Safetica: aby dane nie wyciekały

Nie bez powodu uważa się, że człowiek jest najsłabszym ogniwem bezpieczeństwa. Na nic zdadzą się najbardziej wyrafinowane rozwiązania techniczne, jeśli sfrustrowany, zmieniający pracodawcę, albo motywowany innymi przesłankami pracownik zdecyduje się wynieść dane na zewnątrz. Chyba, że pieczę nad firmowymi zasobami sprawuje rozwiązanie DLP takie jak to od Safetica.

Każdego dnia pracownicy mają dostęp do wrażliwych danych, które stanowią wartość niematerialną przedsiębiorstwa (patenty, technologie, bazy klientów) oraz mogą być chronione z tytułu prawa (dane osobowe). I choć sprawa jest bardzo poważna, zarządzający nie zawsze dostrzegają ryzyko wycieku informacji. W wielu firmach nikt nie wie w jaki sposób, gdzie i przez kogo wrażliwe dane są przetwarzane, kopiowane i przekazywane dalej.

Safetica DLP

Data Leak Prevention (DLP) to kategoria oprogramowania, którego zadaniem jest zabezpieczenie danych elektronicznych przed kradzieżą lub wyciekiem. Znamienitym reprezentantem tej klasy rozwiązań jest Safetica. Program pomaga chronić firmowe dane, nadzorując i blokując celowe lub przypadkowe próby ich wyniesienia na zewnątrz. Co więcej, Safetica w umiejętny sposób integruje mechanizmy DLP z funkcjami monitorowania aktywności użytkowników, szyfrowania nośników oraz kontroli wydruków, holistycznie chroniąc wrażliwe informacje przed ujawnieniem.

Oprogramowanie zabezpiecza komputery z Windows choć producent przyznaje, że ma w planach agenta usługi na komputery Mac. Dostępna jest też aplikacja mobilna na Androida, ale działa ona jako klient MDM (szyfrowanie, usuwanie danych po kradzieży).

Program tworzą trzy kluczowe moduły: Auditor, DLP oraz Supervisor. Auditor śledzi i nadzoruje aktywność pracowników przed komputerem, DLP zapewnia ochronę wrażliwych danych przed nieuprawnionym skopiowaniem, przesłaniem dalej, wyciekiem poza organizację lub wydrukowaniem, zaś Supervisor umożliwia blokowanie stron WWW, aplikacji oraz wydruków. Całość, w połączeniu z funkcjami ostrzegania i raportowania, tworzy spójny system zabezpieczania firmowych danych, zarządzany z poziomu centralnej konsoli administratora.

Lista nadzorowanych kanałów przetwarzania danych obejmuje kopiowanie plików na dyski sieciowe, nośniki zewnętrzne i do chmury, przesyłanie wrażliwych informacji przez e-mail oraz komunikatory sieciowe, drukowanie na drukarkach fizycznych i wirtualnych (do PDF), kopiowanie do schowka oraz wykonywanie zrzutów ekranu. Wbudowane w program mechanizmy ochrony są bardziej wyrafinowane, niż mogłoby się to początkowo wydawać. Safetica skutecznie zidentyfikuje i zablokuje np. próbę wysłania poufnych informacji zarówno przez klienta pocztowego (np. MS Outlook) jak i webowego klienta poczty (webmail) oraz chęć udostępnienia danych w którymś z popularnych serwisów wymiany plików np. WeTransfer.

Elastyczne reguły ochrony

Nie zawsze chodzi o blokowanie. Safetica zapewnia ochronę przed przypadkowym, albo inaczej mówiąc niezamierzonym, ujawnieniem danych np. poprzez wysyłkę wiadomości e-mail do błędnego adresata. Pracownik otrzyma powiadomienie o potencjalnym ryzyku, które pozwoli mu zrezygnować z udostępnienia informacji na zewnątrz. Czy taki scenariusz ma prawo się ziścić? Tak, bowiem to co chcemy zabezpieczyć i w jaki sposób (monitorowanie, powiadamianie, blokowanie) zależy od ustalonej wcześniej polityki ochrony danych. Tak szczegółowej, jak tylko zechcemy.

Punktem wyjścia do wdrożenia systemu powinno być zdefiniowanie stref zabezpieczeń. W praktyce inne polityki ochrony stosuje się dla przepływu plików i informacji wewnątrz organizacji, a bardziej restrykcyjne dla działań związanych z przekazywaniem danych na zewnątrz. Oto przykład. Rysunki techniczne, zawierające chronione patenty, mogą być zapisywane tylko we wskazanym udziale sieciowym i nie mogą być z niego kopiowane. Inny przypadek: pliki zawierające dane osobowe mogą być kopiowane tylko na firmowych komputerach albo przesyłane wyłącznie między służbowymi skrzynkami e-mail pracowników.

Wdrażanie zasad ułatwia kategoryzacja danych. Pliki oznaczane są etykietami (tagami), które później wykorzystywane są do tworzenia reguł ochrony danych w ramach całej organizacji. W tym przypadku ważna jest „zawartość” plików, a nie ich lokalizacja czy pochodzenie.

