Firmy v současné době svá data chrání poměrně dobře pomocí firewallů, antivirů a různých IDS/IPS systémů. Většina obrany je tak namířena směrem ven, proti vnějšímu útočníkovi. Stále častěji si však uvědomují, že útočník může být i uvnitř. Opomineme-li přímé útoky na servery, zařízení a data, zůstává ještě významná množina „nechtěných“ incidentů a jednoduché vynesení dat, ke kterým má zaměstnanec přístup vzhledem k zastávané pracovní pozici.

Organizační opatření, chránící přístup k datům pomocí interních směrnic a bezpečnostní politiky, se tak doplňuje technickým řešením ochrany před ztrátou dat (DLP). Firma McAfee nově představila své řešení, které naznačuje trend v této oblasti bezpečnostních produktů. Klient-server aplikace umožňuje monitorování a řízení přístupu k informacím nejen na síti, ale i na lokálním počítači kontrolou jeho portů, mechanik, práce se schránkou nebo tisku.

Jde tedy o klasické řešení, kdy podobně jako u anivirů je klient nainstalovaný na stanicích a kontroluje přístup ke klasifikovaným datům. Ta jsou klasifikována pomocí tzv. tagů, což jsou vlastně metainformace o každém souboru. Nejsložitější je určit, která data je třeba chránit, přičemž lze vybrat celé servery, adresáře či samostatné soubory určitého typu a nastavit příslušná práva. Každý objekt je „otagován“ a to jak již existující, tak nový. Pokud například bude existovat složka „Finanční informace“, která bude otagovaná jako read-only bez možnosti „exportu“, všechny dokumenty vzniklé v této složce budou příslušně automaticky označeny a uživatel je z počítače nedostane - program kontroluje porty, mechaniky, email, schránku a zejména lze hlídat samotný obsah souboru, tj. např. definovat, že rodná čísla nesmí opustit daný počítač.

Server je používán ke správě politik, které se šíří pomocí AD/domény nebo ePolicy Orchestratoru (management řešení od McAfee). Ochrana je nicméně funkční i v offline režimu, kdy se použije poslední známá politika, přičemž uživatel nemá práva ji měnit. Bezpečnostní správce tak může efektivně sledovat, co se děje s některými daty - buď jen situaci monitorovat nebo bránit uživatelům data z počítače vynést.

Na první pohled vypadá řešení poměrně bytelně (zaujalo mě zejména, že nepomůže soubor zabalit, zašifrovat ani zkopírovat jako čistý text) a pokud uživatel pevný disk prostě neodnese, má smůlu. Slabina je nicméně v tom, že klasifikační tagy jsou uloženy v NTFS streamech a stačí tedy soubory zkopírovat na oddíl s FAT32 nebo jiným způsobem se uložených metadat zbavit (utilitky na to již existují).

Je zřejmé, že aplikace míří do podniků a státních institucí, kde je především třeba data chránit před vynesením, a uživatelé nemusí být vždy IT odborníci, ale bez dalších bezpečnostních opatření rozhodně nepůjde o bezpečné a samospasitelné řešení. Na druhou stranu může významně pomoci při sledování pohybu důvěrných informací nebo zajištění šifrování před přenosem dat mimo organizaci.

Pro úplnost je třeba říci, že existuje bezklientské HW síťové řešení, které se nazývá McAfee Data Loss Prevention Gateway a brání přenosu informací přes příslušnou bránu na úrovni sítě.