Před několika lety se firma Flextronics potýkala s ožehavým bezpečnostním problémem: potřebovala zjistit, jak rozumně chránit citlivé a privátní informace před jejich vyzrazením, když jsou však v rukou autorizovaných uživatelů. „Tato společnost zajišťující výrobu IT systémů v globálním měřítku měla stejně jako většina velkých podniků vytvořeny silné ochranné mechanismy proti útokům zvenčí,“ uvádí Brian Bauer, který byl v té době viceprezidentem globálních strategií IT. Přesto však zabezpečení firmy nemusí být účinné vůči ohrožení ze strany zaměstnanců, zákazníků a smluvních partnerů. A na to slouží produkty označované jako ERM (Enterprise Rights Management) či IRM (Information Rights Management).
Jeden z problematických bodů byl řešen tak, že zákazníci a smluvní partneři získávali přístup pouze do těch databázi společnosti Flextronics, které se týkaly jejich projektů. Tato společnost navrhuje a vyrábí produkty pro některé z významných firem produkujících směrovače, videohry či zdravotnické přístroje, přičemž mnoho z těchto klientů jsou navzájem i konkurenti.
Bauerova skupina také potřebovala najít způsob, jak zabránit tomu, aby konstruktéři nevyzrazovali cenné citlivé informace „nebo aby od takového chování byli alespoň odrazováni,“ uvádí Bauer, který je nyní ředitelem v konzultační společnosti Bauer & Associates poskytující informační služby. Podle jeho zkušeností je 70 procent vyzrazených dat způsobeno omyly a nikoli úmyslným ukradením.
IT skupina firmy Flextronics se nejprve pokusila zajistit ochranu tak, že zakázala zaměstnancům vkládat citlivé informace na wiki stránky a na blogy, nosit do práce USB Flash disky a fotoaparáty či dokonce v některých případech zcela zakázala používat internet, vzpomíná Bauer. Nebylo tedy divu, že konstruktéry to dráždilo a stěžovali si, že nemohou získat informace, které pro svou práci potřebují.
Nakonec tato korporace nasadila systém ERM (Enterprise Rights Management) pro správu intelektuálních práv organizace, který kombinuje stroj určený pro aplikaci zásad spojený s řešení DLP (Data Loss Prevention) pro ochranu před odcizením dat a také systém IRM pro správu přístupových práv k informacím. Zvolen tehdy byl produkt Enterprise DLP od firmy NextLabs.
Zásady vs. přiřazení oprávnění
Software DLP skenuje informace odesílané přes firewall a aplikuje na tato data zásady zabezpečení. Tato pravidla jsou obvykle založeny na obsahu -- například může existovat pravidlo určující, že při výskytu určitého slova nebo fráze dojde ke speciálnímu zpracování -- například při přenosu mimo síť firmy bude obsah šifrován.
IRM řeší pro jednotlivé uživatele podrobná oprávnění přístupu k objektům digitálních dat z vnější strany korporátního firewallu. Například zaměstnanec na služební cestě může číst a měnit soubor pomocí přístroje BlackBerry, ale nemůže ho odeslat e-mailem ani zkopírovat do vlastního USB zařízení. Smluvní partner může číst dokument, ale nemůže ho vytisknout ani poslat kolegovi.
„Díky podnikovému systému DLP nasazenému ve firmě Flextronics mohou konstruktéři přistupovat k informacím a spolupracovat s kolegy pomocí webu a také nosit si do práce své USB Flash disky; nikoliv však fotoaparáty,“ uvádí Bauer.
Když software NextLabs Enterprise DLP zjistí, že se nějaký zaměstnanec pokouší sdílet proprietární konstrukční informace na wiki stránkách, odesílat je nezabezpečeným webovým e-mailem nebo je kopírovat na USB zařízení, automaticky zajistí zablokování takové aktivity a zašle zaměstnanci upozornění na podnikové zásady. „Často takové upozornění postačuje,“ poznamenává Bauer. Produkt také dokáže sám vytvářet auditovací soubory, které sledují, kdo směrnice dodržuje a kdo nikoliv.