Pełna ochrona danych

Projektanci Safetica słusznie doszli do wniosku, że ochrona danych przedsiębiorstwa będzie niepełna, jeśli nie zostanie rozciągnięta na takie obszary jak monitorowanie aktywności pracowników, szyfrowanie nośników oraz kontrola urządzeń i drukowania.

Safetica pozwala na centralne zarządzanie szyfrowaniem dysków komputerów. Program korzysta z wbudowanego w Windows narzędzia Bitlocker, który z powodzeniem wykorzystamy również do zabezpieczenia pamięci przenośnych. Nośniki te mogą zostać przypisane do urządzenia lub organizacji, co w praktyce oznacza, że użytkownicy nie będą mogli przynosić do pracy własnych kart pamięci i pendrive’ów. Jeśli świadomie wybieramy dywersyfikację i uniezależnienie się od Microsoftu, można sięgnąć po inne narzędzie szyfrujące, np. od znanej w Polsce firmy ESET (ESET Endpoint Encryption). To jednak zupełnie odrębny produkt wyposażony we własne algorytmy szyfrowania i zarządzania kluczami.

Wróćmy do programu Safetica. Funkcja Kontroli urządzeń pozwala monitorować i blokować dostęp do portów, czytników kart i innych peryferii. Funkcja Kontrola drukowania: rejestrować informacje o wydrukach oraz blokować dostęp pracowników do wskazanych drukarek.

Monitorowanie pracowników

Ważnym elementem programu jest Auditor, który śledzi i nadzoruje aktywność pracowników przed komputerem. Moduł rejestruje informacje o używanych aplikacjach, przesyłanej poczcie, odwiedzanych stronach internetowych i nie tylko. Wiedza o tym, co pracownicy robią ze swoimi komputerami, ma pomóc w ochronie wrażliwych informacji. Co wyróżnia Safeticę na tle konkurencyjnych rozwiązań? Program gromadzi informacje o faktycznym czasie spędzonych na pracy z daną aplikacją, a nie tylko o czasie kiedy ta była uruchomiona i zminimalizowana do paska zadań. Podejście to pozwala pełniej ocenić zaangażowanie pracownika w wykonywanie powierzonych mu zadań.

Raportowanie i analizy

Na koniec warto wspomnieć o bogatych funkcjach raportowania. Konsola zarządzania, czy też jej webowy odpowiednik Websafetica dla osób nietechnicznych, umożliwiają sprawne generowanie różnego rodzaju zestawień i raportów oraz wygodne przeglądanie zarejestrowanych zdarzeń dziennika. Dzięki funkcjom agregacji, sortowania i filtrowania zebranych danych, Safetica pozwala szybko odkryć potrzebne informacje w przekroju, którego w danym momencie oczekujemy. Dane z Audytora i dzienników DLP mogą być eksportowane do PDF lub Excela. Całość uzupełnia rozbudowany raport analityczny SecurityAudit, który na kilkudziesięciu stronach dokumentu zbiera i agreguje najważniejsze dane z systemu, dostarczając w zwięzłej formie pełną informację na temat aktualnego stanu bezpieczeństwa firmy.

Dotychczas systemy DLP kojarzone były z największymi firmami i korporacjami. Safetica zrywa z tym schematem. Oprogramowanie jest proste we wdrożeniu i zarządzaniu, a przy tym piekielnie skuteczne, dzięki czemu funkcje ochrony przed wyciekiem danych (DLP) stają się teraz dostępne również dla mniejszych organizacji. Duże przedsiębiorstwa docenią Safeticę za dobrze przemyślany, dojrzały zestaw funkcji, które pozwolą im skutecznie zabezpieczyć swój najcenniejszy zasób, jakim są posiadane dane.

W ostatnich dniach Safetica nawiązała współpracę technologiczną z Fortinet. Dzięki tej współpracy klienci korzystających z rozwiązań FortiGate, FortiMail oaz FortiSIEM mogą wprowadzić dodatkową warstwę ochrony danych przez wyciekiem na bramie internetowej i serwerze poczty oraz zagwarantować dostęp do wszystkich logów dotyczących bezpieczeństwa informacji w jednym miejscu.

Mocne strony:

  • proste wdrożenie i zarządzanie
  • gotowe wzorce tworzenia reguł ochrony
  • funkcje kategoryzacji danych (etykiety)
  • zintegrowane moduły monitorowania aktywności pracowników, szyfrowania, kontroli urządzeń i wydruków
  • rejestrowanie informacji o faktycznej aktywności użytkownika w aplikacji
  • możliwość skalowania systemu dla różnej wielkości firm
  • funkcjonalność zarządzania BitLockerem
  • możliwość integracji z rozwiązaniami FortiGate, FortiMail, FortiSIEM

Do uzupełnienia:

  • rozpoznawanie wrażliwych informacji w grafikach (moduł OCR)
  • funkcje DLP na urządzeniach mobilnych
  • ochrona komputerów Mac