Interne låser og brannmur hindrer ikke informasjon fra å lekke ut.

Skal stoppe datalekkasjer i bedriftene

Ny løsning skal hindre at interne dokumenter og e-poster kommer på avveie.

Microsoft har i flere år tilbudt tjenester som skal gjøre det mulig å sende fra seg digitale dokumenter samtidig som man sikrer dem mot innsyn fra uvedkommende. Tjenestene heter «Information Rights Services», mens teknologien er døpt «Rights Management Services» eller RMS. Den brukes internt i bedrifter, eller mellom partnere som samarbeider forholdsvis tett og som har behov for å kunne sikre seg mot at uvedkommende får tilgang til følsom informasjon.

Oppgaven til RMS er å sikre at e-post bare kan leses av den som er oppgitt som mottakere, og at dokumenter ikke skal kunne leses, skrives ut eller redigeres av andre enn dem som har den nødvendige tillatelse.

Rettighetene er rollebasert, slik at dokumenter beregnet på for eksempel «ledergruppen» bare kan leses av dem som er oppført som medlemmer av organisasjonens ledergruppe. E-post og dokumenter som havner hos uvedkommende, skal ikke være leselige.

– RMS er lagt opp slik at den som skaper et dokument eller en melding, må selv angi hvilke rettigheter den skal underlegges, forklarer Ole Tom Seierstad i Microsoft Norge til digi.no.

– Reglene og nivåene som utformes sentralt, nedfelles i organisasjonens tjenester av IT-avdelingen. RMS krever en rettighetsserver som kommuniserer med katalogtjenesten Active Directory, og krever også en streng autentisering av alle brukere i nettverket. Den enkelte brukeren har ansvaret for å legge rettighetsvernet inn i dokumentene og meldingene man selv skaper.

Interne låser og brannmur hindrer ikke informasjon fra å lekke ut.
Interne låser og brannmur hindrer ikke informasjon fra å lekke ut.

Rettighetene kan fordeles på roller eller individer, og rettigheter kan graderes, for eksempel lese, skrive ut, kopiere fra, redigere. Kontrollen skjer gjennom et sett med sentralt etablerte maler. Et dokument eller en melding kan underlegges en eller flere maler.

Microsoft selv har brukt dette systemet i mange år. De erfarte at det kunne være problematisk å overlate ansvaret for rettighetsvernet til den enkelte.

– Teknisk sett fungerer dette systemet etter hensikten, forteller Seierstad.

– Problemet er at det er vanskelig å få brukerne til å forholde seg til dette. Poenget er jo å gi brukerne råderett over ulike alternative måter å beskytte det de gir fra seg, enten det er dokumenter eller e-post. Erfaringen er at graderingen fra brukerne er ofte mangelfull eller uhensiktsmessig.

For to år siden fant Microsoft ut at det de trengte for å bedre løsningen, var teknologi fra RSA Security som i dag er et datterselskap til EMC.

– For å bøte på problemene, søkte vi å integrere vår RMS med en RSA-teknologi kalt «Data Loss Protection» eller DLP. Internt har vi nå kombinert vår RMS med RSAs DLP et par års tid. Vi er nå fornøyd med løsningen vi har kommet fram til. Vi har forhandlet oss til en lisensordning med RSA, slik at vi kan tilby DLP integrert med RMS til våre kunder.

Ifølge Thorbjørn Ellefsen, Country Manager i RSA Norge, er oppgaven til DLP å automatisk analysere innholdet i en melding eller et dokument, og så foreslå eller pålegge en eller flere rettighetsmaler.

Kombinasjonen av DLP og RMS innebærer derfor at brukeren ikke lenger pålegges eneansvaret for rettighetsvernet. DLP kan gjenkjenne innhold som etter reglene skal vernes mot innsyn, og pålegge dette vernet uavhengig av hva opphavet til dokumentet gjør.

–DLP er seg bevisst hva slags innhold som krever særskilt vern og kan ut fra det velge en eller flere rettighetsmaler etter nærmere angitte regler, forklarer Ellefsen.

