetica, Zbynek Sopuch: „shadow IT vzniká z potřeby zaměstnanců po pohodlí, flexibilitě a moderních nástrojích.“

Téměř všechny velké společnosti přidaly do svých produktů funkce umělé inteligence, což znamená, že AI je nyní dostupná v mnoha službách, které zaměstnanci potřebují legitimně používat. Firmy navíc mohou zahajovat vlastní iniciativy pro integraci AI do více oddělení.

Všechny tyto scénáře – velké i malé – přidávají nový stupeň rizika pro firemní data. Proto je vytvoření firemní AI politiky a rámce ještě důležitější než samotné zavádění bezpečnostních opatření. 

Firemní AI rámec by měl definovat, jaké používání AI je přijatelné a jaké ne. Měl by také uživatelům pomoci pochopit rizika spojená i se zdánlivě neškodným použitím, a upozornit na služby, které mohou mít AI integrovanou. 

Sopuch doporučuje, aby se organizace při práci s AI zaměřily na „bezpečné zpřístupnění“, tedy poskytování prostředí a sandboxů „bezpečných k vyzkoušení“ a jasně definovaných datových hranic, které umožní týmům objevovat nové technologie bez ohrožení kritických systémů. Díky viditelnosti, důvěře a definovaným eskalačním postupům mohou organizace využít shadow IT ve svůj prospěch a proměnit jej „z bezpečnostního rizika na strukturovanou cestu k inovacím, která vyvažuje kreativitu s kontrolou“.

Realita moderních pracovních prostředí

Lidé už nepracují na jednom místě jako dříve. Během jediného dne zaměstnanci přecházejí mezi zařízeními, místy a sítěmi. 

Citlivá data je doprovázejí všude. 

To zahrnuje i používání vlastních zařízení (BYOD), ale jde ještě dál, protože různorodá pracovní prostředí se stala běžným standardem. Výzvou je, zda má vaše firma dostatečnou viditelnost nad daty a může monitorovat používání více zařízení – bez ohledu na to, zda patří zaměstnanci nebo firmě. 

Politiky BYOD se staly populární s rozšířením chytrých telefonů v pracovním prostředí a přesunem do cloudu. Globální pandemie COVID tento trend urychlila, protože práce na dálku se stala normou a BYOD se stalo de facto standardem. 

Řešení, nástroje a procesy, které umožňují viditelnost, správu a bezpečné zacházení s daty, obvykle nelze instalovat na osobní zařízení. A i když to možné je, nástroje jako správa mobilních zařízení (MDM) jsou velmi invazivní a často přenášejí kontrolu nad zařízením ze zaměstnance na zaměstnavatele. Zaměstnanci se tomu pochopitelně brání. 

Není ani realistické očekávat, že zaměstnanci budou přistupovat k pracovním zdrojům pouze z firemních zařízení, zatímco současně mají být „neustále k dispozici“, jak je to v dnešní době běžné. Požadavky typu „rychle se podívej na tenhle e-mail“ mohou být zcela nemožné, pokud se zaměstnanec nemůže přihlásit z jiného než schváleného firemního zařízení. 

Jako bezpečnostní lídr nemůžete kontrolovat zařízení, která nepatří firmě – ať už je to zařízení zaměstnance, veřejný počítač v knihovně nebo firemní zařízení připojené k veřejné Wi-Fi síti. Místo toho se musí lídři zaměřit na zajištění viditelnosti toho, kdy a jak se zaměstnanci připojují k čemukoli, co souvisí s organizací, a také viditelnosti samotných dat. Tímto způsobem můžete monitorovat a chránit svá data bez ohledu na použité zařízení. 

Riziko třetích stran

Riziko třetích stran je stále přítomnou realitou a mělo by být zahrnuto do vaší strategie viditelnosti a správy. Tato rizika mohou pocházet od poskytovatelů SaaS, cloudových služeb, softwarových závislostí nebo outsourcingu. 

Viditelnost třetích stran se týká toho, jak třetí strany interagují a připojují se k vašim firemním aktivům, datům, integracím a dalším systémům. V určitém smyslu lze toto riziko považovat za formu shadow IT, ale dostatečně významnou na to, aby byla posuzována samostatně.