„Technologie IRM a DLP se proto vzájemně doplňují a řeší dvě kritické propojené oblasti zabezpečení,“ tvrdí Jon Oltsik, ředitel společnosti Enterprise Strategy Group (ESG). „DLP umožňuje týmu IT blokovat veškeré úniky způsobované personálem prostřednictvím e-mailových příloh, které jsou většinou způsobeny chybou lidského faktoru,“ poznamenává. Jakmile se však dokument dostane vně korporátní sítě, je už mimo dosah a kontrolu systému DLP. „Chcete-li podrobné vynucení přístupových práv na úrovni uživatelů, dokumentů a aplikací vně firewallu, potřebujete navíc technologii IRM,“ popisuje Oltsik.
Některé produkty DLP dokážou skenovat interní databáze i úložná zařízení organizací, klasifikovat informace podle nastavených zásad a upozorňovat správce na ty informace, které se nacházejí na nesprávných místech.
Kontrola přes web
„Například společnost BCA Research používá IRM software od firmy FileOpen k řízení toho, co mohou platící zákazníci dělat s jejím duševním vlastnictvím, jakmile si ho stáhnou,“ uvádí Paul Chow, ředitel informačních technologií v této společnosti provádějící výzkumy globálních investic. „Náš výzkum je poměrně drahý a unikátní, přičemž internet usnadňuje porušování práv k duševnímu vlastnictví,“ dodává.
Dodržování směrnic je dalším významným vlivem. IRM například pomáhá správcům IT splnit legislativní směrnice, kterým jejich společnost podléhá, aby došlo k vyzrazení citlivých dat smluvním partnerem. Zejména smluvní partneři z oblasti farmaceutických společností, letecké dopravy a vojska musí dodržovat přísné vládní směrnice zabezpečení při sdílení dat se svými zahraničními pobočkami a dalšími kolegy.
Poskytovatelé zdravotnické péče jsou tlačeni vládními institucemi nejen ke sdílení chráněných zdravotnických informací, ale také k dodržování bezpečnostních nařízení typu HIPAA a podobně. „Pokud chce organizace ACR (American Cancer Registry) provozující registr týkající se onemocnění rakovinou vědět, kolik pacientů s touto nemocí váš ústav eviduje, umožní vám systém IRM odeslat dokument s konsolidovanými daty, ve kterém nedojde k odkrytí identity pacientů,“ vysvětluje Jack Wagner, vedoucí konzultant ve společnosti Vitalize Consulting Solutions.
„Některé produkty ERM také poskytují audit, takže pokud vás navštíví kontrolní orgán nebo právníci, může vaše společnost ukázat, kdo, kdy a co sledoval a také prokázat, že byla použita řádná bezpečnostní opatření,“ poznamenává Wagner.
Současný trh produktů ERM se stále velmi mění a probíhá velké množství konsolidací. Mezi dodavatele DLP patří mimo jiné společnosti RSA (je to divize firmy EMC), dále Symantec, McAfee, Websense, Code Green nebo CA. Dodavateli systémů IRM jsou zase firmy jako Microsoft, Liquid Machines, Gigatrust, Oracle nebo LockLizard. NextLabs navíc tvrdí, že nabízí obě technologie v rámci integrované platformy, která také zahrnuje stroj pro zásady.
Tip pro výběr produktu
Firmy hledající vhodný produkt ERM musí zajistit, že vybrané řešení nebude plnit pouze jejich potřeby zabezpečení, ale také požadavky všech interních subjektů a externích zákazníků.
Jednou z prvořadých otázek, které je nutno položit, jsou podporované formáty dokumentů, aplikace a produkty. Většina systémů IRM zvládá dokumenty Adobe PDF a Microsoft Office, ale jen některé nabízejí ještě více. Například Gigatrust podporuje řadu formátů z oblasti CAD a konstruktérství. Společnost Liquid Machines zase uvádí, že nabízí podporu pro více než 400 typů souborů, zatímco firma LockLizard dovoluje zabezpečenou práci s Flash aplikacemi a se stránkami HTML.
