DLP hindrer medarbejderen i at lække data

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Digital om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

En fuld mave og begyndende hovedpine er ikke det eneste, man kan få ud af et besøg på en engelsk pub. En gæst på en Brewers Fayre-pub i Staffordshire fandt i oktober en USB-nøgle på parkeringspladsen uden for værtshuset.

Et kig på nøglens indhold afslørede, at det så officielt ud. Gæsten gav nøglen videre til avisen Daily Mail, der lod en it-ekspert kigge på den. Indholdet viste sig at være programkode, passwords og sikkerhedssoftware. Det hele havde forbindelse med en tastselv-tjeneste, som de britiske myndigheder kører.

Ifølge avisen kunne en hacker ud fra dataene have fået adgang til systemet, der indeholder data om 12 millioner borgere.

Vi hører jævnligt om den type sager: Fortrolige eller personfølsomme oplysninger bliver kopieret til en cd eller USB-nøgle, hvorefter de bliver stjålet eller forlagt.

Hvad vi hører mindre om er, hvad vi kan gøre ved problemet.

Medarbejderes fejl
For det første skal man gøre sig klart, at en stor del af de sager, hvor fortrolige data lander i de forkerte hænder, ikke skyldes hackere eller industrispioner. Den skyldige er som oftest en medarbejder, der enten ikke kender eller vælger ikke at overholde virksomhedens retningslinjer for behandling af fortroligt materiale.

Derfor er uddannelse første sted, hvor man kan sætte ind: Undervis medarbejderne i, hvad de må og ikke må gøre med fortrolige dokumenter. Må de udskrive dem? Må de sende dem til deres private e-mail-konto? Må de kopiere dem over på USB-nøgle? Skal der i så fald bruges kryptering?

Det er naturligvis en forudsætning, at virksomheden faktisk har udarbejdet nogle retningslinjer.

DLP beskytter data
Tekniske løsninger kan være med til at håndhæve retningslinjerne. De samles gerne under fællesbetegnelsen DLP (Data Leak Prevention).

En DLP-løsning kan for eksempel sørge for, at det er umuligt at vedhæfte et fortroligt dokument til en mail. Eller den kan løbe alle dokumenter på en server igennem og finde dem, hvor cpr-numre ligger gemt uden kryptering.

For at kunne beskytte fortrolige data skal en DLP-løsning kunne tre ting: Den skal kunne identificere fortrolige data, overvåge data og beskytte de fortrolige dele.

Jeg kan anbefale, at virksomheder tager behovet for DLP op til overvejelse. Ikke alle har brug for en stor DLP-løsning, men mange kan have glæde af at beskytte de områder, hvor der er størst risiko for, at data kommer i de forkerte hænder. Det vil ofte være mail og USB-nøgler.

 

Oprindelig bragt i Børsen Digital den 18. november 2008

 

Keywords: