Purview perusteet osa 7: Data Loss Prevention

Yksi tehokkaan tietojen suojauksen vaatimuksia on havaita ja estää arkaluonteisen datan vuotaminen väärille tahoille. Microsoft Purviewin Data Loss Prevention (DLP) tarjoaa kattavan ratkaisun, joka auttaa suojaamaan arkaluonteisia tietoja ja estämään niiden luvattoman käytön tai vuotamisen. Tässä artikkelissa tutustumme DLP:n keskeisiin ominaisuuksiin ja siihen, miten se tukee organisaatioiden tietoturvatarpeita.

Mikä on Data Loss Prevention?

Data Loss Prevention (DLP) on tietoturvaratkaisu, joka tunnistaa ja estää arkaluonteisten tietojen sopimattoman jakamisen, siirtämisen tai käytön. DLP auttaa organisaatioita valvomaan ja suojaamaan kriittisiä tietoja eri ympäristöissä, kuten paikallisissa järjestelmissä, pilvipalveluissa ja päätelaitteissa. Lisäksi DLP tukee organisaatioita noudattamaan tietosuojalainsäädäntöjä, kuten GDPR:ää, varmistamalla, että arkaluonteisia tietoja käsitellään asianmukaisesti. DLP tarjoaa useita hyötyjä:

Arkaluonteisten tietojen vuotamisen esto
Auttaa osaltaan täyttämään standardeja ja vaatimuksia
Käyttäjien opastaminen tilanteissa joissa on tietovuodon riski
Yhtenäinen näkymä tapahtumien valvontaan

Voit lukea Data Loss Prevention -ominaisuudesta lisää Microsoftin sivuilta (linkki).

DLP käyttäminen

Kuten aikaisempienkin Purview-työkalujen kohdalla, myös DLP-valikkoon pääsee Purview-portaalin kautta, tällä kertaa valitsemalla Solutions-napin takaa Data Loss Preventionin. Overview-valikko näyttää yleisnäkymän ja ehdotuksia DLP:hen liittyen mutta varsinainen taika löytyy Policies-osiosta, siirrytäänpä siis sinne!

Policies-ikkunassa näemme muutamia automaattisesti luotuja DLP-sääntöjä ja lisätietoa niistä:

Name: Säännön nimi
Priority: Säännön prioriteettinumero
Last modified: Päivämäärä jolloin sääntö on luotu tai sitä on muokattu
Status: Säännön tilanne. Vaihtehdot ovat On, Off tai Simulation (sääntö on erillisessä simulaatiomoodissa testitarkoituksia varten)

Mutta tehdäänpä ihan oma policy klikkaamalla +Create policy-näppäintä.

Create policy

Uutta policya luotaessa ensimmäiseksi määritellään käytetäänkö ennaltamääritettyä mallia sisältöineen (esim. GDPR, PII, HIPAA yms) vai halutaanko luoda täysin oma säännöstö. Haluan luoda itse säännöstön joten valitsen Custom -> Custom policy

Seuraavaksi määritellään policyn nimi. Haluan suojata tällä policylla organisaationi sisäisiä projektinumeroita joten nimikin viittaa tähän.

Seuraavaksi päästäänkin valitsemaan mihin kaikkiin työkuormiin DLP-politiikka puraisee. Valittavat kohteet vaihtelevat lisenseittäin ja esimerkiksi kuvassa näkyvä Devices-osuus vaatii E5-tason lisensoinnin (lisenssitasoista on puhuttu aikaisemmassa sarjan artikkelissa joka löytyy täältä). Tämä osuus myös kehittyy jatkuvasti ja mielenkiintoisena lisänä listassa on myös preview-tilassa Microsoft 365 Copilot. Mutta tällä kertaa valitaan policyn vaikutuspiiriin Exchange-sähköpostitilit sekä Onedrive-tilit. Tarvittaessa näihin vielä voisi kertoa mitä tilejä asetus koskee mutta tähän policyyn valitaan kaikki tilit.

Sitten päästäänkin määrittämään sääntöjä eli mitä policy tekee. Policyn määrittäminen tapahtuu yhdessä, isossa määrittelyvalikossa mutta selkeyden vuoksi se on pilkottu artikkeliin useampaan osaan.

Name: Säännöstön nimi
Content contains: Mihin sisältöön sääntö ottaa kantaa. Tässä ollaan valittu Sensitive info types -tyyppiseen tietoon perustuva itse luotu SIT-sääntö Projektinumerot. Löydät lisää tietoa SIT-tietueista ja kyseisestä itse tehdystä SIT-tietueesta aikaisemmasta sarjan artikkelista täältä.

