Utfordringene med å beskytte virksomhetens informasjon står i kø. Ikke alle data er like. Noen er mer følsomme og krever et sterkere nivå av beskyttelse og kontroll enn andre. Hvilke bedriftsdata som må sikres, er avhengig av dine krav til sikkerhet og samsvar. En hemmelig cola-oppskrift er opplagt mer følsom enn oppskrifter på kantinemat. Det er generelle retningslinjer for sensitive data som kredittkort- og personnummer. Men ingen organisasjoner klassifiserer data likt. De har forskjellige standarder for informasjonsstyring. Det gjør at retningslinjer for klassifisering må tilpasses.
Informasjonsbeskyttelse
Det første trinnet i reisen mot informasjonsbeskyttelse er å vite hvordan organisasjonen din bruker data. Her ser vi på metoder for å oppdage og kategorisere data med følsomhetsetiketter, foruten å beskytte dem. Vi drøfter hvordan du kan forhindre deling og misbruk av sensitiv informasjon. Like viktig er overvåking og analyse av følsomt innhold for å forebygge datalekkasje ut av bedriften. Teknologiene som benyttes, er Microsofts Informasjonsbeskyttelse og Hindring av datatap (DLP).
Historien om et dokument
Dokumenter beveger seg i dag på mangslungne veier. La oss se på en fils reise og diskutere hvordan Microsoft-teknologier kan bidra til å beskytte innholdet i dokumentet.
- Filen er opprettet. Uansett hvor det er skjedd, kan følsomhetsmerking i Office-programmer håndheve informasjonsbeskyttelse basert på etikettene som er knyttet til dataene.
- Bruker redigerer filen. Etiketten er oppdatert basert på brukerens endringer og innholdets følsomhet. Dette sikrer at filen har riktig beskyttelse.
- Bruker deler filen med en annen i organisasjonen. Som et ekstra beskyttelseslag hjelper policyer for hindring av datatap (Data Loss Prevention – DLP) å forebygge utilsiktet eller tilsiktet deling av sensitive dokumenter og e-postmeldinger.
- Bruker åpner filen på mobilen. Hvis en bruker mottar og åpner dataene på en mobilenhet, sørger Microsoft Intune for å sikre dem.
- Bruker laster opp filen til en annen skytjeneste som Dropbox. Om en bruker gjør dette og deler filene eksternt, kan tjenester som Microsoft Cloud App Security (MCSA) benytte seg av policyer basert på data-etikettene.
Det er viktig å beskytte sensitive dokumenter og data når de beveger seg på tvers av flere enheter og steder. Microsofts løsninger for informasjonsbeskyttelse bidrar til å sikre at innholdet forblir kryptert fra ende til annen, med IT-styring og tilsyn. MCAS bruker retningslinjer basert på dataenes etiketter i tredjeparts skyapplikasjoner.
Følsomhetsetiketter
Følsomhetsetiketter er merkelapper du setter på filer. De legger til metadata for å klassifisere dem. Du kan bruke dem for å føye til topp- og bunntekster, samt vannmerker. En etikett kan også benytte seg av Azure Rights Management (RMS) for å kryptere og rettighetsstyre dokumenter. Rettigheter kan tildeles finkornet (f.eks. rediger, ikke kopier el. ta utskrift). De kan tidsbegrenses og tilbakekalles. Bruken kan spores. Funksjonaliteten er bakt inn i Microsoft 365 Apps for Windows og Mac, samt nett- og mobilutgavene av Office.
På Windows kan du valgfritt installere Azure Information Protection-klienten for enhetlig merking. Den legger til en knapperad under båndet i Word, Excel, PowerPoint og Outlook. Det følger også med en PowerShell-modul.
Klienten er integrert i Filutforsker. Den lar deg kryptere andre filer enn bare Office-dokumenter. Høyreklikk på en fil eller mappe og velg Klassifiser og beskytt. Da får du opp dialogen nedenfor.
Du kan huke av for Beskytt med egendefinerte tillatelser. Velg brukere, grupper eller organisasjoner rettighetene skal gjelde for. Tilgangen kan utløpe på et bestemt tidspunkt.
Klassifisere data – begynn på reisen
Informasjonen i ditt digitale miljø er i evig vekst. Legg ut på klassifiseringsreisen ved å ta for deg dine mest kritiske og følsomme data først. Arbeid deg nedover til den minst sensitive informasjonen.
Da Azure Information Protection (AIP) ble lansert høsten 2016, fulgte det med en grunnleggende mal med fem kategorier som Microsoft fortsatt holder fast ved i dokumentasjon og workshops. Navnene varierer noe. De første tre er Personlig for privat informasjon, Offentlig for data som kan deles eksternt, og Generelt (Internt) for innhold som primært er beregnet på bedriften. Disse etikettene merker bare innhold, men beskytter ikke. Hensikten er å klassifisere data med tanke på å styre informasjon og gjøre ansatte oppmerksom på tiltenkt bruk av dataene.