„IRM software od firmy NextLabs je nezávislý na formátu a aplikacích, protože pracuje na úrovni operačního systému,“ prohlašuje produktový manažer Andy Han. To ale omezuje schopnost softwaru řídit určité funkce, jako jsou například vodoznaky nebo úprava obsahu (blokování slov). „NextLabs však dodává doplněk, který tyto funkce poskytuje pro dokumenty vytvářené sadou Microsoft Office,“ tvrdí Han.
Další klíčové kritérium výběru spočívá v tom, jaká klientská zařízení jsou podporována. Dodavatelé IRM teprve začínají pracovat s mobilními zařízeními, aby oddělení IT mohla krotit zaměstnance v jejich tendenci ignorovat a zapomínat zásady podnikového zabezpečení, když jsou na cestách. Vestavěné řídicí prvky zabezpečení IRM mohou například zabránit cestujícím prracovníkům zasílat zákaznické záznamy kolegům přes nezabezpečené webové e-maily. „Také v případě ztráty nebo ukradení mobilního systému zůstanou informace zašifrovány a nepřístupné,“ tvrdí Oltsik z ESG.
Široká podpora klientských zařízení je také důležitá pro spokojenost zákazníků. Zákazníci firmy BCA „nechtějí číst naše výzkumy jen na stolních počítačích, ale také ve svých noteboocích, počítačích v autech, doma nebo na zařízeních iPhone, BlackBerry či Kindle,“ uvádí Chow z BCA. Někteří poskytovatelé IRM již podporují zařízení BlackBerry a někteří slibují podporu pro telefony iPhone. Zařízení Kindle však zatím podporována příliš nejsou.
Nasazení může být obtížné
I když budete mít správné nástroje, může být nasazení ERM problematické. Potenciálně zapeklitým problémem je přesvědčení zákazníků, zejména v partnerských firmách, aby souhlasili s instalací softwaru IRM ve svých klientských zařízeních.
„Omezením technologie ERM je, že chcete-li sdílet dokumenty s partnerem nebo zákazníkem, je k tomu nutné nainstalovat klienta, který bude součástí vaší bezpečnostní domény,“ vysvětluje Oltsik.
To může způsobit konflikty s oddělením IT v dotyčných organizacích. Ve většině případů si je firma ESG vědoma, že tam, kde nějaká společnost úspěšně nasadila zabezpečení IRM u svých partnerů, získala „velký vliv na jejich tržní ekosystém,“ poznamenává Oltsik.
Jednou z cest minimalizace odporu je výběr takového produktu IRM, který má klientský kód relativně malý nebo neproprietární. Firma BCA například přestala používat produkt IRM společnosti LockLizard, „protože vyžadoval instalaci jejich vlastního programu pro čtení dokumentů PDF, který nepocházel od společnosti Adobe,“ uvádí Chow. „Pro naši klientskou základnu to prostě nebylo realizovatelné. Naproti tomu firma FileOpen poskytuje doplněk ke stávajícím prohlížečům Adobe Reader, který lze nainstalovat za 30 s, dodává Chow.
„Přesto však mají někteří zákazníci námitky,“ upozorňuje Chow. „Oddělení IT mají otázky a výhrady typu: Co to je? Je to neškodné? Jaké informace vám to posílá zpět? Musíme provést bezpečnostní audit tohoto doplňku...“
Oddělení IT některých firem dokonce řešení odmítnou - v takovém případě však BCA vyžaduje po dotyčné společnosti, aby podepsala dohodu, v rámci které se zavazuje nesdílet a nezneužívat citlivé informace. „Považujeme to za velmi účinné,“ tvrdí Chow.
Začněte malým rozsahem
Před nasazením platformy ERM a IRM potřebují firmy definovat zásady, které budou prostřednictvím příslušných produktů vynucovány. To může být docela náročné, zejména pokud chce společnost chránit široké spektrum informací uvnitř i vně korporátního firewallu.
Oltsik radí začít s malým počtem zásad a vynucovacích mechanismů, „jinak se budou uživatelé, personál linky podpory a tvůrci zásad potýkat s problémy“ při zvládání nových pravidel. „Je také rozumné najmout nějakého zkušeného poskytovatele služby, který pomůže komplikace s pravidly a jejich vynucením zvládnout,“ dodává Oltsik.
