To jest 222. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o tym, jak zapobiegać wyciekom danych z firmy. 

Sponsorem tego odcinka jest Dagma Bezpieczeństwo IT. Notatkę, linki oraz transkrypcję do dzisiejszego odcinka znajdziesz pod adresem porozmawiajmyoit.pl/222. Podcast Porozmawiajmy IT jest dostępny zupełnie za darmo. Obowiązuje tylko jedna zasada: jeśli jesteś tu przynajmniej po raz drugi, to po pierwsze rozgość się, a po drugie odwdzięcz za te treści, wystawiając ocenę w Twojej aplikacji podcastowej lub polecając odcinek w social mediach. Dziękuję. 

Ja się nazywam Krzysztof Kempiński, a moją misją jest poszerzanie horyzontów ludzi z branży IT, co realizuję m.in. poprzez ten podcast. A teraz zapraszam Cię już do odcinka. 

Odpalamy! 

Cześć! 

Mój dzisiejszy gość to Product Manager Safetica Dagma Bezpieczeństwo IT, specjalista w zakresie ochrony firmowych danych i opiekun rozwoju rozwiązania klasy DLP Safetica w Polsce. Odpowiedzialny za wsparcie merytoryczne kanału partnerskiego, nadzorowanie testów produktowych, a także badanie potrzeb rynku oraz klientów. Zaangażowany w rozwój świadomości pod kątem cyberbezpieczeństwa, danych wrażliwych w firmach, jak i tajemnic przedsiębiorstwa. Moim i Waszym gościem jest Dawid Dziobek. 

 

Cześć, Dawid, bardzo mi miło gościcie w podcaście. 

 

Cześć, witam wszystkich bardzo serdecznie. 

 

Dzisiaj z Dawidem będziemy sobie rozmawiać o tym, jak zapobiegać bardzo nieprzyjemnej w firmie sytuacji związanej z wyciekiem danych. Zapytam Dawida, jak możemy do tego sensownie podejść, jakich narzędzi użyć, żeby się właśnie przed tym wydarzeniem uchronić. 

Zanim do tego przejdziemy, to chciałbym Cię, Dawid, zapytać, tak jak każdego gościa, czy słuchasz podcastów, jeśli tak, to może jakieś szczególne audycje goszczą w Twoich słuchawkach?

 

Zazwyczaj jeżeli słucham podcastów, to z racji też tego, jak daleko mam do pracy, to faktycznie godzinka mi schodzi i słucham w samochodzie. Jeżeli już, to swego czasu gdzieś tam słuchałem np. Darwinów, jak nagrywali swój podcast, teraz zapomniałem nazwy, ale bardzo fajny podcast w ogóle o życiu, o jakichś takich bardziej nostalgicznych tematach. Ponadto lubię często słuchać jakichś takich audycji na YouTube, związanych z różnego rodzaju universami typu Tolkienowskie czy cokolwiek innego, to też bardzo fajnie gdzieś tam mi zabija czas podróży, że tak powiem, do pracy i z pracy. 

 

Fajnie, dzięki za te rekomendacje. Mamy dzisiaj rozmawiać o narzędziach związanych z zapobieganiem wyciekom danych w firmie. Myślę, że warto byłoby rozpocząć od zdefiniowania takich podstawowych rzeczy jak tego m.in., czym jest właśnie wyciek danych i skąd on się w ogóle bierze. 

 

Jeżeli mówimy o jakichkolwiek wyciekach, najczęściej słyszy się o takich najbardziej spektakularnych kwestiach, gdzie np. firma miała tysiące rekordów, które po prostu gdzieś zostały upublicznione lub cokolwiek innego. I najczęściej jak ludzie mają w głowie wyciek danych, to mają w głowie takiego pracownika, który celowo chce ukraść, ujawnić dane. Najczęściej bierze się to z tego, że ten pracownik np. dla własnych korzyści chce, nie wiem, zbudować sobie jakąś bazę klientów, być może bazę kontrahentów, która mu się później przyda w następnej pracy. 

Niestety też często mamy do czynienia z tym, że na rozmowach kwalifikacyjnych zazwyczaj może padać pytanie na zasadzie: No to co pan lub pani może nam przynieść z poprzedniej firmy, co nam się przyda w naszej pracy? Mało etyczne, ale niestety bardzo często w kuluarach takie coś się pojawia. 

Natomiast wbrew pozorom bardzo często firmy zapominają o największym problemie, jakim jest pracownik, który zwyczajnie z głupoty bądź po prostu ze zwykłego ludzkiego błędu, wynosi dane z firmy. Najczęściej takie coś się zdarza, bo np. pracownik wysłał jakiś bardzo ważny plik na błędny adres, bo się wkradła literówka – niech pierwszy rzuci kamieniem ten, kto choć raz tak nie zrobił, albo zgubi pendrive’a gdzieś tam po drodze z pracy bądź do pracy, albo po prostu zwyczajnie nie zna do końca polityki bezpieczeństwa w firmie i np. okazuje się, że wysyła coś, mimo że nie wie do końca, że tego wysyłać nie powinien. 

Więc w sumie cała geneza tego opiera się właśnie na pracowniku i tak jak patrzymy statystycznie, to 80% wszystkich wycieków danych spowodowanych właśnie przez pracownika, to jest najczęściej błąd ludzki po prostu. 

 

80% to jest naprawdę dosyć dużo tego udziału wynikającego właśnie z błędu ludzkiego. Tak może trochę na usprawiedliwienie tych osób mogę powiedzieć, że firmy obecnie operują na strasznie dużym woluminie danych, z różnych źródeł, różnych kategorii, różnej ważności, można powiedzieć. Zwyczajnie ten pracownik czasem może nie wiedzieć, jaka jest istota, jaka jest ważność właśnie tych danych. 

I to mnie tutaj sprowadza trochę do pytania: jakie dane, jakiej kategorii, jakiego rodzaju należy chronić w organizacjach i czym te organizacje ryzykują, jeśli nie podejmują żadnych kroków zabezpieczających te najistotniejsze dane? 

 

Zacznijmy może od tej pierwszej kwestii, czyli jakie dane należy chronić w organizacjach. Pierwsze, co oczywiście przychodzi do głowy, jak myślimy o danych, to są dane osobowe, czyli dane wrażliwe. Dane szczególnie chronione przez rozporządzenie o ochronie danych osobowych. 

Nie oszukujmy się, że ryzyko wycieku tych danych jest bardzo duże i gdzieś tam to prawo polskie, zresztą nie tylko prawo polskie, ale też prawo europejskie chroni mocno te dane. Natomiast większość firm już się zabezpiecza w jakiś sposób. Ma np. wdrożone swego rodzaju jakieś proste zabezpieczenia, być może papierowe polityki bezpieczeństwa, często gdzieś tam w tych firmach jest stanowisko inspektora ochrony danych, który gdzieś tam trzyma pieczę nad przetwarzaniem tych wszystkich danych.

Jednakże firmy często zapominają o jeszcze jednej kwestii, która jest bardzo istotna, a są to konkretnie dane związane z własnością intelektualną. Wszelkiego rodzaju know-how firmy, wszystkie rzeczy, które stanowią o ich konkurencyjności, o ich pozycji na rynku – to są właśnie dane, które powinny być chronione, a często firmy zapominają o tym. Oczywiście część firm ma wdrożoną np. tajemnicę przedsiębiorstwa, część firm ma wdrożone ISO 27001, ale nie zawsze te zabezpieczenia idą w parze z tym, jak faktycznie firmy to chronią. 

I najczęściej pracownicy, którzy chcą ukraść bądź ujawnić dane, mają najczęściej chrapkę na tę własność intelektualną. Są to różnego rodzaju projekty, bazy danych klientów, bazy danych kontrahentów, czy właśnie te know-how firmy wspomniane już przeze mnie. 

I teraz właśnie, czym organizacje ryzykują, nie zabezpieczając wystarczająco swoich danych? Prosta sprawa: jeżeli mamy do czynienia z danymi osobowymi, incydentem związanym z rozporządzeniem o ochronie danych, to najczęściej Urząd Ochrony Danych nakłada bardzo duże kary finansowe, więc to jest największe ryzyko dla firmy – ryzyko finansowe. 

Z drugiej strony, jeśli chodzi o własność intelektualną, to już pomijając aspekt finansowy, gdzie firmy ryzykują tym, że po prostu gdzieś tam stracą na rynku, to też PR firmy bardzo mocno traci. Bardzo mocno firmy tracą na pozycji, jeśli chodzi o konkurencję finansową – bo się może nagle okazać, że np. ich unikalne projekty trafiają do konkurencji, przez co oni ewidentnie później nie mają czym się pochwalić na rynku. 

Więc to jest takie ryzyko, które firmy mają, jeżeli np. faktycznie nie mają wprowadzonych jakichś konkretnych zabezpieczeń. 

Jednakże firmy często zapominają o jeszcze jednej kwestii, która jest bardzo istotna, a są to konkretnie dane związane z własnością intelektualną. Wszelkiego rodzaju know-how firmy, wszystkie rzeczy, które stanowią o ich konkurencyjności, o ich pozycji na rynku – to są właśnie dane, które powinny być chronione, a często firmy zapominają o tym. Oczywiście część firm ma wdrożoną np. tajemnicę przedsiębiorstwa, część firm ma wdrożone ISO 27001, ale nie zawsze te zabezpieczenia idą w parze z tym, jak faktycznie firmy to chronią

 

Właśnie te finansowe, takie namacalne, o których powiedziałeś, ale też te wizerunkowe, czyli utrata zaufania do firmy ze strony klientów, ale myślę sobie, że też od strony partnerów, od strony pracowników, czyli właśnie bardzo duża ujma gdzieś na tym PR-ze, co w efekcie może doprowadzić do tego, że się ten biznes po prostu zamknie. Ryzykujemy dosyć dużo. 

Myślę sobie, że nic tak nie działa na wyobraźni jak jakieś przykłady. Wspomniałeś tutaj na początku, że gdy myślimy właśnie o wyciekach danych, gdy rozmawiamy o tym temacie, to przychodzą nam na myśl takie spektakularne wydarzenia. Czy znasz jakieś takie przykłady, jakieś takie case’y, w których właśnie np.pracownik te dane gdzieś zabrał, wyniósł i później przyniosło to jakieś opłakane rezultaty? 

 

Jeśli chodzi o pracowników, to mam fajny case, ale jeszcze mogę ewentualnie wspomnieć o takim najbardziej znanym case. Myślę, że większość słuchaczy będzie wiedziała, o co chodzi. Cambridge Analytica, czyli największy wyciek w historii, największa afera związana z danymi osobowymi, która wyszła zaraz po opublikowaniu rozporządzenia o ochronie danych, związana oczywiście z Facebookiem. 

I to faktycznie gdzieś tam była ogromna afera, ale to o niej właśnie najczęściej się słyszy i najczęściej firmy mówią, a dobra, to jest Facebook, to jest moloch, to jest ogromna firma na rynku, to mnie to nie dotyczy. 

Ale bardzo fajnym przykładem jest też przykład pewnej firmy z Trójmiasta, która zajmowała się transportem i spedycją. Była to jedna z większych firm na pewno na północy Polski, jeśli chodzi o transport i spedycję. Pani prezes, która miała zatrudnionych czterech pracowników, bardzo dobrze sobie radziła na rynku i w pewnym momencie okazało się, że z jakiegoś powodu czterech pracowników odeszło w jednym czasie. 

I nie byłoby w tym nic strasznego, tylko że jak się później okazało, dopiero po pół roku czy nawet po roku, firma transportowa zaczęła odnotowywać bardzo duże straty, bardzo dużo kontrahentów zaczęło odchodzić od tej firmy. Jak się później dopiero okazało, kiedy wszczęli, można by powiedzieć, takie informatyczne śledztwo, to się nagle okazało, że ci pracownicy w czwórkę wynieśli kilkanaście terabajtów danych, w ogóle wszystkiego związanego z firmą. 

Okazało się, że wynieśli praktycznie wszystko, co ta firma miała. Wykradli te dane, gdzieś tam pokopiowali je na pendrive’y, powysyłali gdzieś tam na maile i pozakładali swoje firmy spedycyjne. Zaczęli rozkradać oczywiście też klientów i kontrahentów. 

Jaki był skutek? Skutek był taki, że firmy tej już nie ma z nami, po prostu upadła zwyczajnie przez to, bo nie byli w stanie podnieść się po tak dużym wycieku. 

I to właśnie tego typu case’y są bardzo często poruszane, bo tam naprawdę mało wyciekło danych osobowych. Tam głównie wyciekło know-how firmy, tam głównie wyciekły listy klientów i kontrahentów, więc to był duży wyciek faktycznie. 

 

Ten przykład bardzo barwny, który podałeś, wskazuje na to, że najprawdopodobniej ta firma mało albo niewystarczająco te dane właśnie zabezpieczała. Z Twoich rozmów z klientami, z tego jak znasz rynek, to co możesz powiedzieć o tym, jak zazwyczaj firmy zabezpieczają właśnie te dane przed wyciekiem? 

 

Pierwsze, co na pewno klienci gdzieś tam rzucają, to oczywiście są papierowe polityki bezpieczeństwa, czyli nasze ulubione polityki, czyli po prostu wprowadzamy tę politykę w regulaminie pracy. Wprowadzamy to i szkolimy o tym pracowników. Czasami jest też szkolenie właśnie związane z RODO. Firmy, które mają np. wdrożoną tajemnicę przedsiębiorstwa, bardzo często mają też pewnego rodzaju proste zabezpieczenia związane z monitorowaniem tego, co dzieje się z dokumentami. I to są zabezpieczenia. 

Ale nie ukrywam, coraz częściej firmy wdrażają rozwiązania klasy DLP, gdzie są to rozwiązania stricte związane właśnie z ochroną danych i można by powiedzieć automatyzacją monitorowania tych dokumentów i tego, co się później z nimi dzieje. Więc to są właśnie tego typu case’y. 

 

A czy uważasz, że firmy w Polsce skupiają za mało uwagi na zabezpieczeniu danych? Czy ta świadomość jest niewystarczająca nadal? 

 

Mogę powiedzieć, że jak obserwuję trochę rynek, to ta świadomość bardzo mocno wzrasta, z czego się cieszę, bo jeszcze rok temu, kiedy rozmawialiśmy w ogóle o tematyce DLP, to trzeba było w ogóle wytłumaczyć klientowi, na czym polega w ogóle to rozwiązanie, o co z tym chodzi, jaka jest logika, jaka idea temu przyświeca. Zupełnie tak samo, jak jeszcze lata, lata temu w ogóle rozmawialiśmy z klientami o antywirusach. Teraz antywirus to jest podstawa w przedsiębiorstwie. Myślę, że jeszcze parę lat i zarówno tak samo jak antywirus i firewall są już podstawą w przedsiębiorstwach, to podstawą będzie też wdrożone rozwiązanie, które będzie chroniło te dane z automatu. 

Natomiast dzisiaj, jak rozmawiamy z tymi klientami, to nie będę ukrywać, że klienci sami o to pytają. Bardzo często sami do nas się zgłaszają z pytaniami właśnie, czy mamy jakieś rozwiązanie DLP, czy coś rekomendujemy itd. Już sam fakt tego dofinansowania w urzędach, to, że urzędy gdzieś tam teraz dostają bardzo duże dofinansowanie ze względu właśnie na poszerzenie tej ochrony i cyberbezpieczeństwa, to tam bardzo często przewija się ten wątek właśnie. 

Mogę powiedzieć, że jak obserwuję trochę rynek, to ta świadomość bardzo mocno wzrasta, z czego się cieszę, bo jeszcze rok temu, kiedy rozmawialiśmy w ogóle o tematyce DLP, to trzeba było w ogóle wytłumaczyć klientowi, na czym polega w ogóle to rozwiązanie, o co z tym chodzi, jaka jest logika, jaka idea temu przyświeca. Zupełnie tak samo, jak jeszcze lata, lata temu w ogóle rozmawialiśmy z klientami o antywirusach. Teraz antywirus to jest podstawa w przedsiębiorstwie. Myślę, że jeszcze parę lat i zarówno tak samo jak antywirus i firewall są już podstawą w przedsiębiorstwach, to podstawą będzie też wdrożone rozwiązanie, które będzie chroniło te dane z automatu.

 

To super, ten wzrost świadomości bardzo cieszy. Tutaj kilka razy wspomniałeś o rozwiązaniach DLP. Myślę, że to nie jest coś takiego, co jest znane każdemu słuchaczowi. Zechciałbyś przybliżyć, czym są te rozwiązania? 

 

Tak, to jest skrót Data Leak Prevention dokładnie, czyli zapobieganie wyciekom danych. To są rozwiązania, które w zasadzie już istnieją od kilku lat na rynku, ale zazwyczaj istniały w rynku przedsiębiorstw enterprise, dużych firm, które zatrudniały od tysiąca pracowników w górę. 

I Jeżeli chodzi w ogóle o kwestię związaną z DLP, to są to rozwiązania, które w bardzo dużym skrócie, w bardzo dużym uproszczeniu mają ułatwić administratorowi tudzież informatykowi właśnie zabezpieczenie dokumentacji, być może zaklasyfikowanie plików wrażliwych dla firmy, żeby pracownik nie mógł ich wynosić gdzieś tam poza obręb organizacji, nie mógł ich swobodnie gdzieś tam przesyłać tam, gdzie nie trzeba, że tak powiem. 

 

Myślę, że wiemy już więcej, czym są te rozwiązania. Warto by było teraz się skupić na tym, na jakie sposoby te rozwiązania DLP chronią dane właśnie przed wyciekami. 

