Az adatvédelmi helyzet ma annyiban különbözik minden korábbitól, hogy a különféle szervezetek, de különösen a vállalatok vagyonának jelentős részét az információ képezi. Továbbá a modern technológia támogatásának köszönhetően egyre többen dolgoznak mobilan a cégek védett burkán kívül, egyre többen vannak együttműködésre kényszerítve szervezeti és földrajzi megosztottságban (miközben információkat, fájlokat osztanak meg), és az üzleti partnerek, beszállítók, sőt bizonyos mértékben az ügyfelek, vásárlók is beléphetnek a társaságok kommunikációs rendszereibe. Ilyen környezetben a kockázatok minden korábbinál nagyobbak.
Larry Ponemon, a magántitkok, adatvédelem- és információbiztonsági politikák kutatásával foglalkozó Ponemon Institute alapítója szerint azzal, hogy mindenki bárhonnan és bármikor igénybe akarja venni a hálózati csatlakozás lehetőségét, a játék megváltozott.
A baj forgatókönyvei
Az általános üzleti gyakorlatban a cégek a munkavállalókat abban teszik érdekeltté, hogy keressék a hatékonyság növelését, de gyakran ezzel az érzékeny adataikat veszélyeztetik. Az intézet felmérése erre öt igen gyakori forgatókönyvet azonosított.
• Az alkalmazottak bizalmas dokumentumokat küldenek el tisztán szöveges formában a munkahelyi webes személyes email-fiókjukból. A vizsgálat szerint a válaszadók 68 százaléka úgy véli, hogy ez gyakran vagy nagyon gyakran megtörténik, sőt 71 százalékuk szerint ez a gyakorlat a bizalmas dokumentumok elvesztéséhez vagy ellopásához vezet.
• Az alkalmazottak bizalmas dokumentumokat töltenek le, tárolnak átmenetileg és mozgatnak tiszta szöveges formában a munkahelyi asztali gépükre vagy egy közönséges USB-meghajtóra. A válaszadók 65 százaléka ezt gyakorinak vagy nagyon gyakorinak véli, és 68 százalékuk vélelmezi az ebből származó adatvesztést vagy lopást.
• A Dropboxba való regisztráció után az alkalmazottak több bizalmas üzleti információkat tartalmazó nagyméretű fájlt töltenek fel az alkalmazással elérhető tárhelyre a munkáltató engedélye nélkül. Az informatikai és biztonsági szakemberek 60 százaléka véli, hogy ez gyakran vagy nagyon gyakran megtörténik, és 57 százalékuk vélelmez ebből fakadó adatszivárgást és a bizalmas információk sérülését.
• Az alkalmazottak bizalmas dokumentumokat töltenek fel nyilvános meghajtókra, ami lehetővé teszi más alkalmazottaknak, hogy megtekinthessék, és ezt az információt lehívhassák különböző mobileszközökre. A válaszadók 62 százaléka szerint ez gyakori vagy nagyon gyakori eljárás, és 56 százalék gondolja, hogy ez a bizalmas dokumentumok elvesztését vagy ellopását teszi lehetővé.
• Az alkalmazottak bizalmas dokumentumokat töltenek fel nyilvános meghajtókra, hogy az üzleti partnerekkel együttműködhessenek, és megnézhessék és használhassák azokat tableteken. Ez gyakran vagy nagyon gyakran megtörténik 55 százalékuk szerint, és 51 százalék vélelmezi, hogy emiatt az érintett dokumentumok kiszivárognak.
Ezek a kockázatok nem pusztán elméletiek, hiszen különféle vizsgálatok kimutatták, hogy a vállalatok 90 százaléka tapasztalt információszivárgást vagy vesztett el érzékeny és bizalmas dokumentumokat 2013 eleje óta.
Hatékonyság a biztonság ellen
Egy 2012-es Symantec elemzés kétharmadra teszi azoknak a vállalkozásoknak az arányát, amelyek fontos információkat vesztettek leginkább emberi hibák, hardver- vagy szoftverproblémák, illetve az elveszett vagy ellopott mobileszközök miatt. Ugyan a cégek kétharmadát érték ilyen veszteségek, de úgy látszik, hogy ez még mindig nem elég riasztó a többség számára, mert csak az egyharmaduknál indítanak rendszeresen vizsgálatokat az adat- és dokumentumkezelési előírások betartásának ellenőrzésére.
