Under de 12 år jag har jobbat med Microsoft Rights Management Services (RMS) och förklarat funktionen som förhindrar skärmdumpar eller annan typ av informationsläckage genom att skärmen delas i möten, har jag lärt mig att förekomma dialogen med mina kunder. ”Självklart kan någon ta upp sin telefon eller kamera och fotografera skärmen eller på annat sätt kringgå detta skydd.”

Precis som alltid inom säkerhet handlar det om att förhindra de största och vanligaste riskerna, och det finns aldrig något 100% skydd. Det viktiga med RMS-funktionen som har möjlighet att blockera skärmdumpar eller delning i möten är att skydda användare från oavsiktligt läckage och utbilda dem i hur de ska hantera informationen. Om du tekniskt blockeras från något tänker de flesta att det inte är okej att försöka sprida informationen vare sig med teknik eller muntligen.

Efterfrågan har dock varit stor på att få reda på om det finns alternativ för att både förhindra och få ökad spårbarhet om någon kopierar eller fotograferar delad känslig information.

RMS-teknologin har förhindrat både kopiering och skärmdumpar i över 20 års tid tack vare att funktionen funnits inbyggd i de klassiska Office-produkterna. Baserat på mottagarens rättigheter till den delade informationen har vi kunnat stoppa användaren från att ta en bild av informationen med de inbyggda skärmdumpsverktygen samt tredjepartsverktyg tack vare att samma API i Windows används.

Utmaningarna blev dock större när vi fick ökad funktionalitet att dela information via Office Online. Den stora fördelen är att vi, oavsett vem vi delar informationen med, inte ställer några krav på att mottagaren behöver ha en Office-programvara för att ta del av informationen. Istället krävs bara en webbläsare och korrekt behörighet för att nå informationen. Här ökar såklart riskerna då vi inte kan förhindra att någon tar en skärmdump av sin webbläsare.

Nu börjar vi nå ett vägskäl där vi faktiskt får utökad funktionalitet för att dela vår känsligaste information. Microsoft har utlovat att vi kommer att kunna förhindra skärmdumpar om användaren ansluter via en hanterad Edge-webbläsare.
Här kan vi skapa magi med hjälp av Purview, Conditional Access och Intune MAM-policies.

Redan idag kan vi kontrollera exempelvis kopiering av information via webbläsaren via App Protection.
  
Är det ett känsligt projekt, kan vi kravställa att för att få tillgång till det känsliga teamet där vi har all information, behöver man ansluta från en hanterad Edge-webbläsare.

När användaren ansluter till teamet möts den av en dialog som säger att användaren måste använda Edge med en inloggad behörig användare för att komma vidare.

Om Edge redan används, uppmanas användaren att skapa en ny profil och logga in med samma konto.

Edge konfigureras då med de krav som är satta via Intune, och först när de tekniska kraven är uppfyllda får användaren tillgång till det känsliga projektet.

https://www.youtube.com/watch?v=PfvfDMEbQFs

Ovanstående video kommer från denna artikel som visar de kommande funktionerna som Microsoft håller på att införa.

Vi har då ännu ett tekniskt skydd som gör att vi förhindrar att användaren både tar en bild på vad de ser via sin webbläsare eller delar det vid ett möte med skärmdelning.
Det finns fortfarande flera sätt att kringgå detta, men precis som jag nämnde i inledningen handlar det om att förhindra vanliga sätt till informationsläckage och öka medvetenheten och förståelsen hos de som hanterar känslig information.

Utmaningen kvarstår dock när det gäller om användaren, eller någon annan, tar en bild med en extern kamera eller telefon, eller på annat sätt kringgår detta skydd. En stor efterfrågan har varit att kunna se vem eller vid vilket tillfälle information som har spridits.

Här har Microsoft precis lanserat en funktion som kallas Dynamic Watermark, vilket vi kan konfigurera för Sensitivity Labels som har kryptering redan idag.

Funktionen gör att alla dokument som är märkta och skyddade med denna label visualiserar vilken behörig användare som har öppnat filen. Därmed kan vi se på en bild vilken skärm som har fotograferats och få bättre spårbarhet.

Det här är en funktion som är avsedd att användas i specifika syften och för att skydda den mest känsliga informationen. Min rekommendation är att den görs tillgänglig som en möjlig lösning inom verksamheten och att den kan beställas när behovet uppstår. På så sätt kan vi säkerställa att den implementeras där den verkligen behövs och bidrar till att stärka säkerheten i vår informationshantering.