 

Jeżeli w ogóle mówimy o tych sposobach, to tak naprawdę to wszystko zależy (jak to w IT) od rozwiązania. Są rozwiązania, które mają DLP wpięte, można by powiedzieć, jako dodatek do całości tego kombajnu, gdzie DLP to jest tylko dodatek do całości cyberbezpieczeństwa, ale są też rozwiązania, które bardzo mocno skupiają się na aspektach, które mają najpierw zero-jedynkowo chronić, np. blokować użytkownikom podłączanie pendrive’ów, blokować jakichś konkretnych portów, żeby użytkownicy nie mogli sobie podłączyć telefonu komórkowego i na niego wysyłać pewne dane. Albo jest to po prostu też szyfrowanie pewnych urządzeń. 

Samo też RODO mówi o tym, że nie musimy zgłaszać incydentu bezpieczeństwa, jeżeli dany incydent nie narusza w żaden sposób wolności i praw osób fizycznych, których dane dotyczą. Więc jeżeli masz zaszyfrowanego pendrive’a i dojdzie do zgubienia tego pendrive’a, to nie musisz tego incydentu zgłaszać. I o tym często firmy zapominają i często jak się pytam, czy dana firma szyfruje pendrive’y, to odpowiedź jest 50-50 zazwyczaj. Szyfruje albo będę szyfrować, trochę jak z backupem w tym przypadku. 

Głównym działaniem rozwiązań jest to, żeby najpierw zaklasyfikować dane, czyli wiedzieć, co chcemy chronić. Nie będę ukrywać, że najczęściej, kiedy pytam, co firma chce chronić, to dany pracownik mówi, że w sumie wszystko. Tylko że właśnie ta wiedza o tym, jakie dokumenty mamy wrażliwe, jakie dokumenty mogą wychodzić poza obręb organizacji, a jakie dokumenty są strategiczne dla firmy i wręcz absolutnie nie powinny wychodzić poza organizację, to to jest połowa sukcesu. 

Później oczywiście stworzenie konkretnych bezpiecznych stref, być może whitelist gdzieś tam naszych firmowych zasobów i dopiero na koniec zabezpieczenie środowiska, czyli stworzenie odpowiednich polityk bezpieczeństwa właśnie związanych z tą klasyfikacją, z tymi zaklasyfikowanymi dokumentami. 

 

Gdy to mówiłeś, to tak się zastanawiałem, kto w firmie jest odpowiedzialny za tego typu rozwiązania, bo to właśnie zrozumienie, co jest istotne z punktu widzenia zabezpieczeń, co możemy sobie pominąć, to jest chyba już nie tylko wiedza ludzi od IT, bo tutaj mam wrażenie, że ocieramy się dosyć mocno o sam model działania firmy, to, jak na co dzień te operacje wyglądają, z czym mają do czynienia pracownicy. Nie wiem, czy zgodziłbyś się z tym? 

 

Tak i to jest bardzo dobra kwestia, bo wbrew pozorom takie rozwiązania już nie trafiają tylko do działu IT. Oczywiście dział IT od strony technicznej obsługuje takie rozwiązanie i bardzo często wygląda to tak, że dział IT tylko wprowadza polityki, które narzucił mu zarząd bądź dyrekcja, bądź nawet IODO. 

I to właśnie IODO często gdzieś tam też wykorzystują tego typu rozwiązania, a administratorzy wprowadzają te polityki, które mają być wprowadzone. Więc to też zależy od organizacji, od wielkości. Natomiast najczęściej w tym sektorze małych i średnich przedsiębiorstw to zdecydowanie IT z pomocą gdzieś tam zarządu i tego biznesu wprowadza właśnie tego typu rozwiązania i później tylko kwestia jest moderowania tego oprogramowania, a to już należy później do IT. 

 

Czy jesteś w stanie powiedzieć, na jakich technologiach są oparte te rozwiązania, co tam pod maską możemy znaleźć? 

 

Wszystko zależy od oprogramowania. Taka chociażby Safetica to jest architektura agent-klient-serwer. Czyli w pierwszej kolejności z poziomu serwera implementujemy agenta na stacje robocze. W momencie, kiedy już mamy zaimplementowanego agenta, który odpowiada za komunikację między serwerem a endpointem, to dopiero później implementujemy klienta i to wtedy właśnie klient zbiera wszystkie informacje z komputerów. Zbiera logi, zbiera te informacje, co dzieje się właśnie w obrębie organizacji, a poza tym jak już wprowadzimy polityki bezpieczeństwa, to później te polityki egzekwuje. Czyli np. wrzuca powiadomienie do pracownika, że wysyłka danego pliku jest potencjalnie niebezpieczna, ale jeżeli chce, no to może wysłać ten plik. To taki chociażby przykład pierwszy lepszy. 

