”Jävlar, jag skickade till fel person!?!”
Inte helt ovanligt att man av misstag skickar ett e-postmeddelande till fel person, råkar få med känslig information vid en skärmdump eller helt enkelt råkar spara en fil på fel ställe.

Den största hotbilden idag med det växande problem som råder med informationsläckage är inte externa hot, utan kommer internt initierat. Av just den enkla anledningen att våra användare medvetet eller oftast omedvetet hanterar känslig information felaktigt.

RMS är ett bra alternativ för att bland annat förhindra otillåten hantering av information.
Windows 10 kommer även med funktioner som hjälper oss att skydda företagsinformation och framför allt möjliggöra att jobba vidare precis som vanligt men skydda varje fil som innehåller just företagsinformation.
RMS kan begränsa funktioner så som kopiering, utskrift, vidarebefordring av e-post med mera, vilket är ett rekommenderat läge i vissa situationer.

Tänk om vi istället kunde definiera vad som är företagsinformation och möjliggöra att våra användare kan jobba som vanligt men om känslig information exempelvis kopieras till en ny fil skyddas även denna. På det sättet skulle vi inte påverka vårat arbetssätt men fortfarande få kontroll så ingen obehörig kommer åt verksamhetsinformation.

Enterprise Data Protection (EDP) är en funktion som kommer till Windows 10, där vi kommer få just funktionen att kryptera vår företagsinformation som laddas ner till vår Windows 10 enhet.

Vi definierar var vi har vår företagsinformation där vi både kan peka ut interna (IPv4/IPv6) nät, interna domäner men även externa tjänster så som OneDrive for Business och SharePoint Online.

När information från utpekade källor kopieras till vår Windows 10 enhet kommer filerna (oavsett filtyp) att bli krypterade. Tekniken som används är beprövade EFS (Encrypting File System) som ser till att enbart användaren som kopierade information kan dekryptera dessa filer på just den Windows 10 enheten.

EDP-krypterade filer definieras dels med en utökning av ikonen samt ”encrypted to” fältet i Explorer som redovisar inom vilken organisation filen är krypterad.

Vi kan även definiera vilka applikationer vår organisation stödjer för den här typen av information, allt ifrån Office desktopapplikationer till tredjepartsapplikationer och nya standarden Windows-applikationer.

Om information flyttas från en EDP-krypterad fil kan vi begränsa så den enbart kan flyttas till utpekade applikationer och antingen blockera användaren från att flytta information till övriga applikationer alternativt enbart informera användaren om att den inte bör flytta information till en okontrollerad applikation, då skyddet kommer upphöra. Det kommer då även informeras om att åtgärden övervakas, vilket då inte förhindrar något eventuellt verksamhetskritiskt men även får användaren att tänka över sitt beslut.

Applikationerna definieras med hjälp av Windows funktionen AppLocker där EDP redovisar för användaren vad som gäller.

 
Ovanstående redovisas för användaren när den kopierar EDP-skyddad information och försöker flytta det till en icke EDP-kontrollerad applikation

Applikationer som är definierade för EDP redovisar även motsvarande EDP ikon så fort skyddat innehåll kopieras till, eller skapas i denna applikation

Jag har tidigare berättat om EDP på sessioner både under TechDays förra året och på TechX i år men i båda fallen handlade det om demoscenarier i Insider Preview av Windows 10 och EDP är ännu inte släppts i officiella Windows 10.

EDP ställer även en del krav på lokal infrastruktur och framför allt ett väl genomfört designarbete innan ett införande. Finns det ett stort intresse av den här typen av lösning är ni välkomna att kontakta oss på Onevinn för att redan idag börja designa hur framtida EDP kan stötta er organisation.