Příběhy o narušeních dat způsobených třetími stranami jsou početné – například útok na dodavatelský řetězec SolarWinds v letech 2019/2020, který vedl k instalaci škodlivého softwaru v 18 000 organizacích, včetně federálních úřadů a mnoha firem z Fortune 500. Výsledný incident byl označen za „nejzávažnější kybernetický průnik v historii [Spojených států]“. 

Útok na Capital One v roce 2019, který vedl ke krádeži 100 milionů žádostí o kredit, vznikl kvůli špatně nakonfigurovanému serveru AWS. 

Zranitelnost v nástroji třetí strany pro tvorbu logů, Log4j, vedla v roce 2019 ke kompromitaci stovek milionů počítačů, což přimělo německého federálního ministra bezpečnosti informací označit hrozbu nejvyšším stupněm poplachu. 

Aby firmy mohly čelit riziku třetích stran, musí získat viditelnost nad tím, jak tyto subjekty interagují s jejich systémy a daty. I když by v ideálním případě měli bezpečnostní lídři spolupracovat pouze s renomovanými a bezpečnými třetími stranami, realita je taková, že zranitelnosti budou vždy existovat a neexistuje žádný software, který by byl zcela odolný proti útokům. Díky získání viditelnosti nad třetími stranami můžete rychle vyhodnotit, zda mají přístup k většímu množství informací, než skutečně potřebují. 

Například nechvalně známý útok MoveIt mohl být z velké části zmírněn, kdyby organizace před přenosem svá data šifrovaly. Jednoduchá strategie šifrování s veřejným a soukromým klíčem by zajistila, že ukradená data by byla pro útočníky nepoužitelná. Viditelnost nad nešifrovanými daty v úložišti by bezpečnostním lídrům poskytla přehled o tomto riziku ještě před tím, než se stalo problémem. 

Podpůrné služby třetích stran, jako je outsourcovaná technická podpora, mohou mít rovněž zvýšené oprávnění ve vaší síti. Proto je zásadní provést audit toho, které entity mají zvýšené oprávnění a nadměrný přístup k datům – a které je skutečně potřebují. 

Viditelnost je klíčová pro komplexní ochranu dat

Vědět, kde hledat, je stejně důležité jako vědět, jak hledat, pokud jde o bezpečnost a vyhledávání dat. Výše uvedené body jsou velmi běžné, ale zároveň zcela řešitelné.

„Zlepšení viditelnosti nad nekontrolovanými kanály vyžaduje správnou kombinaci technologií, politik a neustálého vzdělávání zaměstnanců,“ říká Sopuch. „Řešení, jako je prevence úniku dat (DLP) a cloudová nebo virtuální pracovní prostředí, pomáhají oddělit osobní a pracovní prostředí, čímž chrání firemní data i na zařízeních zaměstnanců nebo třetích stran. V kombinaci s povědomím uživatelů, průběžným monitorováním a jasnou správou tato opatření poskytují jak bezpečnost, tak pohodlí a zajišťují viditelnost bez omezení produktivity.“

Zbynek Sopuch, CTO společnosti Safetica

Díky tomu, že máte plán pro získání viditelnosti nad shadow IT, více zařízeními a riziky třetích stran, můžete podniknout kroky k vytvoření robustnější strategie prevence úniku dat (DLP) a bezpečnosti dat.

Jak tuto viditelnost získat, je další otázka. Můžete si vybrat více nástrojů, které přidávají složitost, nebo jediný nástroj, jako je komplexní řešení Safetica pro vyhledávání a klasifikaci dat. Sopuch však doporučuje přistupovat k viditelnosti nad nekontrolovanými kanály strategicky, ne jako k něčemu, čemu je třeba se vyhýbat.

„Místo odporu vůči tomuto trendu by se organizace měly zaměřit na to, aby byly bezpečné operace stejně pohodlné,“ říká. „Cloudové služby, webové aplikace a tenké či virtuální klienty umožňují uživatelům pracovat bezpečně z jakéhokoli zařízení, přičemž firemní data zůstávají v řízených a kontrolovaných prostředích.“

Zbynek Sopuch, CTO společnosti Safetica

Ať už uděláte cokoli, je důležité pochopit, že úplná bezpečnost přesahuje aktivní detekci hrozeb a zahrnuje i získání viditelnosti nad vašimi daty – ať už se nacházejí kdekoliv.