Duševní vlastnictví v bezpečí

Dodavatelé pro státní správu, ale i jiné organizace v této době usilovně přemýšlejí o zabezpečení svých dokumen...


Dodavatelé pro státní správu, ale i jiné organizace v této době usilovně
přemýšlejí o zabezpečení svých dokumentů. Nedávné krádeže dat, jež vzbudily
velkou pozornost, stejně jako úřední nařízení tyto firmy nutí i k tomu, aby se
zamyslely nad otázkou, kam například putuje každý
e-mail s citlivými informacemi. Jako vhodné řešení se jeví nasazení systémů ERM
(Enterprise Rights Management, software pro správu duševního vlastnictví
organizace).


IT oddělení se snaží o to, aby byla schopna kontrolovat jak šíření firemních
dat, tak přístup k nim, ať už se jedná o data obsažená v e-mailových zprávách,
v dokumentech Wordu nebo v jiných formátech elektronických dokumentů. Únik
informací o zákaznících nebo předčasné uvolnění finančních informací může vést
jak k nepříjemnostem na veřejnosti, tak i k zákonem uloženým sankcím.
Když například společnost Corning začala prodávat produkty pro vojenské či
letecké a kosmické využití, potřeboval tento výrobce optických a kabelových
produktů najít způsob, jak ukázat, že se kontrolami exportu řídí a že s
citlivými daty náležitě zachází. "Vládní předpisy jsou velmi striktní," říká
James Scott, ředitel Corningu pro správu znalostí a informací. Aby těmto
stanovám vyhověla, nasadila firma Corning ERM software firmy Liquid Machines.
Výzkumní a vývojoví pracovníci Corningu využívají software pro šifrování
kritických dokumentů a aplikování pravidel, která určují nejen to, kdo má k
souborům přístup, ale také to, zda je lze tisknout, kopírovat či elektronicky
přeposílat druhým. Systém rovněž zavádí řetězec vazeb, díky němuž nabízí
prověřovací záznam o tom, kdo k dokumentu přistupoval či kdy a co s ním kdo
prováděl. "Nyní si můžeme dát ruku na srdce a říci, že dodržujeme předpisy,"
prohlašuje Scott.

ERM uvnitř
Podobně jako software pro digitální správu autorských práv, tedy Digital Rights
Management (DRM), i ERM produkty zamykají dokumenty pomocí zašifrování. Avšak
zatímco DRM se soustřeďuje na koncového uživatele, ERM systémy jsou navrženy
pro podporu dohodnutých politik pro zabezpečení dokumentů v rámci firem a při
komunikaci mezi korporacemi a mají poskytovat i prověřovací záznam (audit).
V ERM systému ukládá policy server (server pro řízení politik) šifrovací klíče,
autorizuje přístupy uživatelů k dokumentům a zajišťuje údržbu šablon politik.
Tyto šablony uchovávají pravidla, jež diktují, co mohou uživatelé v různých
funkcích provádět s rozličnými třídami dokumentů. Uživatelé pak tyto politiky
aplikují na dokumenty v době, kdy je vytvářejí. Většina produktů vyžaduje, aby
na uživatelském PC běželi softwaroví agenti nebo plug-iny navržené pro práci se
specifickými aplikacemi, jako je Microsoft Word či Internet Explorer.
Jiná řešení, jako třeba Microsoft Rights Management Services (RMS), požadují,
aby aplikace byly modifikovány tak, aby nativně podporovaly API rozhraní ERM
systémů. Většina z nich také vyžaduje infrastrukturu pro správu identit.
"Jestliže nemáte podnikový adresář, bude vše náročnější," říká Trent Henry,
analytik společnosti Burton Group.
Trh ERM, zpočátku ovládaný množstvím malých výrobců, začal v posledních
několika letech rychle růst, a to i díky zapojení takových firem, jako je
Microsoft či Adobe Systems. Jak RMS, tak Adobe LiveCycle Policy Server
vyžadují, aby byly aplikace přepsány tak, aby podporovaly jejich API. Výsledkem
je to, že podpora pro ně ze strany aplikací je dnes zatím velmi omezená.
Produkt Adobe podporuje pouze PDF dokumenty, ačkoliv výrobce tvrdí, že třetí
strany poskytují agenty pro některé další aplikace. Systém Microsoftu zase
podporuje pouze dokumenty balíku Office 2003. Spoléhá přitom na třetí strany,
jež by měly nabídnout funkce pro centralizovanou správu politik a také agenty
pro podporu dalších aplikací.
Další výrobci se raději soustřeďují na poskytování nezbytných softwarových
agentů, než aby spoléhali na to, že třetí strany budou ihned přepisovat své
aplikace. Firmy jako Authentica mají dobře zavedené produkty, ale nabízejí
relativně omezenou podporu aplikací. Většina z nich podporuje dokumenty typu
Office, Acrobat, HTML a Outlook, stejně jako běžné obrazové formáty, například
JPG, TIFF atd. Avšak jen málokdo podporuje soubory vytvářené v jiných
aplikacích, jako jsou třeba CAD (Computer-Aided Design) systémy.

