Για την ασφάλεια των εξαιρετικά κρίσιμων πληροφοριών, το φαινόμενο απώλειας δεδομένων και τα σύγχρονα συστήματα DLP μίλησε στο netweek ο Γεράσιμος Μοσχονάς, Group Information Security Officer, της Alpha Bank
Netweek:Ποιοι είναι οι εσωτερικοί κίνδυνου που αντιμετωπίζει μία τράπεζα ως προς την ασφάλεια πληροφοριών;
Γεράσιμος Μοσχονάς: Οι τράπεζες έχουν στην κατοχή τους και διαχειρίζονται εμπιστευτικές πληροφορίες που αφορούν, μεταξύ άλλων, δεδομένα πελατών, εταιρικά δεδομένα, οικονομικές πληροφορίες, στρατηγικά πλάνα. Η τυχόν διαρροή τους είναι δυνατόν να επιφέρει οικονομική ζημία και να πλήξει το κύρος και τη φήμη τους. Η σημερινή τεχνολογία καθιστά δυνατή τη διαρροή πληροφοριών με πολλούς τρόπους, όπως το e-mail και το διαδίκτυο, τους φορητούς υπολογιστές και τις φορητές αποθηκευτικές συσκευές (dvd, usb flash disks, εξωτερικοί δίσκοι).
Μία νέα επιχειρηματική ανάγκη, η ελλιπής υλοποίηση μηχανισμών και διαδικασιών ασφαλείας, η λανθασμένη αξιολόγηση κινδύνων, η έλλειψη υπευθυνότητας ή ένας δυσαρεστημένος υπάλληλος μπορεί να αποτελέσουν αιτία για μία τέτοια διαρροή. Στατιστικές δείχνουν ότι το 50% των περιστατικών ασφαλείας προέρχονται εκ των έσω, ενώ 13% αυτών αφορούν απώλεια/κλοπή φορητών μέσων. Μόνο στα αεροδρόμια, χάνονται ετησίως πάνω από 600.000 φορητοί υπολογιστές.
Netweek: Ποια είναι τα βήματα που πρέπει να ακολουθήσει μία τράπεζα προκειμένου να περιορίσει το φαινόμενο απώλειας κρίσιμων δεδομένων;
Γεράσιμος Μοσχονάς: Καταρχήν η Τράπεζα πρέπει να γνωρίζει την αξία και κρισιμότητα των διαφορετικών πληροφοριών που διαχειρίζεται και να γνωρίζει τους κινδύνους που απορρέουν από τη διαχείριση αυτών. Οι δε χρήστες πρέπει να έχουν πρόσβαση στις πληροφορίες με συγκεκριμένα δικαιώματα, αναλόγως του ρόλου τους.
Η ύπαρξη μιας πολιτικής ασφαλείας που καθιστά σαφές τι επιτρέπεται και τι απαγορεύεται σε όλο τον κύκλο ζωής των πληροφοριών, με παράλληλη εκπαίδευση των υπαλλήλων, είναι επιτακτική ανάγκη. Τέλος, συμπληρώνοντας την υπάρχουσα υποδομή ασφαλείας της τράπεζας, να υλοποιηθούν μηχανισμοί που να διαπιστώνουν τις παραβιάσεις της πολιτικής και να αποτρέπουν την μη εξουσιοδοτημένη πρόσβαση/διαχείριση και τη διαρροή, εξ αμελείας ή εκ προθέσεως, εμπιστευτικών πληροφοριών. Μία λύση, δηλαδή, Data Loss Prevention (DLP).
Netweek: Τι παρέχουν τα σύγχρονα συστήματα DLP στις τράπεζες και ποια είναι τα οφέλη;
Γεράσιμος Μοσχονάς: Τα συστήματα DLP συμβάλλουν στο να γνωρίζει η τράπεζα που είναι αποθηκευμένες οι εμπιστευτικές πληροφορίες, από ποιους χρησιμοποιούνται και πως, λαμβάνοντας σε κάθε περίπτωση τα κατάλληλα μέτρα αποτροπής/πρόληψης. Πιο συγκεκριμένα :
α) Σε επίπεδο δικτύου, παρακολουθούν και ενεργούν αναλόγως της πολιτικής που εφαρμόζεται, κατά τη μετάδοση της πληροφορίας μέσω e-mail ή του Διαδικτύου. Π.χ. όταν σε ένα εξερχόμενο e-mail περιέχεται ένα αρχείο με πληροφορίες πελατών, λογαριασμών/καρτών, αυτό ανιχνεύεται και μπορεί να εμποδιστεί η αποστολή του ή υπό προϋποθέσεις να προχωρήσει η αποστολή του και να ειδοποιηθεί ο διαχειριστής του συστήματος.
β) Σε επίπεδο συσκευών (τερματικά, φορητοί υπολογιστές, φορητά αποθηκευτικά μέσα), ελέγχουν τη χρήση μιας πληροφορίας. Π.χ. αν μπορεί ένα αρχείο να εκτυπωθεί, αντιγραφεί ή αποθηκευτεί τοπικά στο τερματικό. Η αν μπορεί να μεταφερθεί σε ένα usb flash disk. Σε τέτοια περίπτωση, προσφέρεται λύση κρυπτογράφησης, ώστε σε περίπτωση που χαθεί το μέσο, να προστατεύονται τα δεδομένα από τρίτους.
γ)Ανακαλύπτουν τις εμπιστευτικές πληροφορίες που είναι αποθηκευμένες στα διάφορα συστήματα της τραπέζης (βάσεις δεδομένων, file servers, portals, document management systems κ.λπ.). Μέσα από ένα τέτοιο σύστημα, αλλάζει σταδιακά και η νοοτροπία των υπαλλήλων, μεταδίδοντας το αίσθημα ευθύνης απέναντι στην διατήρηση της ασφάλειας των πληροφοριών.
Netweek: Τι απαιτείται για μία επιτυχημένη λύση DLP;
Γεράσιμος Μοσχονάς: Καταρχήν, η τράπεζα πρέπει να διαβαθμίσει τις πληροφορίες της, ανάλογα με την κρισιμότητά τους. Επειτα, πρέπει να δημιουργηθούν στο DLP σύστημα οι κατάλληλοι κανόνες ελέγχου και ενεργειών, που να συμβαδίζουν τόσο με την εσωτερική πολιτική ασφαλείας όσο και με τις επιχειρηματικές ανάγκες.
Και βέβαια να υπάρχει το κατάλληλο προσωπικό, υπό τις οδηγίες του Υπευθύνου Ασφαλείας Πληροφοριών, που να διαχειρίζεται το όλο σύστημα (κανόνες, ειδοποιήσεις, στατιστικά στοιχεία), ώστε να περιορίζονται οι λανθασμένες ειδοποιήσεις (false alarm), να αξιοποιούνται στο μέγιστο οι δυνατότητες του συστήματος και να ενημερώνεται η Διοίκηση τόσο για τους κινδύνους όσο και για την αποτελεσματικότητα των μηχανισμών πρόληψης και αποτροπής.