6 godzin temu
Przez lata bezpieczeństwo IT było projektowane wokół jednej zasady: należy wzmocnić perymetr, czyli granice sieci, i bronić się przed zagrożeniami z zewnątrz. Firmy budowały cyfrowe twierdze – zapory ogniowe, systemy wykrywania intruzów, segmentację sieci – wierząc, iż jeżeli dobrze zabezpieczą „wejście”, dane wewnątrz pozostaną bezpieczne. Ten model miał sens, gdy większość zasobów IT znajdowała się w lokalnym centrum danych, a pracownicy korzystali z firmowych komputerów w biurze.
Ale ten świat już nie istnieje.
Dziś dane są wszędzie – w chmurze publicznej, prywatnej i hybrydowej. Pracownicy pracują zdalnie, używają prywatnych urządzeń, korzystają z aplikacji SaaS, przesyłają dane przez API partnerom i klientom. Granice, które miały chronić, zanikły. Zabezpieczenia obwodowe tracą sens w środowisku, które jest z definicji otwarte, rozproszone i dynamiczne. Coraz więcej organizacji zaczyna rozumieć, iż ochrona infrastruktury nie wystarczy. Potrzebne jest nowe podejście – takie, które koncentruje się nie na tym, gdzie dane są przechowywane, ale jak są chronione. Tak rodzi się Data Centric Security.
Data Centric Security (DCS) opiera się na prostej, choć rewolucyjnej idei: skoro nie da się już skutecznie kontrolować środowiska, w którym dane się znajdują, należy zabezpieczyć same dane – niezależnie od miejsca ich przechowywania, przesyłania czy przetwarzania. To fundamentalna zmiana paradygmatu. W DCS punktem wyjścia jest założenie, iż dane prędzej czy później opuszczą kontrolowane środowisko, dlatego muszą pozostać chronione w każdych warunkach. Ochrona podąża za danymi, a nie na odwrót.
Ta zmiana jest nie tylko odpowiedzią na ewolucję architektury IT. Wymusza ją także wzrost wartości danych. Informacje o klientach, dokumentacja medyczna, projekty R&D, własność intelektualna – to wszystko stało się nie tylko zasobem, ale też towarem, którym handluje się na czarnym rynku. Ataki ransomware, kradzież danych i cyberprzestępczość ukierunkowana nie są już incydentami – to codzienność. Organizacje muszą zrozumieć, iż prawdziwym celem ataków są dane, a nie infrastruktura. Dlatego to dane wymagają priorytetowej ochrony.
Kolejnym powodem odejścia od tradycyjnego modelu bezpieczeństwa jest narastające ryzyko wewnętrzne. Statystyki pokazują, iż znaczna część wycieków danych wynika nie z włamań z zewnątrz, ale z działań pracowników, partnerów biznesowych, dostawców usług. Nie zawsze są one złośliwe – często to wynik błędów, nieświadomości, niewłaściwie skonfigurowanych uprawnień. Niemniej jednak klasyczne systemy bezpieczeństwa nie są w stanie zapobiec sytuacji, w której osoba z dostępem do infrastruktury wynosi dane na zewnętrzny dysk albo przesyła je mailem poza organizację.
DCS zmienia sposób kontroli dostępu do danych. Zamiast opierać się wyłącznie na przypisanej roli użytkownika, model ten uwzględnia kontekst – lokalizację, urządzenie, porę dnia, a choćby sposób, w jaki użytkownik zwykle korzysta z zasobów. jeżeli pracownik HR łączy się do systemu kadrowego z nieautoryzowanego urządzenia poza godzinami pracy, dostęp może zostać automatycznie zablokowany. jeżeli konsultant próbuje pobrać nietypowo dużą liczbę dokumentów z systemu CRM, system może wstrzymać operację i uruchomić analizę incydentu. Takie dynamiczne podejście jest znacznie skuteczniejsze w identyfikowaniu nadużyć niż statyczne reguły oparte wyłącznie na uprawnieniach.
W praktyce Data Centric Security wymaga ochrony danych w całym cyklu ich życia – od momentu utworzenia, przez przesyłanie, aż po przetwarzanie i archiwizację. Szyfrowanie jest fundamentem tego modelu, ale to dopiero początek. Potrzebna jest też automatyczna klasyfikacja danych, która pozwala określić, które informacje są szczególnie wrażliwe i jakiego poziomu ochrony wymagają. Niezbędne staje się też ciągłe monitorowanie dostępu i zachowań użytkowników oraz centralne egzekwowanie polityk bezpieczeństwa – niezależnie od tego, czy dane są przetwarzane w firmowym systemie, w chmurze czy na laptopie dostawcy.
Wdrożenie takiego podejścia nie jest proste. Wymaga integracji różnych technologii: od systemów DLP (Data Loss Prevention), przez zarządzanie tożsamością i dostępem (IAM), po narzędzia do analizy zachowań użytkowników (UEBA). Ale jeszcze większym wyzwaniem jest zmiana mentalności – przestawienie się z myślenia o ochronie „systemów” na ochronę „informacji”. To oznacza konieczność zaangażowania nie tylko działów IT, ale także compliance, zarządu, a często również zespołów operacyjnych.
Korzyści z wdrożenia DCS są jednak nie do przecenienia. Po pierwsze, minimalizuje ono skutki ewentualnych naruszeń – jeżeli dane są odpowiednio szyfrowane i kontrolowane, ich wyciek nie musi oznaczać katastrofy. Po drugie, podejście to znacznie ułatwia spełnienie wymagań regulacyjnych – zarówno tych ogólnych, jak RODO, jak i branżowych (np. DORA, HIPAA, ISO 27001). Po trzecie, w czasach rosnącej liczby incydentów, DCS daje organizacjom większą odporność – a więc przewagę konkurencyjną.