Wszystko zależy od oprogramowania. Taka chociażby Safetica to jest architektura agent-klient-serwer. Czyli w pierwszej kolejności z poziomu serwera implementujemy agenta na stacje robocze. W momencie, kiedy już mamy zaimplementowanego agenta, który odpowiada za komunikację między serwerem a endpointem, to dopiero później implementujemy klienta i to wtedy właśnie klient zbiera wszystkie informacje z komputerów. Zbiera logi, zbiera te informacje, co dzieje się właśnie w obrębie organizacji, a poza tym jak już wprowadzimy polityki bezpieczeństwa, to później te polityki egzekwuje.

 

Powiedziałeś tutaj o zbieraniu logów, czyli myślę, że monitorowanie dosyć szeroko rozumiane jest też istotnym fragmentem całego zabezpieczenia. Nie tylko chodzi o szyfrowanie, o to, żeby faktycznie uniemożliwić pewne działania cyfrowe, ale też monitorować właśnie, jak ta praca wygląda po to, żeby wiedzieć właśnie w porę kiedy zareagować. 

W związku z tym pojawiło mi się takie pytanie, jakiego typu obszary firmy, jakie miejsca, jakie obszary działalności firmy, te cyfrowe oczywiście, powinniśmy monitorować, powinniśmy zabezpieczać takiego typu rozwiązaniami? 

 

Tutaj bardzo lubię zadawać takie proste pytanie: Jakbyś miał dostęp do jakichś kluczowych plików z punktu widzenia biznesu i chciałbyś te pliki wynieść z organizacji, to jak byś to zrobił? 

Najczęściej przychodzą nam wtedy odpowiedzi typu właśnie: wysłałbym to mailem, przerzuciłbym to na pendrive’a, być może nawet bardziej skomplikowanie wrzuciłbym to na jakiś internetowy upload albo w ogóle podłączyłbym pulpit zdalny i w ogóle robiłbym zdalny transfer gdzieś tam plików. 

I tak, to są właśnie obszary. Jak się później zastanowimy, to się nagle może okazać, że tych obszarów jest naprawdę dużo. To, co możemy w tym przypadku monitorować, bo oczywiście nie zabezpieczymy się nigdy przed kartką i długopisem, więc jeżeli pracownik jest wystarczająco zdesperowany, nazwijmy to, i będzie chciał na przykład 100 tys. rekordów przepisać na kartkę albo nawet zrobić zdjęcie ekranu, to pewnie to zrobi, ale już pewnie wcześniej zauważymy jakieś dziwne zachowania tego pracownika. 

Z takich obszarów na pewno oczywiście mail, czyli wysyłka gdzieś tam pliku jako załącznik w mailu, wysyłka pliku poza organizację, np. przez jakiś Easy Upload czy WeTransfer czy cokolwiek innego, również podłączanie swoich prywatnych chmur, bo nie oszukujmy się teraz, w dzisiejszych czasach prawie każdy ma dostęp do jakiejś swojej prywatnej chmury, więc już samo to, żeby tę chmurę też w jakiś sposób monitorować. 

Sama idea jest taka, żeby obserwować, co dzieje się w obrębie organizacji. Nie mówimy tutaj absolutnie o tym, żeby patrzyć cały czas na ręce pracownikom, bo to też nie na tym rzecz polega, żeby budować swoją organizację na wzajemnym braku zaufania. Ufać wręcz powinniśmy pracownikom, ale powinniśmy też w jakiś sposób patrzeć, gdzie ewentualnie, w jakich obszarach oni mogą przetwarzać jakieś pliki, jakie operacje na plikach wykonują, co to mogą być za pliki, bo dopiero ta informacja i ta wiedza da nam informację o tym, co później będziemy chcieli chronić. 

 

Dobrze, myślę sobie, że jeśli ta świadomość istnieje, wiemy mniej więcej, co chcielibyśmy chronić, to przychodzi decyzja o zakupie takiego rozwiązania DLP. Przykładowo Safetica, którego tutaj rozwiązania jesteś pomocnikiem, jeśli chodzi o rynek polski, jeśli chodzi o rozwój, jeśli chodzi o wdrażanie. 

No właśnie, przychodzi ten etap wdrażania. Domyślam się, że to nie jest rozwiązanie pudełkowe, które po prostu instalujemy i już, i ono działa, można powiedzieć, out of the box. Potrzebny jest ten etap wdrożenia. Czy chciałbyś troszkę o tym powiedzieć? 

