Pada awal Oktober tentang Habr
, kebocoran data dari "Sberbank"
dibahas . Salah satu karyawan bank menjual informasi tentang ribuan atau jutaan pelanggan: nama, nomor paspor, nomor kartu, tanggal lahir, alamat, dll.
Berita itu sendiri adalah biasa:
karyawan di hampir semua bank Rusia, operator telekomunikasi dan perusahaan milik negara menjual informasi pribadi tentang pelanggan. Tapi di sini pangkalan jatuh ke akses terbuka, yang tidak sering terjadi. Karyawan
sudah dihitung (dan mungkin dihukum). Tetapi siapa yang menjebak informan dan Sberbank dengan meluncurkan informasi di media massa adalah
topik tersendiri .
Tetapi apa yang harus dilakukan perusahaan, bagaimana menghindari kebocoran seperti itu? Mungkin, perlu untuk menaikkan gaji personil (sehingga mereka tidak mendapatkan uang tambahan dengan cara ini) dan memperkuat kontrol mereka. Sberbank menggunakan sistem DLP InfoWatch. Kemudian dia tidak membantu. Ada sistem lain yang melengkapi DLP. Misalnya, Microsoft menawarkan platform manajemen ponsel cerdas untuk karyawan
Intune .
Intune adalah komponen suite Microsoft Enterprise Mobility + Security (EMS) yang mengelola perangkat dan aplikasi seluler. Ini terintegrasi erat dengan komponen EMS lainnya, seperti Azure Active Directory (Azure AD) untuk manajemen hak akses dan Perlindungan Informasi Azure untuk perlindungan data.
Berikut adalah beberapa fitur Intune:
- Kelola perangkat seluler dan komputer yang digunakan untuk mengakses data perusahaan.
- Kelola aplikasi seluler yang diluncurkan karyawan.
- Melindungi informasi perusahaan dengan mengendalikan cara karyawan mengakses dan membagikannya.
- Pastikan semua perangkat dan aplikasi mematuhi persyaratan keamanan.
Atas dasar Intune, akan lebih mudah untuk meluncurkan apa yang disebut "telepon korporat" untuk dibagikan kepada staf. Misalnya, bahwa di wilayah kantor diperbolehkan untuk menggunakan perangkat mereka sendiri atau hanya dengan koneksi yang sama ke Intune dan pembatasan yang sesuai. Ini segera menghilangkan beberapa saluran kebocoran informasi yang dijelaskan di atas.
Intune memungkinkan Anda untuk melarang penggunaan kamera pada ponsel dari jarak jauh dan membatasi daftar aplikasi yang diizinkan untuk instalasi dan peluncuran.
Tentu saja, pembatasan yang sama harus ditetapkan pada tablet, laptop, komputer desktop, dan perangkat lain apa pun yang digunakan karyawan.
Metode apa yang tersisa untuk menyalin informasi dari database, seperti Sberbank? Menulis ke flash drive dilarang atau dipantau.
Dia dapat menentukan informasi melalui telepon atau suara skype. Masalah ini ditutupi oleh DLP pengenalan suara.
Anda dapat menyalin informasi ke aplikasi resmi dan mengirimkannya melalui saluran terbuka. Misalnya, mengenkripsi, lalu mengarsipkannya ke file seperti
dogovor.zip dan mengirimkannya ke rekanan dengan kedok aplikasi untuk kontrak. Masukkan file pdf atau jpg ke dalam metadata, sembunyikan dalam file suara, grafik atau video menggunakan metode steganografi dan letakkan di hosting terbuka. Pelacakan opsi tersebut adalah pekerjaan dari layanan keamanan, yang memiliki catatan aktivitas pada monitor setiap karyawan melalui sistem
RAT DLP.
Tentu saja, kisah Edward Snowden menunjukkan bahwa informasi rahasia dapat diambil dari organisasi yang paling dilindungi jika Anda benar-benar menginginkannya, tetapi untuk ini Anda perlu memiliki akses khusus. Edward Snowden menggunakan komputer lama dari arsip yang diduga dengan kedok perbaikan (mungkin tidak ada port di komputer lain untuk merekam flash drive) dan kubus Rubik, tempat ia menyembunyikan kartu microSD.
Sistem manajemen perangkat karyawan Intune menggunakan protokol atau API yang tersedia di sistem operasi seluler. Ini termasuk tugas-tugas seperti:
- Daftarkan perangkat dalam sistem, sehingga semuanya dapat dilihat oleh departemen TI
- Konfigurasikan perangkat untuk memenuhi standar keamanan
- Menyediakan sertifikat dan profil Wi-Fi / VPN untuk mengakses layanan perusahaan
- Melaporkan dan memeriksa kepatuhan dengan standar perusahaan
- Menghapus data perusahaan dari perangkat yang dikelola
Penyedia sertifikat untuk perangkat adalah Azure Active Directory (Azure AD). Intune terintegrasi dengan Azure AD untuk berbagai skenario kontrol akses.
Manajemen aplikasi seluler (sistem MAM) termasuk menetapkan aplikasi seluler tertentu untuk karyawan tertentu, menyiapkan aplikasi; pengelolaan penggunaan dan berbagi data perusahaan dalam aplikasi seluler; penghapusan data perusahaan dari aplikasi seluler; perbarui dll.
Apa yang memberi integrasi dengan GlobalSign
Sejak Februari 2019, GlobalSign telah
mendukung integrasi dengan Intune dan Microsoft Active Directory . Ini berarti bahwa perangkat dapat masuk ke jaringan perusahaan menggunakan sertifikat GlobalSign PKI. Ini lebih nyaman bagi pengguna dan administrator sistem yang dapat secara otomatis memberikan sertifikat kepada kelompok pengguna tertentu, tergantung pada hak akses mereka. Setiap kelompok memiliki sumber daya yang diperbolehkan sendiri.
Manajemen otomatis sertifikat dan hak untuk masing-masing kelompok mengurangi risiko kebocoran tersebut, seperti halnya dengan Sberbank. Meskipun mereka mengatakan bahwa ada informasi yang dijual oleh direktur cabang, yang secara default memiliki hak maksimum. Nah, jika karyawan biasa masih dapat dipantau menggunakan sistem seperti Intune dan DLP, maka bahkan departemen keamanan paling canggih, yang dengan sendirinya tunduk kepada bos ini, tidak akan menyelamatkan dari penyalahgunaan oleh bos.