– Den bygger opp sin innholdsbevissthet ut fra kontekst. Det betyr at den kan settes til å tolke tall av bestemte størrelser som personnummer dersom de står i nærheten av et personnavn, og at den kan gjenkjenne om et dokument er en kontrakt. Når den har funnet fram til kategoriene som et dokument tilhører, håndhever den reglene som er satt for hvordan slike dokumenter kan fordeles.

Den kombinerte løsningen av Microsofts RMS og RSAs DLP kan anvendes på alle typer klienter. Skal man lese en gradert e-post på sin mobiltelefon, må man bruke en RSA-teknologi for å legitimere seg.

RMS ligger allerede i mange av Microsofts produkter, på både klientsiden – Office 2003 og 2008 – og serversiden.

– Vår erfaring er at kombinasjonen med DLP gjør det lettere å ta RMS i bruk, sier Seierstad.

– Vi merket blant annet en kraftig reduksjon i mengden e-post som kom på avveie.

I dag implementerer Microsoft DLP ved 120 000 Sharepoint-steder.

Ellefsen og Seierstad understreker begge at teknologien ikke er til noen nytte med mindre det legges opp til hensiktsmessige regler. Og regler kan man ikke formulere med mindre man gransker hvordan organisasjonen faktisk håndterer dokumenter med følsom eller intern informasjon.

– Derfor må man begynne med å kartlegge informasjonen man har i virksomheten, og se på bruksmønsteret, for brukerne forvalter informasjonen. DLP gir tilgang til et verktøy for å kartlegge omfange av uønsket bruk. Først da kan man sette seg ned og utarbeide hensiktsmessige regler. Prosessen må være på plass. Ellers vil ikke dette virke. Teknologien er til for å hjelpe folk til å etterleve regler. Det er grunnlaget for det RSA og Microsoft tilbyr med denne løsningen.

En viktig del av løsningen er at den logger hva som skjer, slik at man er i stand til å plukke opp brudd på reglene.

– Teknologien kan åpenbart brukes i strid med personvernet. Det har vi merket i kundesamtaler vi har hatt. Det kan være lett å la seg rive med av mulighetene. Teknologien kan gjøre det mulig å fullstendig hindre enhver CV fra å forlate bedriften. Det er ikke sikkert at dette er hensiktsmessig i enhver situasjon.

Kombinasjonen av DLP og RMS er selvfølgelig ikke totalt vanntett. Erfaringer hos Microsoft og andre pilotbrukere tyder på at det er virksomt i å hindre flere av de typiske måtene datalekkasjer foregår på, som videresending av e-post og manglende muligheter til sentralt å håndheve graderingsregler i forkant. Reglene kan legges opp slik at brukerne minnes om at innholdet er av en slik art at tilgangen til informasjonen bør begrenses. Man kan også legge opp til påbud, for eksempel håndheve en absolutt regel om hva slags minimumsbegrensning skal gjelde for meldinger og dokumenter som kombinerer for eksempel personnummer, navn og helseopplysninger.

Sporingsmulighetene i Microsoft og RSAs integrasjon av RMS og DLP gjør at man i tilfelle brudd på regelverket kan spore opp der bruddet skjedde.

Bruken av DLP og RSA kan derfor lette situasjonen for bedrifter som kommer i en situasjon der de har behov for å dokumentere interne rutiner for håndtering av følsom informasjon.

– DLP sikrer at regler og klassifisering av dokumenter legges inn i selve infrastrukturen. RMS betyr at man kan legge denne klassifiseringen til grunn for varig beskyttelse av følsom informasjon også i sirkulasjonsleddene etter den første utsendingen, sier Ellefsen.

Integrasjonen som Microsoft og RSA nå går sammen om å markedsføre gjelder DLP og Active Directory: DLP avdekker hvor følsomt innholdet i en melding eller et dokument er, og kan automatisere anvendelsen av reglene nedfelt av RMS i katalogen, og dagens utgave av DLP (DLP Suite 6.5) omfatter RMS som ny måte å håndheve regler på.

I en utvidelse av partnerskapet vil Microsoft bygge DLPs klassifiseringsteknologi inn i sine egne produkter, slik at vernet kan komme enda tettere inn der innholdet blir skapt og anvendt.

    Les også:

Til toppen