DSM 2009/1 - Úvodník
Nikomu nechybí
Na loňské RSA konferenci v San Franciscu vystoupil výkonný viceprezident EMC a prezident RSA Art Coviello s názorem, že „Potřebujeme přejít od nástrojů, které slepě uzavírají přístup k datům k takovým 
nástrojům, které jsou schopny data chytře zabezpečovat po celý jejich životní cyklus“. Podle něj se má bezpečnost přesunout od „nedělej“ k „můžeš dělat“, což souvisí s koncepcí „Information centric security“, jejíž podstatou je těsnější spojení bezpečnosti s informacemi, které mají být chráněny. A projevem této koncepce je i technologie DLP (jeden z výkladů tohoto akronymu je Data Loss Prevention), jejímž cílem je zabraňovat únikům citlivých dat. Přijdeme-li o hmotné nebo finanční prostředky, je relativně snadné ztrátu odhalit, neboť by tyto někomu měly scházet. U informací se ale zpravidla nejedná o ztrátu ve smyslu přesunu z jedné kapsy do druhé, ale o ilegální okopírování. Tudíž nikomu nic bezprostředně nechybí a o to je celá situace nebezpečnější.
Již léta čteme vize expertů kalibru Bruce Schneiera o konci nezávislého bezpečnostního průmyslu. Jisté symptomy zde opravdu jsou: bezpečnost se postupně rozpouští v IT infrastruktuře a stává se doménou velkých společností, jejichž primární poslání bezpečnost není či nebyla (Cisco Systems, EMC, IBM, Microsoft, Oracle atd.). Zřejmě není ani náhodou, že za poslední dva tři roky došlo k tak silné vlně akvizicí specializovaných DLP firem.
DLP jako technologie úzce spjatá s životním cyklem informací vyžaduje poskytování nových konzultačních služeb. Art Conviello je vidí v identifikaci a klasifikaci informací, odhadu informačních rizik aktiv, vývoji a adjustaci bezpečnostních politik, zahrnování bezpečnostních požadavků do obchodních případů atd. Neboli je zde vize změn ve stylu práce s bezpečnostními politikami.
Pamatuji situaci před deseti lety: instituce, organizace a společnosti se vrhly na vypracovávání bezpečnostních politik: analyzovala se rizika, sepisovala aktiva … tiskly se často obsáhlé svazky materiálů a pečlivě ukládaly do trezoru. V čem byl problém? Tyto bezpečnostní politiky nebývaly dostatečně propojeny s životním cyklem zpracovávaných dat a pokud tomu někde bylo přece jen jinak, neexistovalo programové vybavení, které by tohoto propojení bylo schopno pro bezpečnostní účely využít. Takové programové vybavení již nyní existuje – DLP, byť v jisté adolescenční podobě.
V domácích hájích vidím jako podnět pro inovaci našich bezpečnostních politik velmi ambiciózní plán na zavedení eGovermentu, se kterým v únoru přišlo ministerstvo vnitra. Každý úřad, firma či občan dostane chráněnou datovou schránku a veškeré úřední dokumenty se přesunou na Internet. Ještě podstatnějším impulsem bude vytváření nových registrů (občanů, osob, adres a územní identifikace a konečně nejzajímavější a nejproblematičtější registr práv a povinností), které schválila poslanecká sněmovna v pátek 13. února – snad to s sebou pro to datum neponese nějaké stigma. Z hlediska fungování státní správy toto vše bude revoluce, dosavadní evidence, rejstříky a databáze bývaly často jen strojově zpracovanými kartičkami z kartoték. Důsledkem byla roztříštěnost evidencí, duplicity činností atd., ale také léty prověřená funkčnost.
Pro IT pracovníky je zavedení eGovernmentu a vytváření registrů vzácnou příležitostí si nově zmapovat životní cyklus svých dokumentů, provést nové bezpečnostní analýzy a inovovat bezpečnostní politiky. Pro použití technologie DLP je zde určitě místo.
Publikováno: 09. 03. 2009