Právní výzvy
Vzhledem k problémům s podporou aplikací váhal Fred Pretorius s instalací
Microsoft RMS v právní firmě Mintz, Levin, Cohn, Ferris, Glovsky and Pope PC.
Ta chtěla ERM využívat k ochraně dokumentů jak interně, tak při jejich
přenášení mezi šesti regionálními pobočkami. "Nechceme, aby zaměstnanci jen tak
posílali data ven," vysvětluje Pretorius, ředitel informačních služeb.
Ačkoliv tato kancelář využívá infrastrukturu založenou kompletně na platformě
Microsoftu, musely být nejdříve aktualizovány desktopy na balík Office 2003 a
teprve pak bylo možné nasadit RMS. A k tomu navíc nemohlo dojít dříve, než byly
vyřešeny problémy s kompatibilitou systému pro podnikovou správu obsahu. V
mezidobí mohl Pretorius využívat na desktopech softwarové agenty třetích stran,
a tím aplikacím umožnit, aby mohly s RMS spolupracovat. Toto řešení ale odmítl.
"Někdy je to právě interakce těchto přídavných komponent, která působí
problémy," vysvětluje. "Proto je lepší počkat na Microsoft, než se trápit
nočními můrami kvůli integraci."
Systém je nyní v pilotním stadiu, přičemž s plným provozem se počítá v
nejbližší době. Zavést jej nebylo nijak obtížné a i uživatelé rozhraní shledali
jako snadno použitelné, říká Pretorius. Nebyl však schopen vyhnout se jiným
integračním problémům, jež souvisely se systémy pro antivirovou ochranu,
archivaci e-mailů či podnikovou správu obsahu. Jakmile je obsah jednou
zašifrován, není možné jej skenovat. Bez adekvátního zabezpečení na desktopu by
tedy někteří uživatelé mohli zašifrovat infikované soubory, poslat je ostatním,
a tak rozšířit například virus.
Software pro archivaci e-mailů KVS Enterprise Vault společnosti Veritas
Software, který využívá zmíněná právní firma, nedisponuje právy pro prohlížení
šifrovaných souborů, a proto je nemůže pro vyhledávání indexovat. Avšak
Pretorius říká, že uživatelé jsou ochotní se s tím zatím vyrovnat. "Jde o střet
mezi jednoduchostí použití a bezpečností," vysvětluje. Produktový manažer
Microsoftu Piyush Lumba tvrdí, že Veritas už o podpoře RMS ve svém KVS uvažuje.
Další dodavatelé pak uzavřeli partnerství s klíčovými výrobci, jako je právě
Veritas nebo Documentum, což je divize společnosti EMC.
"IT oddělení by měla zvážit důsledky obecně rozšířených aplikací pro šifrování
vůči dokumentům v celé organizaci," říká Henry z Burton Group. Mohly by totiž
ovlivnit plánovanou obchodní kontinuitu tím, že zpomalí proces obnovy dat. K
dalším výzvám patří třeba dlouhodobá archivace obsahu šifrovaného
proprietárními technikami či neustálá správa klíčů pro přístup k němu.
V současnosti RMS postrádá možnost centralizované kontroly, kterou by Pretorius
preferoval. "Uživatelé musejí mít sami na paměti, aby svůj obsah chránili,"
říká. Raději by proto přidal vrstvu sofistikovanějších služeb pro správu
politik, a to od firem Meridio nebo Liquid Machines. Ty by, jak doufá, mohly
být nakonfigurovány tak, aby aplikovaly politiku pro správu práv na základě
pozice uživatele nebo typu vytvářeného obsahu.
Scott z firmy Corning by naopak tento proces automatizovat raději nechtěl.
"Chceme, aby uživatelé o klasifikaci dokumentů vždy přemýšleli," říká. Mnohem
důležitějším problémem je podle něj tvorba bezpečnostních pravidel pro
dokumenty, tedy klasifikace a definice politik, které odpovídají firemním
potřebám. Ty musejí být totiž současně konzistentní i s klasifikací dokumentů
používanou v jiných oblastech, jako jsou například systémy správy firemních
záznamů (Corporate Records Information Management) či správy obsahu.
"Musíte myslet dopředu na to, jaké role a skupiny uživatelů jsou pro vás
podstatné, a věnovat čas vytvoření patřičných politik," říká Henry. "Tento
proces může trvat i více než rok," dodává Scott, ale varuje, že je třeba se
vyhnout "klasifikaci podle výjimek". Pro Corning byl tento proces obzvláště
obtížný, neboť Scott našel jen málo firem, které by mu mohly posloužit jako
model. Zatímco mnohé organizace používají tři nebo čtyři kategorie pro papírové
dokumenty, jen málo z nich se zaměřilo na elektronické dokumenty. "Nenašli jsme
mnoho příkladů do začátku," shrnuje Scott.

