Hogyan előzzük meg az adatszivárgást és az adatvesztést?

A DLP (Data Leak Prevention) fogalmát ezidáig még nem sikerült pontosan definiálni. Ezt bizonyítja az is, hogy még nem született megegyezés arról, hogy a rövidítés betűi valójában mit takarnak. Adatvesztést (Data Loss), adatszivárgást (Data Leakage), védelmet (Protection), vagy megelőzést (Prevention)? Ehhez még hozzájárul az is, hogy a különböző szállítóknál más és más néven jelennek meg ezek a funkciók: esetenként információszivárgás-észlelés és -megelőzés (Information Leak Detection & Prevention – ILDP), információszivárgás-megelőzés (Information Leak Prevention – ILP), tartalomfigyelés és -szűrés (Content Monitoring and Filtering – CMF) vagy a behatolásmegelőzés analógiájaként kihatolás-megelőzés (Extrusion Prevention System).

A „veszteség vagy szivárgás” kérdés megválaszolásakor figyelembe kell venni, hogy az adatvesztés és az adatszivárgás két különböző probléma, amelyek más-más megoldást igényelnek.

Az adatvesztést legjobban a következő esetek mutatják be: a HMRC 25 millió gyermeksegélyezési adatot veszített el, a DVLA-tól 6.000 járműtulajdonossal kapcsolatos adat tűnt el, a MoD elveszített egy laptopot, amelyen a fegyveres erők 600.000 jelentkezőjének részletes adatai szerepeltek, a National Health Service-től pedig egy több mint 5.000 páciens orvosi adatait tartalmazó laptop tűnt el. Mindez az Egyesült Királyságban történt, ahol a vállalatok és intézmények viszonylag könnyen hozzák nyilvánosságra az adatvesztéssel kapcsolatos adataikat, bár erre jelenleg nincs törvényi kötelezettségük.

Az adatszivárgás ezzel szemben inkább véletlen vagy rosszindulatú eseményekhez kapcsolható, amikor az adatok illetéktelen kezekbe kerülnek, például, versenytársakhoz, munkatársakhoz vagy a sajtóhoz. Az ilyen esetek „elsődleges vádlottjait” három fő területen kell keresnünk: az első és legfontosabb az oktatás hiánya, a második a nem megfelelő biztonsági házirendek használata, a harmadik pedig a hozzáférési jogosultságok túl széles körű kiosztása. Gyakran előfordul, hogy a munkatársak egyszerűen nem tudják, hogy milyen adatok bizalmasak, melyek terjeszthetőek és melyek nyilvánosak. Ha azonban mégis tisztában vannak ezekkel az információkkal, akkor sem ismerik a különböző besorolású adatokra vonatkozó vállalati házirendet.