Mottakere og rettigheter
Merkelappen Konfidensielt (Begrenset) har tre undermenyer i Microsofts standardmal. Etiketten Alle ansatte krypterer data og gir alle i virksomheten medeier-rettigheter. Enhver setter bare inn et vannmerke. Kun mottakere lar deg angi rettigheter og hvem som skal få dem.
Tilsvarende har Høyst konfidensielt (Konfidensielt) undermenyer. Om Azure Information Protection-klienten for enhetlig merking ikke er installert, får du opp dialogboksen til venstre når du velger Kun mottakere. Med klienten har du alternativene til høyre. Microsofts grunnoppsett er et godt utgangspunkt for å komme i gang. IT-avdelingens oppgave er å opprette regler som utformes av ledelsen, avdelinger og juridisk kyndige personer. Brukere vil utfylle dem ved å gi tilbakemeldinger.
Fire måter å klassifisere data på
Når en bruker oppretter eller leser og redigerer et dokument med informasjonsbeskyttelse aktivert, ser de fire alternativer for dataklassifisering (avhengig av abonnement).
- Automatisk. Retningslinjer satt av IT, klassifiserer og merker automatisk dokumenter i henhold til dataene de inneholder. Bruker får opp en melding om automatisk markering.
- Anbefalt. Retningslinjer klassifiserer og merker automatisk dokumenter i henhold til dataene de inneholder. Bruker mottar et varsel og kan endre etiketten.
- Omklassifisering. Brukere kan omklassifisere dataene eller fjerne etiketten. Retningslinjer kan eventuelt kreve at brukerne gir en begrunnelse.
- Bruker-styrt. Brukere kan klassifisere dokumentet manuelt. Brukerklassifisering bestemmer hvilke etiketter og hvilken beskyttelse som automatisk gjelder.
Hindring av datatap
Folk gjør feil når de omgås konfidensielle og følsomme data. Hindring av datatap (DLP) er en teknologi som er utformet for å hjelpe brukere å håndtere dem bedre. Det er ingen magi og kan ikke forebygge alle metoder for å dele data. DLP er en brikke som inngår i puslespillet for generell informasjonssikkerhet. Den ble først introdusert i Exchange 2013. Nå dekker DLP-policyer Exchange, SharePoint, OneDrive og Teams, med planer om å beskytte alle former for data i Microsoft 365.
Behovet for å hindre datatap
Med policyer for hindring av datatap kan virksomheter lett identifisere, overvåke og automatisk beskytte sensitiv informasjon. La oss se på et bruksområde:
Livssyklusen for et dokument kan arte seg sånn:
- Økonomiavdelingen oppretter et dokument i Excel som inneholder lønnsdata.
- Økonomiavdelingen deler det endelige utkastet med personalavdelingen via SharePoint.
- Bidragsytere foretar en gjennomgang og oppdaterer dokumentet.
- Økonomi- og personalavdelingene godkjenner resultatet og sender det til lønnsavdelingen.
- Lønn åpner dokumentet i et tredjepartsverktøy for utbetaling.
Hvor kan du bruke hindring av datatap (DLP) i dette scenarioet?
- Bruk DLP-policyer for å blokkere e-post med opplysninger som inneholder bankkonto, personnummer og lønnsdata. Eventuelt kan du automatisk kryptere denne type informasjon.
- Bruk Microsoft Cloud App Security til å hindre opplasting, nedlasting eller deling av sensitiv informasjon som er lagret i skyen
- Vurder å bruke informasjonsbeskyttelse på SharePoint-biblioteket som huser dokumentene. Du kan også benytte følsomhetsetiketter som rettighetsstyrer innholdet i de enkelte filene.
Konseptene bak DLP
Dataene kan omfatte økonomiske data eller personlig identifiserbar informasjon (PII), så som kredittkort, personnummer og helse-opplysninger. Med policyer for hindring av datatap kan du:
- Identifisere sensitiv informasjon på tvers av Exchange, SharePoint, OneDrive og Teams. Sånn kan du kartlegge hvert dokument på et hvilket som helst OneDrive-nettsted eller bare overvåke OneDrive-kontoene til bestemte personer.
- Forhindre utilsiktet deling. Du kan blokkere alle dokumenter og meldinger som inneholder helseopplysninger, og som deles med personer utenfor organisasjonen.
- Overvåke og beskytte følsomme data i skrivebordsversjonene av Excel, PowerPoint og Word. DLP gir kontinuerlig overvåking når folk deler innhold i disse Office-programmene.
- Hjelpe brukere å være i samsvar uten å forstyrre arbeidsflyten. De kan læres opp ved hjelp av e-postvarsling og policytips når de prøver å dele sensitivt innhold. Samtidig kan de ha anledning til å overstyre policyen hvis arbeidet krever det.
- Se DLP-rapporter som viser om brukerne er i samsvar med virksomhetens DLP-policyer. Om en policy tillater overstyring, kan du se rapporter over falske positiver.
Du oppretter og administrerer DLP-policyer i portalen for Microsoft 365-Samsvar. Her får du også en oversikt over samsvar med tredjepartspolicy for hindring av datatap, brukere med flest delte filer og filer som deles offentlig.