Cesta ven
Rozšíření ochrany dokumentů za hranice firemního firewallu představuje zcela
odlišnou množinu problémů. Uživatel, který přijme dokument, musí obdržet
autorizaci od vydávajícího serveru pro správu politik ještě před tím, než jej
otevře, takže tyto služby musejí být přístupné přes internet. Příjemci
chráněných dokumentů musejí být autentizováni, když tyto soubory poprvé
otevírají, a lze požadovat, aby autentizaci provedli také vždy, když si soubory
prohlížejí. Mohou ale také získat "pronájem", jenž jim umožní přístup na
specifikovanou dobu.
Když National Occupational Competency Testing Institute (NOCTI) potřeboval
ochránit webové stránky, aby tak zabezpečil své on-line testovací služby,
samotný produkt RMS nebyl zcela dostatečný. "Nebyl schopen prostřednictvím
prohlížeče vynutit dodržování práv na stroji, který nebyl členem naší domény,"
vysvětluje Shawn Davis, IT manažer organizace. Využívá tedy produkt GigaTrust
společnosti GigaMedia Access, který je postaven právě nad RMS.
V rámci řešení GigaTrust využívají klienti plug-in pro Internet Explorer.
GigaTrust hostí produkt Microsoft RMS, který pro odemykání požadovaných
testovacích HTML stránek vydává šifrovací klíče, jakmile se registrovaní
uživatelé přihlásí na testovací web. Ti, kdo si testování objednají, si mohou
prohlížet webové stránky a provádět interaktivní operace, avšak je nemohou
tisknout nebo kopírovat.
Protože ale klientské PC muselo žádat o novou licenci pro vyvolání každé webové
stránky, dosahovaly časy jejího natažení běžně až osmi sekund. "To pro nás bylo
nepřijatelné," říká Davis. Poté, co GigaMedia modifikovala svůj software, aby
umožňoval lokální cachování certifikátů pro klientské přístupy, klesly doby
natažení přibližně na dvě sekundy. Polovinu této doby zabere podle Davise
dešifrování souboru. Výkon je už nyní tedy přijatelný.
Dalším problémem je vyrovnat se s expirací certifikátů pro dokumenty. Pokud
nejsou korektně nastaveny defaultní hodnoty pro daný případ použití, mohli by
nakonec IT manažeři čelit například zlostnému telefonátu ředitele firmy, který
se během služební cesty nemůže dostat k souborům na svém notebooku.
Vzhledem k tomu, že 15 % zákazníků NOCTI využívá on-line testování a poptávka
roste o 30-40 % ročně, stalo se zabezpečení dokumentů kritickým činitelem pro
získání nových zakázek. "Byl to pro nás velký krok vpřed. Fakt, že tuto novou
technologii využíváme, se stal výborným prodejním argumentem," potvrzuje Davis.
"Technologie ERM ještě stále dozrává," říká Henry. Současné uživatele popisuje
jako early adopters (první uživatele, kteří teprve zkoumají možnosti novinky) a
dodává, že vznikající průmyslové standardy ještě nejsou zcela vyvinuty.
Například neexistují zavedené standardy pro softwarové agenty, šifrování,
správu klíčů nebo pro společný jazyk popisu práv (Rights Markup Language). "Pro
velké podniky by mohlo znamenat komplikace, pokud by jejich obchodní jednotky
chtěly využívat odlišné produkty," dodává. ERM systémy jsou také dosti
nákladné, cena se může pohybovat v průměru mezi 100-200 dolary na jedno
pracovní místo a kolem 1 milionu nebo i více dolarů za nasazení v rámci celého
podniku.
Nicméně ERM se podle Henryho dobře hodí pro důležité aplikace, kde je nutné
zabezpečení na vysoké úrovni. Ochrana duševního vlastnictví,
business-to-business
e-mailů obsahujících citlivý obsah (jako třeba ceníky) nebo strategických
informací sdílených mezi zástupci nejvyššího vedení jsou dobrými místy, kde
začít. Henry ale varuje, že někteří uživatelé, obzvláště vysocí manažeři, mají
odpor k technologii, pokud je příliš složitá.
To však není případ firmy, kde pracuje Pretorius: "Nadšení pro tento přístup je
u nás velmi vysoké," tvrdí. RMS byl podle něj až dosud spolehlivý a vzhledem k
tomu, že už je k dispozici i Service Pack 1, není důvod, proč nepokračovat
vpřed. "Nemyslím si, že je potřeba na něco čekat," říká.





