Tietovuotojen ehkäiseminen – katsaus DLP:hen

D? L? P?

Termi DLP tulee sanoista Data Leak Prevention tai Data Loss Prevention, riippuen siitä puhutaanko tiedon vuotamisesta sellaiselle taholle, jolle nämä tiedot eivät kuulu vai tiedon menettämisestä, jolloin tieto ei ole enää yrityksen hallussa. Tämä suojeltava tieto voi olla mitä tahansa luottokorttitiedoista yrityssalaisuuksiin tai henkilötietoihin. DLP:stä puhuttaessa tietotyypit jaetaan yleensä kolmeen eri kategoriaan:

1. Tieto on käytössä käyttäjän työasemalla
2. Tieto siirtyy tietoverkon yli
3. Tieto on varastoituna, esimerkiksi tiedostopalvelimella tai tietokannassa.

Tiedon suojaustavat vaihtelevat tietotyyppikategorian mukaan.

DLP ohjeistaa käyttäjää

DLP:llä pyritään havaitsemaan ja estämään salaisen tiedon vuotaminen. DLP-järjestelmä voi esimerkiksi valvoa tietyllä digitaalisella vesileimalla merkittyjen piirustusten liikkeitä tai vaikkapa tunnistaa, kun webbichattiin kirjoitetaan salaisen projektin nimi. Lisäksi sen avulla voidaan ohjeistaa käyttäjiä tiedon oikeaan käyttöön luomalla varoituksia käyttäjille politiikan vastaisesta toiminnasta. Ulkoisten vaatimusten täyttämisessä se auttaa mm. PCI DSS:n edellyttämän luottokorttitietojen käsittelyn seurannan ja KATAKRI:n korkean tason edellyttämän käytön diarioinnin osalta.

Harhaluulot DLP:stä

Usein järjestelmän hankkineella on käsitys, että tiedot ovat suojassa koska kallis järjestelmä on asennettu. DLP on kuitenkin juuri niin fiksu kuin sille määritetyt politiikat ja säännöt ovat. Tärkeintä DLP-järjestelmän käyttöönottoprojektissa onkin löytää kaikki paikat joissa suojeltavaa tietoa on ja luokitella niissä sijaitsevat tiedot esimerkiksi julkisiksi, salaisiksi tai luottamuksellisiksi. Tämän jälkeen DLP-järjestelmään tehdään luokittelua vastaavat politiikat ja säännöt. Jatkossa ympäristön muuttuessa myös DLP-järjestelmän sääntöihin tulee päivittää vastaavat muutokset.

DLP ei kuitenkaan ole mikään hopealuoti, joka yksinään estää tietojen vuotamisen. Jos yritys on valinnut vain käytössä olevan tiedon suojaamisen DLP:llä, tarkoittaa se työasemalla pyörivän agenttiohjelman asennusta. Ensimmäinen käytännön ongelma tulee vastaan agenttiohjelmien käyttöjärjestelmätuessa – usein vain Windows on tuettu. Jos ei ole agenttia, ei ole myöskään suojausta. Toisaalta omaan työasemaansa pääkäyttäjän oikeudet saanut työntekijä voi sulkea agentin, vaikka sellainen olisikin asennettu. Voi myös olla, että agentti tarjoaa DLP-liitännäisen Firefoxiin ja Internet Exploreriin, mutta ei Opera-selaimeen. Allekirjoittanut on myös käyttänyt onnistuneesti kehittyneitä hakkerointityökaluja DLP-agentin huijaamiseen: komentokehote ja uskalias copy-komennon käyttö poikivat DLP-järjestelmän valmistajalle korjauspyynnön.

Oikein käytettynä tehokas työkalu

Tekeekö DLP:llä sitten mitään? Mielestäni tekee, kun vain valitaan oikea tuote ja käytetään sitä tarkoituksenmukaisesti. Mikäli yritystä huolestuttavat sähköpostin kautta lähetetyt tiedot, tulisi sen sallia sähköpostin lähetys vain oman sähköpostipalvelimensa kautta, johon on liitetty DLP-välityspalvelin. Välityspalvelin tarkastaa sähköpostin liitteineen ja sallii lähetyksen vain mikäli sähköpostissa ei ole suojeltavaa tietoa. Sääntöjä voi muokata monipuolisesti: esimerkiksi johtoryhmän raporttia ei voi liittää liitetiedostoksi jos joku vastaanottajista ei ole johtoryhmässä tai kohdeosoite ei ole yrityksen hallinnoima sähköpostiosoite.

Mikäli tietojen pelätään vuotavan webin kautta, sallitaan nettiliikenne yrityksestä ulos vain yrityksen DLP-välityspalvelimen kautta. Kun nettiin on vain yksi väylä, voidaan sitä valvoa tehokkaammin. Tietoverkkoa valvomaan voi asettaa myös kaikkia verkkoprotokollia seuraavan DLP-monitorin. Julkisuudessa olleiden APT-hyökkäysten (Advanced Persistent Threat) ja esimerkiksi haittaohjelmien aiheuttamat tietovuodot olisi voitu estää, jos joku olisi valvonut mitä tietoa verkossa liikkui ja kuka sitä käsitteli.

DLP-agentti työasemassa voi estää tietojen tahattoman vuotamisen ja monissa tapauksissa tahalliset vuotamisyrityksetkin. Teknisesti osaavaa ja sinnikästä vuotajaa on kuitenkin hyvin vaikea estää. Viimeisenä vaihtoehtona vuotaja voi näpsäistä dokumentista kuvan vaikka kännykällä ja voipa vanhan koulukunnan hakkeri käyttää kynää ja paperiakin. Usein vuotaja ei kuitenkaan onnistu ensimmäisellä yrittämällään ja epäonnistuneista yrityksistä jää lokimerkintä, joka voidaan havaita esimerkiksi SIEM-järjestelmän avulla.

Yhteenveto

DLP:llä on tärkeä rooli yrityksen tietojen suojaamisessa, samalla tavalla kuin palomuurilla, virustorjunnalla, yritykselle laadituilla tietosuojapolitiikoilla ja pääsynhallinnallakin. Mikään edellä mainituista ei yksin riitä juuri mihinkään, mutta yhdessä ne vievät yrityksen tietoturvaa oikeaan suuntaan. Ne ovat kukin tärkeitä paloja tietoturvapalapelissä, joka toisin kuin tavanomaisemmat palapelit, kasvaa jatkuvasti suuremmaksi, paljastaen uusia tyhjiä kohtia joihin tarvitaan sopivat palat. DLP on niistä yksi.

Kirjoittaja Veli Pekka Jutila toimii tietoturvakonsulttina Nixun turvallisia verkkoratkaisuja ja tilannekuvaa tuottavassa yksikössä.