A megbízható üzleti működéshez manapság elengedhetetlen feltétel az információvédelem megléte. Külső partnerekkel történő együttműködés igénye, és a jogszabályi megfelelőség mind-mind arra ösztönzi a szervezeteket, hogy legyen megoldásuk a kihívásra.

A M365-ben lévő információvédelmi megoldással a szervezet digitális információvagyona kezelhető és megvédhető a felhőben, on-premise környezetben, felhasználói eszközökön egyaránt.

Sok esetben kevesen tudják, de az M365 E3 (és O365 E3 + EMS E3, ez utóbbi népszerű licenszkonstrukció a hazai vállalaltoknál) beépítetten tartalmaz sok képességet, amivel lefektethető egy információvédelmi rendszer alapja. A megoldás neve a Microsoft Information Protection, röviden MIP.

A védelem életciklusa a következőképpen épül fel:

• discover: az érzékeny adatok felderítése
• classify: adat megfelelő kategóriába helyezése (pl. céges adat, szenzitív információ)
• protect: az adat védelemmel történő ellátása manuálisan vagy automatikusan (label)
• monitor: a védett adat felhasználásának követése.

Nézzünk egy fikítv példát, hogyan működik a fenti folyamat, GDPR-megfelelősséggel:

Andrea foglalkozik a HR-folyamatokkal, dolgozói belépésekkel. Emiatt sok személyes adattal dolgozik Word- és Excel fileokban.

Discover: a rendszergazda beállította a MIP-et, hogy felismerje a szenzitív információkat (pl. személyi igazolvány számokat), és policyket rendeljen hozzá.

Classify: a MIP alkalmazza a megfelelő címkét, a policy előírásoknak megfelelően.

Protect: MIP automatikusan ellátja a megfelelő védelemmel a filet, amivel megakadályozható, hogy illetéktelenek férjenek hozzá a tartalomhoz. A védelem maga a file részévé válik. Ebben az esetben, ha a file ki is kerül a szervezetből (véletlen vagy szándékos adatszivárgás során), az információ védett marad.

Monitor: a felhasználó vagy a rendszergazda nyomon tudja követni, ki nyitotta meg a file-t (sikeresen vagy sikertelenül, jogosultság hiányában). Amennyiben úgy tűnik, hogy sok a sikertelen hozzáférés – ez lehet biztonsági probléma is- , a hozzáférés könnyen visszavonható.

A következő leírásban bemutatom, hogyan lehet egy nagyon alap megoldást létrehozni, amivel a céges dokumentumokat lehet védeni, hogy közben a felhasználók zavartalanul dolgozhassanak.

Elvárás a megoldással szemben:

• minden, céges accounttal rendelkező dolgozó teljeskörűen hozzáférhessen a dokumentumokhoz, szerkeszthesse-nyomtathassa stb, fennakadás nélkül.
• ha a dokumentum kikerül a szervezetből (emailen elküldve, usb-re kimásolva, stb), a védelem maradjon rajta és illetéktelenek ne tudjanak hozzáférni a tartalmához.

Lépések:

Sensitvity Label létrehozása az O365 Security&Compliance Centerben (https://protection.office.com/sensitivity?viewid=sensitivitylabels)

A labelt nevezzük el, pl Internal Use Onlynak:

Az Encryption részen lehet beállítani, hogy védelmi címke alkalmazódjon. Az “Assign permission now” részben tudjuk a jogosultságokat megszabni, kiknek legyen jogosultsága.

A “Choose permission” résznél pedig definiálható, hogy milyen jogosultság legyen hozzárendelve (save, print, copy stb)

A content marking (itt lehetne vízjelet, headert-footert tenni a dokumentumokba), site and group settings, auto-labeling opciókat ebben a példában nem használjuk, csak el kell menteni a labelt.

Az elkészült label megjelenik a felületen:

A label létrehozása után meghatározhatjuk, hogy kinek legyen elérhető. Ezt a label policy beállításban lehet megtenni. Válasszuk a “Publish labels” opciót:

Válasszuk a “Choose sensitivity labels to publish” részt:

A Publish users and groups résznél kiválaszthatjuk, milyen felhasználóknak vagy csoportoknak szeretnénk elérhetőve tenni:

A Policy settings résznél hagyjuk meg az alapbeállításokat:

Nevezzük el a policyt, majd mentsük el:

Az így létrejött policyt láthatjuk a label publishing policynél:

Következő lépésként a felhasználók gépére telepíteni az Azure Information Protection klienst, ami letölthető a Microsoft oldaláról: https://www.microsoft.com/en-us/download/details.aspx?id=53018

A telepítést követően az Office-alkalmazásokban megjelenik egy új menüsor, benne a publikált labellel:

Felhasználói élmény:

A felhasználó innentől kezdve tudja használni az információvédelmi megoldást, a dokumentumra rátéve a labelt, mentés után a következő információt látja:

Megjegyzendő, hogy a “tartalomfogyasztás” maga az ingyenes, tehát a védett dokumentumok megnyitáshoz nincs szükség az Azure Information Protection kliens telepítésére és AIP P1 licensz hozzárendelésére.

Az alapszintű információvédelemi megoldásunk tehát elkészült, a felhasználók tudnak dolgozni vele. Nézzük meg, hogy mi történik, ha egy ilyen “Internal Use Only” védett dokumentum kikerül a szervezeten kívülre.

A példában egy ilyen védett dokumentumot egy melléütés miatt rossz emailcímre küldtek ki. A fogadó megpróbálja megnyitni a file-t a Wordjében, de az bejelentkezési ablakot dob fel.

Mivel nincsen céges accountja, ezért a dokumentum tartalmához sem tud hozzáférni:

Levelezés esetében is hasonlóképp működik a védelem, ha emailt küldünk és rátesszük az Internal Use Only labelt, csak a cégen belüli felhasználók tudják megnyitni:

A fenti leírás alapján látható, hogy nagyon könnyű egy alapszintű védelmi rendszert beállítani, amit természetesen lehet tovább finomítani (további labelek, külsősökkel történő adatcsere esetére pl), illetve adott esetben automatizmusokkal ellátni.