Actions: Restrict access or encrypt content. Valittuna on tiedon jakamisen esto ulkopuolisille. Työkuormien valinnoista riippuen vaihtoehdot voivat vaihdella. Esimerkiksi pelkästään Exchangeen kohdistuvissa säännöissä voidaan valita myös esimerkiksi sähköpostin salaaminen.
User notifications: Käyttäjien informoiminen. Kyseinen asetus on valittu ja Policy-tips osiossa on määritetty käyttäjille näytettävä policy tip joka näytetään käyttäjälle mikäli käyttäjä on aikeissa jakaa säännön mukaista sisältöä.

Allow overrides. Asetus on valittu eli käyttäjä voi halutessaan ohittaa eston. Käyttäjän täytyy antaa Business justification eli selitys miksi esto on ohitettu.
Incident reports. Tapahtumasta kirjataan incident report DLP-portaaliin ja ylläpitäjät saavat tapahtumasta sähköpostia.
Kun kokonaisuus on valmis klikataan ruudun alakulmasta Save.

Seuraavaksi valitaan missä tilassa DLP-sääntöä ajetaan. Vaihtoehtoina ovat:

Run the policy in simulation mode: Policya ajetaan simulaationa jolloin ylläpitäjät voivat tarkkailla policyn vaikutuksia ilman että se vaikuttaa loppukäyttäjiin
Turn the policy on immediately: Policy kytketään välittömästi päälle
Leave the policy turned off: Policy kytketään pois päältä. Policyn voi myöhemmin kytkeä käyttöön DLP-valikosta.

Tässä tapauksessa kytkemme policyn välittömästi päälle ja olemme valmiita policyn luomisen kanssa.

DLP toiminnassa

Nyt kun olemme luoneet DLP policyn, katsotaan miten se toimii valituissa työkuormissa (Exchange / Onedrive)

Exchange

Käyttäjän yrittää lähettää ulkopuoliselle henkilölle sähköpostia joka sisältää projektinumeron. Koska sähköpostin teksti sisältää projektinumeroille luodun SIT:n, DLP varoittaa käyttäjää arkaluonteisesta datasta. Koska määritimme käyttäjälle myös mahdollisuuden ohittaa DLP policy, käyttäjä voi Override-napin kautta antaa Business justification -selitteen ja lähettää postin. Muussa tapauksessa käyttäjä saa alemmassa ikkunassa näkyvän ilmoituksen lähetyksen estosta. Jos käyttäjä on niin nopea liikkeissään että DLP:n varoitusta ei ehditä näyttämään (tämä voi tapahtua mm. arkaluonteista tietoa sisältävien dokumenttien kohdalla), käyttäjä saa sähköpostiinsa viestin jossa ilmoitetaan lähettämisen estämisestä.

Onedrive

Jaettaessa Onedrivesta DLP:n suojaamaa sisältöä käyttäjäkokemus on hieman erilainen. Esimerkissä käyttäjä yrittää jakaa kuvan mukaisesti raportti -nimistä tiedostoa joka sisältää projektinumeroita ulkopuoliselle käyttäjälle. Käyttäjä saa tiedostonjakoikkunassa ilmoituksen sensitiivisestä datasta ja tiedoston jakamisnapit ovat harmaana. Klikatessaan ”View policy tip” -nappia käyttäjä saa näkyviinsä tutun policy tipin ja mahdollisuuden ohittaa esto (alempi kuva).

DLP valvonta ja raportointi

Purview tarjoaa ylläpitäjille myös valvonta- ja raportointityökalut arkaluonteisen datan käytöstä organisaatiossa.

Alerts

Alerts-osio näyttää ylläpitäjälle aktiiviset hälytykset DLP:ssa. Kuten näemme, kuvassa näkyy mm. äsken tekemämme arkaluonteisen datan jakaminen sekä Exchangessa että Onedrivessa. Ylläpitäjä voi halutessaan avata hälytyksen tarkempaa tarkastelua varten ja tutkia mitä on tapahtunut. Voit lukea lisää DLP-hälytyksistä Microsoft Learnista (Linkki)

Activity Explorer

Activity Explorer näyttää aktiviteetit DLP-policyihin liittyen. Ylläpitäjä voi seurata useita eri asioita kuinka arkaluonteista dataa ollaan käsitelty. Voit lukea lisää Activity Explorerista Microsoft Learninsta (Linkki)

Tuki tietovuodot

Microsoft Purview Data Loss Prevention on olennainen työkalu organisaatioille, jotka haluavat suojata arkaluonteisia tietojaan ja estää tietovuotoja. Sen monipuoliset ominaisuudet ja helppokäyttöisyys tekevät siitä tehokkaan ratkaisun nykyaikaisen tietoturvan haasteisiin. Ota DLP käyttöön organisaatiossasi ja varmista tietojesi turvallisuus sekä sääntelyn noudattaminen.