Tett integrasjon i Office og Microsoft 365
Microsofts DLP-løsning kjennetegnes ved at den er godt integrert i klienter og skytjenestene. Outlook undersøker teksten idet den tastes inn ved hjelp av flere algoritmer. De finner frem til samsvarende mønstre og regulære uttrykk (RegEx) for å oppdage mulige regelbrudd. Outlook på nettet (OWA) kan også utføre DLP-kontroll. Begge viser policytips når de oppdager følsomme data. Det gjør brukere oppmerksom på innholdet de har å gjøre med, før de sender av gårde meldinger.
Hindring av datatap var først bare en mekanisme i Exchange Online som ble håndtert ved hjelp av transportregler. Det er et enkelt kontrollpunkt som alle meldinger må passere gjennom. I SharePoint og OneDrive undersøkes dokumentene samtidig som de indekseres. Denne teknologien er overført til Exchange. Det anbefales at du bruker enhetlige policyer som er felles for arbeidsøktene. Unntaket er om du trenger regelsett som bare er tilgjengelig for Exchange, eller om du har et hybrid e-postmiljø. I Teams finnes det DLP-policyer for chat- og kanalmeldinger
Policy for hindring av datatap
Gå inn i portalen for Microsoft 365-Samsvar. Velg Hindring av datatap. Her er det en policy som ble opprettet automatisk: Recommended Policy for Sharing Sensitive Information. La oss se nærmere på den. Velg den og klikk på Rediger policy (forhåndsversjon).
Navnet på policyen er greit nok. Så er spørsmålet hvor den skal brukes. I vår leier (tenant) kjører vi Microsoft 365 Business Premium. I det abonnementet inngår ikke DLP-støtte for chat- eller kanalmeldinger i Teams eller Microsoft Cloud App Security (MCAS). For Exchange, SharePoint-nettsteder eller OneDrive-kontoer er det ingen ekskluderinger.
La oss nå se på de avanserte reglene. Det er to av dem, én for et lavt volum av forekomster av følsomme data og én for et høyt volum. Det er et sett av betingelser for begge:
- Dataene inneholder US Social Security-nummer (SSN), kredittkortnummer, EU debetkort-nummer, U.S. og britiske passnumre og U.S. Individual Taxpayer Identification Number (ITIN).
- Innhold deles fra Microsoft 365 med personer utenfor organisasjonen
Om dette er tilfellet, utfør handlingen: Varsle brukere på e-post og med policytips (lavt volum). For høyt volum: Send i tillegg hendelsesrapporter til administrator.
Her har vi regelen for lavt volum. Legg merke til at det opereres med nøyaktighetsgrader. Et Visa-kort er ikke identifisert bare ved 16 tall. Utløpsdato, kode og betegnelsen Visa bidrar til å sannsynliggjøre forekomsten.
Vi klikker på Legg til, velger Typer sensitiv informasjon og blar oss ned til Norway Identity Number. Så legger vi til norsk personnummer.
For høyt volum styrker vi beskyttelsen og velger vi Begrens tilgang eller krypter innholdet i Microsoft-plasseringer. Dette gjelder for personer utenfor organisasjonen. Personer innenfor beholder tilgangen.
Opprette en ny DLP-policy
For nye policyer klikker du på Opprett en policy (forhåndsversjon). Du kan starte med en mal eller helt fra bunnen av.
Lisensiering av informasjonsbeskyttelse og DLP
Det er gratis å konsumere innhold som er beskyttet av Azure Information Protection (AIP). Manuell klassifisering, merking og beskyttelse med følsomhetsetiketter krever AIP Premium P1, som blant annet inngår i Microsoft 365 Business Premium, E3 eller høyere. For automatisert og anbefalt klassifisering, markering og beskyttelse med policy-baserte regler må du ha AIP Premium P2, som er del av EMS E5 og Microsoft 365 E5. Lisensen kan også tegnes frittstående.
De grunnleggende funksjonene for hindring av datatap følger med Microsoft 365 Business Premium og E3. For å hindre datatap i Teams chat- og kanalmeldinger kreves det Microsoft 365 E5 eller Compliance-tillegget.
Avsluttende ord
Mye av fokuset i det siste har vært å opprette tradisjonelle sikkerhetsbarrierer for å stoppe angripere som trenger inn i interne systemer. Denne tilnærmingen kan forhindre hackere og svindlere, men det gjør ingenting for å hindre ansatte i å forårsake tap av data, vanligvis ved et uhell. Microsofts informasjonsbeskyttelse og hindring av datatap kan begge bidra til å forebygge at sensitiv informasjon siver ut av virksomheten.
Du har tilgang til over 100 forhåndsdefinerte datatyper. Du kan legge til dine egne, så som «Hemmelig prosjekt» eller lister over ord du ikke ønsker skal benyttes i kommunikasjonen, som: «F… heller». DLP kan lese fingeravtrykket av et helt dokument i formater som håndteres av Microsoft Søk. Sånn kan du for eksempel skanne inn PDF-skjemaer du ikke ønsker skal bevege seg ut av huset. Hendig er at du kan benytte følsomhetsetiketter som betingelse for DLP.