 

Samo wdrożenie to jest kwestia sporna, bo bardzo często, jeżeli mówimy w ogóle o rozwiązaniach klasy DLP, to najczęściej tych starszych informatyków rozkłada ręce i mówi: wspaniale, teraz znowu kolejne pół roku będę wdrażać to rozwiązanie, kolejne pół roku później będę je moderować i być może przy dobrych wiatrach po roku będę miał wdrożenie zrealizowane. I niestety tak bardzo często wygląda w tych rozwiązaniach. 

Stąd chociażby gdzieś tam sama Safetica wyszła troszeczkę naprzeciw, żeby to wdrożenie było jak najprostsze. Dlatego ja bardzo często mówię, że jest to DLP najprostsze na rynku, najprostsze w użytkowaniu i najprostsze na pewno we wdrożeniu. Z samym wdrożeniem też my jako Dagma, czyli główny dystrybutor oczywiście tego rozwiązania, my też bardzo mocno pomagamy klientom, jeśli chodzi o samo wdrożenie. 

I samo wdrożenie wygląda tak, że jest najpierw oczywiście instalacja, która najczęściej trwa 5 minut. Wiadomo, jak ktoś ma gorszy internet, to z 10–15. Instalacja samej konsoli później na serwer, następnie wdrożenie gdzieś tam tych agentów i klientów – też wszystko zależy oczywiście od ilości stacji – następnie jak już to mamy zaimplementowane, to później tak naprawdę dajemy z jakieś 2–3 tygodnie, żeby to sobie poleżało i pobierało logi. I jak już te logi gdzieś tam pozbiera, to dopiero wtedy możemy np. pobrać audyt bezpieczeństwa, wyciągnąć informacje na temat tego, co dzieje się w obrębie organizacji i dopiero na koniec wprowadzić jakieś zabezpieczenia. 

Ale z doświadczenia wiem, że najczęściej takie wdrożenie trwa maksymalnie do miesiąca, Jeżeli oczywiście mamy pełne działania, bo też często spotykamy się z tym, że ktoś może nie mieć czasu do końca na wdrożenie i często ta Safetica zamiast zbierać logi dwa tygodnie, zbiera logi pół roku. Takie sytuacje też mamy i pojawiają się dość często. Natomiast jeżeli naprawdę chcemy gdzieś tam to wdrożyć i mamy na to środki, czas i zapotrzebowanie, to góra 2–3 tygodnie i mamy tak naprawdę wdrożenie zrealizowane nawet podstawowych polityk, później ewentualnie dokręcanie śrubki co jakiś czas. 

 

A czy takie wdrożenie jakoś ma wpływ na te osoby, które już w jakimś tam stopniu zajmują się cyberbezpieczeństwem w firmie? Czy być może to powoduje, że te osoby stają się troszkę redundantne, troszkę już niepotrzebne? Jak Ty na to patrzysz? 

 

Prawda jest taka, że to jest troszeczkę kwestia związana teraz z AI, gdzie zadajemy sobie pytanie, czy zaraz nas, pracowników, nie zastąpi sztuczna inteligencja. Czynnik ludzki tutaj zawsze będzie potrzebny, bo zawsze będzie potrzebny człowiek, który spojrzy na dany incydent bezpieczeństwa i zobaczy: aha, dobra, ale ten pracownik musiał wysłać ten plik, bo było to gdzieś tam wpisane w jego obowiązki. Musiał wysłać np. ten raport do tego klienta bądź partnera naszego biznesowego, bo tak trzeba było. Więc zawsze ten czynnik ludzki będzie potrzebny. 

A jak to wpływa później na pracę? Administrator na pewno ma dodatkowe oprogramowanie do obsługi, ale z drugiej strony to nie jest takie oprogramowanie jak antywirus, do którego trzeba cały czas zaglądać, cały czas to obsługiwać, nie jest to oprogramowanie typu AD, gdzie również trzeba cały czas gdzieś tam monitorować te stacje. Jest to oprogramowanie, do którego wchodzimy tak naprawdę raz na jakiś czas i sprawdzamy, co się dzieje, doglądamy po prostu, ewentualnie sprawdzamy, jak wyglądają incydenty bezpieczeństwa. 

Mamy też chociażby integrację ze SIEM-em, gdzie też można ładnie obsługiwać te incydenty bezpieczeństwa. Z drugiej strony, jeśli chodzi o samych pracowników, to poza tym, że pracownicy, wysyłając jakieś pliki, mogą dostawać np. powiadomienia, to nie zmieni to jakoś bardzo ich pracy, chyba że wszystko blokujemy na pałę, ale to ja też od razu mówię przy samym wdrożeniu i wielokrotnie to powtarzam: nie blokujemy wszystkiego na dzień dobry, bo z jednej strony super, możemy zablokować wszystkie pliki, zatem nic nie wyjdzie poza organizację, bo wszystko jest zablokowane, ale z drugiej strony zaraz do działu IT pojawi się ogromna kolejka pracowników z informacją, mail mi nie działa, proszę mi naprawić. 