Pár tipů pro nasazení ERM1. Začněte u obsahu, který má velkou hodnotu. Širší
nasazení nové technologie se patrně neosvědčí, neboť většina systémů spoléhá na
to, že uživatelé budou aplikovat šablony politik. I když mohou být nástroje
intuitivní, uživatelé je možná shledají nepohodlnými či obtížnými.
2. Zjistěte, jaké typy dokumentů potřebujete chránit. Všichni výrobci podporují
soubory aplikací Microsoft Office a Outlook i PDF, avšak podpora pro další
klientské aplikace se už liší. Někteří dodavatelé nabízejí univerzální agenty,
zatímco jiní vyžadují, abyste si pro každý typ dokumentů, jež chcete
zabezpečit, koupili agenty specifické pro příslušné aplikace.
3. Klasifikace je klíčem k úspěchu. Definice kategorií dokumentů a vytváření
politik, které odpovídají obchodním potřebám, jsou zásadními kroky k úspěchu -
a také časově nejnáročnější částí zavedení ERM systému.
4. Přemýšlejte v souvislostech i mimo ERM. ERM systémy a vytvořené kategorie
politik by měly být koordinovány se systémy pro správu záznamů, elektronického
obsahu,
e-mailů a dalšími. Zajímejte se proto i o partnerství mezi výrobci vašeho
softwaru.
5. Snažte se pochopit důsledky obecně rozšířeného šifrování. Zabezpečené
soubory jsou totiž zašifrované, což má dopad i na systémy pro správu znalostí,
archivaci e-mailů, antivirové skenování, obchodní kontinuitu a další, pokud
nejsou s ERM systémem integrovány.


Války o práva na jazyk DRM

Interoperabilita ERM systémů závisí na standardech. Ale většina technologií
stojících za ERM je založena tom, co nyní funguje ve spotřebitelské oblasti v
rámci digitální správy autorských práv (DRM), a tyto standardy jsou nyní
předmětem intenzivních sporů.
Jednou z oblastí sváru je, který značkovací jazyk používat pro zajištění
interoperability mezi DRM systémy. Proti sobě stojí Extensible Rights Markup
Language a Open Digital Rights Language. Obměnou prvního z nich se stal
relativně nový standard ISO označovaný jako MPEG Rights Expression Language
(REL). Avšak standard je odvozen z intelektuálního vlastnictví společnosti
ContentGuard, již částečně vlastní Microsoft. Ačkoliv intelektuální vlastnictví
obsažené ve standardu musí splnit požadavek ISO (musí být dostupné za
přiměřených a nediskriminačních licenčních podmínek), není zcela bezplatný.
"Myslíme si, že řešení, která využívají standard REL, pravděpodobně porušují
naše patenty," tvrdí Bruce Gitlin, jeden z prozatímních ředitelů firmy
ContentGuard. Navíc jejich patenty jsou dostatečně široké, takže "je možné, že
kterékoliv DRM řešení může některý z patentů porušovat". "Probíhá tedy obrovský
spor ohledně role společnosti ContentGuard," říká Trent Henry, analytik firmy
Burton Group.
Konkurenti Microsoftu na poli ERM včetně firem Adobe a SealedMedia si zatím
udržují odstup. "Vůbec s tím nesouhlasím," říká Martin Lambert z firmy
SealedMedia. "Patenty ve Spojených státech," lamentuje, "nejsou důsledně
prozkoumány patentním úřadem, jsou analyzovány až soudy během vedení sporu."
Standardy tak možná budou muset počkat, až se o ně poperou výrobci u soudu.
Firma ContentGuard se mezitím snaží prosadit svá práva: "Jednáme s každým, o
kom víme, že nějaký DRM produkt nabízí," říká Gitlin. Dodavatelé ERM budou
možná dalšími na řadě.










Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.