Plánujete-li nasadit komplexní sadu zásad, vyberte si produkt ERM, který pro jejich správu a zavádění poskytuje vývojářské nástroje a nějaký typ stroje pro pravidla. V současné době je však většina nástrojů tohoto typu v produktech ERM proprietární a neintegrovaná. Někteří dodavatelé IRM a DLP ale spolupracují a poskytují integrovaný systém zásad.
Ještě slibnější je rostoucí oborová podpora pro jazyk XACML (Extensible Access Control Markup Language), což je standard, který by mohl umožnit různým pravidlovým strojům sdílet informace. Mnoho dodavatelů ERM propojilo své produkty se službami Microsoft AD (Active Directory) či RMS (Rights Management Services) a umožnilo tak automatickou propagaci přístupových práv AD.
Propojení s infrastrukturou
Pro firmu BCA by bylo velkou pomocí propojení s existujícícmi systémy, které má ve své infrastruktuře nainstalovány, protože zvažuje použití produktu IRM od firmy FileOpen nebo systému DLP pro „vytvoření kontroly interních zaměstnanců, aby nemohli jen tak odesílat nešifrované výsledky výzkumu komukoli,“ popisuje Chow.
Oddělení IT této výzkumné firmy nyní používá službu AD k distribuci zásad uživatelských oprávnění mezi různé interní systémy zabezpečení, ale FileOpen mezi ně nepatří. „Pokud bychom nasadili IRM interně, mohli bychom zrealizovat propojení se službou AD,“ uvádí Chow. Jednodušší instalace produktů ERM, které nezahrnují komplexní pravidla zabezpečení, samozřejmě stroj pro zásady nevyžadují.
Společnost Select Milk Producers například používá produkt IRM od firmy LockLizard k poskytování zabezpečeného přístupu k informacím na svém webu pro své zákazníky a členy vedení, kterými jsou farmáři specializující se na produkci mléka. „Tito lidé nepatří mezi pokročilé uživatele IT a tak se někdy neodpojují nebo si neuloží heslo pro svůj web,“ popisuje Craig Card, hardwarový analytik systémů společnosti Select Milk. Farmáři si také často vzájemně konkurují a jen někteří jsou součástí nejužšího vedení, takže je důležité, aby měli přístup pouze k těm informacím, ke kterým mají oprávnění.
„LockLizard zajišťuje zabezpečení, které funguje automaticky s minimální účastí uživatele,“ tvrdí Card. Tento produkt DRM nemá stroj pro zásady, ale při počtu pouhých 125 uživatelů a 25 členů vedení nebylo ruční nastavení pravidel velkým problémem, dodává Card.
Podobně i firma BCA má dosud nasazen jen omezený počet zásad řízení přístupu FileOpen pro výzkumné dokumenty, které prodává zákazníkům. „Někteří naši klienti nám platí za výzkum mnoho peněz. Pokud byste jim řekli, že si dokument mohou číst pouze on-line a nesmějí ho vytisknout nebo pokud by platnost jejich oprávnění po nějakém datu vypršela, potom byste takového zákazníka zřejmě brzo ztratili,“ říká Chow.
Podle oborových expertů musí úspěšní implementátoři ERM samozřejmě nalézt vhodnou dělicí čáru mezi dodržením priorit zabezpečení na straně jedné a ne příliš velkým omezením vůči uživatelům a zákazníkům, ať už externím nebo interním, na straně druhé.
Když se například jednalo o vynucování pravidel zabezpečení ve společnosti Flextronics, „snažili jsme se být proaktivní a ne jen na něco reagovat“, vzpomíná Bauer. „Většina nástrojů zabezpečení používá model dopravního policisty: OK, právě jsme vás načapali při překročení povolené rychlosti -- jenže dotyčný pachatel mezitím díky porušení pravidel ujede. ERM pomáhá v prevenci, aby k takovému překračování rychlosti nedocházelo, takže není nutné udělovat pokutu…“
Tento text vyšel v tištěném SecurityWorldu 2/2010