I niestety tak to często też wygląda, dlatego my często też rekomendujemy, żeby stworzyć sobie mniej restrykcyjne reguły, ale takie, które będą bardziej edukować pracowników i informować ich, że te pliki są chronione i że naprawdę nie powinny wychodzić poza obręb organizacji, ale jeżeli jest ku temu np. jakieś biznesowe uzasadnienie, to jak najbardziej może to wysłać. 

I dopiero wtedy administrator i biznes mogą decydować, czy dany plik faktycznie mógł wyjść, czy nie, a dopiero na sam koniec, jak już mamy faktycznie pewnego rodzaju wiedzę, to wtedy można ewentualnie blokować, jeżeli wiemy, które pliki absolutnie wychodzić nie mogą. 

 

Te rozwiązania, te narzędzia są bardzo istotne, bardzo pomocne, ale myślę, że edukacja, która pewnie musi iść w parze, jest tutaj równie potrzebna, żeby wiedzieć nie tylko, jak korzystać z tych narzędzi, ale żeby też przede wszystkim być świadomym tego, które dane są istotne albo jak przez przypadek, jak przez przeoczenie albo jakiś dziwny błąd po prostu nie powodować ich wycieków na zewnątrz. 

Na koniec chciałbym Cię jeszcze zapytać o to, czy tego typu rozwiązania są adresowane do praktycznie każdej firmy, czy też może musi być jakaś wielkość, obszar, branża działalności, żeby miały one tam sens i zastosowanie? 

 

Tutaj pozwolę sobie nawet odpowiedzieć pytaniem na pytanie, czy znasz jakąś firmę, która nie przetwarza danych osobowych? No nie oszukujmy się. 

 

Teraz już nie. 

 

Dokładnie, dlatego właśnie praktycznie każda firma, każda branża, każdy sektor może tu wchodzić w grę. Jedynie tylko co, to oczywiście mowa o firmach, które zatrudniają pracowników, bo wydaje mi się, że jeżeli ktoś ma jednoosobową działalność gospodarczą, to sam sobie raczej nie będzie wykradać danych, choć nie wiadomo, zawsze jest jakaś duża niewiadoma, ale generalnie jeżeli zatrudniasz pracowników, jeżeli masz ryzyko, że ci pracownicy mogą mieć dostęp do jakichś kluczowych plików, to te rozwiązania są dla Ciebie. I niezależnie jak wielką firmą jesteś, niezależnie, jaką branżą jesteś, to tak naprawdę wszędzie gdzieś te dane muszą być chronione. 

 

Jasne. Dzisiaj moim gościem był Dawid Dziobek. Rozmawialiśmy o tym, jak zapobiegać wyciekom danych z firmy. 

Dawid, bardzo Ci dziękuję za poświęcony czas. 

 

Dziękuję wszystkim. Miłego dnia życzę i do usłyszenia. 

 

Zanim Cię jednak wypuszczę, to chciałbym Cię zapytać, gdzie Cię można znaleźć w internecie albo gdzie możemy odesłać słuchaczy, żeby się więcej dowiedzieli np. o narzędziach, o których dzisiaj była mowa. 

 

Na pewno można mnie znaleźć na LinkedInie, po prostu wyszukując Dawid Dziobek, gdzie bardzo często gdzieś tam rzucam różnego rodzaju informacje związane czy to z jakimiś wyciekami lub w ogóle z kwestią związaną właśnie z ochroną danych i zabezpieczeń. Tak że też serdecznie zapraszam do obserwowania i gdzieś tam dodawania do sieci. 

 

Świetnie. Oczywiście link będzie w notatce do odcinka. Myślę, że podlinkujemy też tam strony, na których Safetica ma swoje opisy. Tak że zapraszamy, a z mojej strony, Dawid, jeszcze raz bardzo dziękuję. 

Miłego dnia, cześć!

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Po więcej wartościowych treści zapraszam Cię do wcześniejszych odcinków. A już teraz, zgodnie z tym, co czujesz, wystaw ocenę, recenzję lub komentarz w aplikacji, której słuchasz lub w social mediach. 

Zawsze możesz się ze mną skontaktować pod adresem krzysztof@porozmawiajmyoit.pl lub przez media społecznościowe. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o tym, jak zapobiegać wyciekom danych z firmy. Zapraszam do kolejnego odcinka już wkrótce. 

Cześć!