To, co mi chtěl ukázat, se týkalo digitální správy autorských práv (DRM, Digital Right Management). Už dříve jsem se zmiňoval, že jsem DRM zkoušel implementovat, abychom tak chránili duševní majetek naší firmy. Pomocí DRM je možné zašifrovat dokument a pak ho "zabalit" do digitální obálky, ke které se vztahují určitá povolení a omezení. Povolení mohou být jednoduchá, třeba prostý seznam autorizovaných příjemců, přičemž pravidla mohou definovat, zda příjemce provádět může provádět takové operace jako „copy-and-paste, ukládání, tisk nebo přeposlání.
První pokusy
Můj původní pokus o zprovoznění DRM nebyl příliš úspěšný. Jako projektový vedoucí jsem musel nadefinovat většinu požadavků, udělat průzkum mezi dodavateli a vybrat toho, který spustí pilotní projekt. Dostal jsem se tak daleko, že jsem už dokonce měl nakonfigurovaný server Solaris a zbývalo jen získat software pro server DRM. Pak bylo ale financování projektu "odloženo". Což byl jen jemnější způsob toho, jak mi sdělit, že byl celý proces zrušen.
A možnosti financování DRM nevidím i nadále. Když jsem nastoupil do této firmy, bylo mi řečeno, že ochrana našich dat je pro všechny priorita – očekával bych tedy, že naši řídicí pracovníci budou myšlenkou DRM přímo nadšeni. Je to vlastně docela komické, když si vzpomenu na všechny ty nekonečné hodiny, které jsem strávil průzkumem a organizováním projektových meetingů ohledně různých nápadů, jež nakonec ztroskotaly na nevyřešeném financování. Práce mi samozřejmě nevadí, neboť se vždycky něco naučím - většina projektů totiž vyžaduje buď instalaci nových technologií, nebo něco, co už jsem sice využil někdy v minulosti, ale je nutné si to nějak oživit. Jako manažer bezpečnosti ovšem musím být opatrný, abych do projektů nebyl příliš vtažen, neboť musím řídit celé oddělení a nemám čas na věci jako je konfigurování serverů. To ovšem šlo stranou, když si mě šéf zavolal.
Představa mého šéfa
Předchozí večer totiž strávil různými pokusy s klientem Microsoft Windows Rights Management Services (RMS) a nyní mi ho demonstroval ho pomocí ukázky používání svého Passportu. Produkt Passport, nyní nazývaný Live ID, byl vývojáři Microsoftu vytvořen jako univerzální logovací služba a uživatelům dovoluje přilogovat se na různé webové stránky pomocí jediného účtu. V praxi se však nikdy jeho použití nerozšířilo. Ale platforma RMS může Live ID použít jako platnou identifikaci k zašifrování a ověření uživatelova vztahu s určitým dokumentem nebo jiným elektronickým obsahem. Můj šéf tím byl tak nadšený, že chtěl udělat předváděčku pro skupinu vedoucích pracovníků. Jeho úvaha byla taková, že když je dokáže přesvědčit o tom, že RMS je užitečná technologie, budou souhlasit s financováním aktivit ohledně zrevidování projektu DRM.
RMS je určitě zajímavou alternativou DRM, protože software pro klienta i server je k dispozici bezplatně a většina aplikací sady Microsoft Office už RMS podporuje. Po uvedení do provozu se pak platí za každého uživatele - nejsou však zde žádné počáteční náklady.
Projekt se rozbíhá
Souhlasil jsem se zavedením RMS pro testovací účely, ale s tím, že nebudeme používat Live ID. Live ID totiž vyžaduje, aby si uživatel vytvořil vlastní identifikaci, což může způsobovat určité problémy. Před lety jsem si vytvořil svůj Passport ID a pro ověření jsem použil svůj e-mail u Yahoo. Bohužel jsem ale pak nebyl schopen použít to samé ID i v mém zaměstnání, protože není možné firemní e-mailovou adresu spojit s mým již existujícím Passport ID.
Proto jsme místo toho nainstalovali produkt Microsoft Rights Management Server. Naše myšlenka je taková, že RMS klient bude muset, aby zjistil, kde se nachází RMS server, komunikovat s Active Directory. (Ve své firemní Active Directory musíte nakonfigurovat takzvaný "service connection point".) Jakmile se klient se serverem spojí, obdrží jemu odpovídající práva.
Ukázalo se to jako jasná a snadno kontrolovatelná metoda nasazení RMS - instalace serverového softwaru zabrala jen deset minut. Pro naše testovací účely jsme vytvořili dvoje pravidla. První jsme nazvali Intellectual Property Protection Steering Committee Only (IPPSC-Only). Dokument nebo e-mail, na který jsou aplikována tato pravidla, může být otevřen jen šesti členy skupiny, a to s přístupem nastaveným na „read-only“. Těmito pravidly jsme ukázali, že i malá skupina pracovníků může mezi sebou sdílet určité dokumenty. Když nejste členem této skupiny, nemůžete dokument nebo e-mail otevřít, i když jste zaměstnancem firmy.
Další pravidla, která jsme nazvali Internal Use Only, umožňují komukoli z firmy, kdo má účet vedený v naší doméně, otevřít dokument či e-mail. Zde nejsou žádná další omezení - pokud jste zaměstnancem, máte plnou kontrolu nad každým dokumentem nebo e-mailem, který má přiřazena tato pravidla. Nechal jsem našeho experta na Windows vytvořit instalační balíček, takže klient může být nainstalován každým uživatelem velmi jednoduše. Je potřeba si uvědomit, že tento test jsme prováděli na skupině vedoucích pracovníků. Pokud by museli klikat skrz množství instalačních obrazovek, určitě by tvrdili, že software není uživatelsky přívětivý.
Vedení je zvídavé
Prezentace vedoucím pracovníkům proběhla celkem dobře, i když jsme zaznamenali množství dotazů, začínajících slovem "předpokládejme, že...". Například "Předpokládejme, že potřebuji chráněný dokument otevřít u zákazníka", nebo "Předpokládejme, že chci poslat chráněný dokument někomu, kdo není náš zaměstnanec". Mám na seznamu okolo patnácti takových otázek, které budu muset prozkoumat a odpovědět. Ale cílem tohoto testu bylo představit vedoucím pracovníkům technologii, která může, bude-li správně zrealizovaná, zabránit krádeži firemních dat a tak zachránit firmě spoustu peněz. Věřím, že jsem tento úkol splnil. Teď budu jen sedět a čekat, až se otevře šeková knížka...
PŘEDPLATNÉ
ČLÁNKY DO MAILU