A helyzetet bonyolítja, hogy a bizalmas dokumentumok egyre kevésbé valamiféle egységesen szöveges és jól követhető formában jelennek meg, hanem pénzügyi dokumentumok, képfájlok, PDF-fájlok és ezernyi más formátum strukturálatlan halmazaként. Ezt pedig igen nehéz ellenőrzés alatt és biztonságban tartani. A veszély annál nagyobb, minél erősebb a nyomás az alkalmazottakon a hatékonyság növelésére, mert annál inkább használják az öt felsorolt veszélyes módszert, vagy még vadabbakat.
Nem csoda, hogy a Ponemon felmérésében az IT-szakemberek 71 százaléka szerint az érzékeny és bizalmas dokumentumok kontrollálása sokkal nehezebb, mint az adatok feletti ellenőrzés az adatbázisokban, s 70 százalékuk abban is biztos volt, hogy azok a mobileszközök (okostelefonok, tabletek), amelyekkel el lehet érni az adatbázisokat és a fontos céges alkalmazásokat, jelenleg komoly biztonsági kockázatot jelentenek.
Az emberek meglehetősen fatalistán állnak hozzá e nyilvánvaló problémához. Látják az általuk követett gyakorlat veszélyeit, de nem tudják, mit tehetnének ellene, ha a munkájukat megfelelő szinten akarják ellátni. Úgy vannak vele, hogy „jöjjön, aminek jönnie kell.” Larry Ponemon szerint ez a probléma a közeljövőben megoldhatatlan. Az üzleti hatékonyság növeléséhez erősebb érdek fűződik, mint a biztonsághoz. A szervezetek meg is akadtak a kockázatcsökkentés menedzselésében. Ezért csak technikai megoldások kombinációi jöhetnek szóba, amelyeket okos és elszánt emberek felügyelnek. Ez pedig már nem igazán biztonsági, hanem munkaszervezési ügy. Ha az emberek azt érzik, hogy az IT nem igazán támogatja őket, akkor más utakat keresnek. Ezért fontos, hogy legyenek eszközök, amelyek lehetővé teszik a biztonságos működést – szögezte le.
Tiltás helyett szabályozás
Mivel az információmegosztás és a kollaboráció alapvető a produktív munkahelyeken, nem lehet az a megoldás, hogy az érzékeny dokumentumok és fájlok ilyen használatát megtiltják. Sokkal inkább olyan megoldásokat kell alkalmazni, amelyek ezeket drákói intézkedések nélkül is biztonságban tartják, s nem bizonytalanítják el a hatékony üzleti tevékenységre való törekvést. Ezért a Ponemon Institute javaslata szerint le kell fektetni néhány alapkövetelményt.
• Azonosítani kell azokat az információkat, amelyeknek mindig biztonságban kell lenniük, és lehetővé kell tenni a teljes ellenőrzést minden védett dokumentum esetében.
• Meg kell akadályozni a dokumentumok véletlen vagy rosszindulatú továbbítását.
• Gondoskodni kell róla, hogy a vállalati hálózatokon lévő minden fontos dokumentum elérhető és megosztható legyen bármilyen eszközön, beleértve a mobilkészülékeket is.
• Meg kell engedni az alkalmazottaknak saját dokumentumaik elérését saját eszközeikkel egy olyan interfész alkalmazásával, amely megmutatja ezeket bármilyen képernyőn.
• Lehetővé kell tenni fájlok küldését és az együttműködést az üzleti partnerekkel és más külső felekkel.
• A harmadik feleket meg kell akadályozni abban, hogy a nekik kiszolgáltatott dokumentumokat továbbküldjék.
• Minden dokumentumnál meg kell teremteni az elérés bármikori megszüntetésének lehetőségét bármilyen nem biztonságos PC vagy akár mobileszköz esetében.
Az utóbbi évek adatrobbanása, a mobilizáció, a felhők és a közösségi médiumok megjelenése teljesen új helyzetet teremtettek a megvédendő titkok világában. Egy dolog azonban nem változott. Azokat az információkat, amelyek egy adott szervezetet előnyös vagy éppen hátrányos helyzetbe hozhatnak a konkurenciával, a partnerekkel, a szabályozókkal az üzleti, jogi, illetve politikai színtéren, vagy nem kívánt módon befolyásolnák a reputációját, továbbra is titkolni és védeni fogják az információt tartalmazó dokumentum formájától és fizikai mibenlététől függetlenül. Hacsak nem kerekednek felül a fatalisták.