Проект видавничого дому «МЕДІА-ПРО»
DLP-системы: блокировать или контролировать? | director.com.ua

DLP-системы: блокировать или контролировать?

Автор статьи: 

Алексей ДРОЗД

Заглавное изображение: 

Год от года уверенность директоров в том, что информацию в своей компании защищать необходимо, лишь укрепляется. Благо, способов защиты придумано немало. Сегодня затронем извечный вопрос, который особенно остро встал при разработке систем предотвращения утечек информации (DLP — от англ. Data Leak Prevention). Что лучше: блокировать или контролировать?

Готовимся к «битве»

Прежде чем в спешке внедрять свежеприобретенное решение, нужно сделать один непростой выбор — определить для себя, что все-таки важнее: непрерывность бизнес-процессов или блокировка утечек. Ведь, именно исходя из выбранных приоритетов, и будет принято решение о построении системы безопасности в вашей компании.

Очень часто главным приоритетом является защита конфиденциальной информации, которая не должна попасть за пределы организации ни при каких обстоятельствах. Какого рода информация должна охраняться подобным образом, зависит от специфики деятельности самой фирмы. Например, для компаний, вкладывающих деньги в инновационные решения, имеет смысл защищать еще не прошедшие патентную экспертизу технологии и изобретения. Некоторым компаниям перед намечающимися крупными сделками или слияниями важно защитить подробности этих операций, так как обнародование результатов раньше срока может серьезно повлиять на рынок ценных бумаг.

Впрочем, доступ к подобным стратегически важным сведениям имеет ограниченный круг лиц, включающий в себя, в основном, топ-менеджмент компании. Для всей остальной информации могут быть использованы менее строгие защитные меры, поскольку в данном случае приоритетом становится уже не предотвращение утечек за пределы фирмы, а непрерывность ее бизнес-процессов. Следовательно, можно сформулировать ключевой принцип обеспечения защиты данных: степень защиты информации должна соответствовать степени ее важности для компании.

Цель рассуждений приводит к логичному вопросу: как определить эту степень? К сожалению, отработанных сценариев и процедур сегодня не существует, ведь каждой организации присуща своя специфика. Однако наибольшим убеждающим эффектом, как известно, обладают цифры. Поэтому будет удобно применять некоторые инструменты для оценки бизнес-рисков. В принципе, достаточно провести простой мысленный эксперимент: попробуйте себе представить, что тот или иной документ оказался в руках злоумышленников либо конкурентов вашей компании или же был размещен в Интернете. Повлияет ли его публикация на деятельность вашего предприятия? В случае положительного ответа имеет смысл подумать о защите.

Если нужны конкретные цифры, выразите в денежных единицах хотя бы примерный ущерб от потери документа, учитывая следующие последствия:
•ухудшение имиджа компании;
•утрату технологических секретов;
•ослабление позиций в конкурентной борьбе;
•необходимость затрат на устранение последствий;
•судебные иски, поданные клиентами против компании;
•санкции контролирующих органов;
•увольнение сотрудников;
•снижение числа новых и отток существующих клиентов.

Насколько серьезными будут последствия, т. е. чем больше нулей в предполагаемой сумме ущерба, настолько важен этот документ (и, с большой долей вероятности, все подобные ему документы) для вашей фирмы. Если же никаких долгосрочных последствий подобного сценария развития событий вы себе представить не можете, то вряд ли есть смысл тратить деньги на защиту.

После завершения предварительной подготовки самое время перейти к практике и разработать стратегию защиты информации в вашей компании.

Две стратегии борьбы

Говоря об информационной безопасности, в наши дни специалисты чаще всего имеют в виду борьбу с утечками информации, хотя сам термин намного более емкий и включает в себя множество других аспектов. Борьба с утечками данных — самый трудоемкий из них. Средства защиты от утечек информации (DLP-системы) нередко в результате разнообразных сбоев или ложных срабатываний становятся причиной блокировки корпоративного трафика, что, по сути, равносильно блокированию работы всей организации. Именно поэтому следует учитывать специфику защищаемых данных и бизнес-процессов компании при выборе DLP-системы.

Все существующие DLP-системы принято делить на два больших класса: на системы с активным контролем действий пользователя и системы с пассивным контролем. Другое название, которое также можно встретить, — это блокирующие DLP-системы и неблокирующие. Последние два термина гораздо лучше отражают суть различий между ними: первые обладают возможностью блокировать дальнейшее перемещение информации, показавшейся им подозрительной, вторые же такой возможности лишены. Стоит отметить, что неблокирующие системы постепенно уходят из конкурентной борьбы, частично беря на себя функционал блокирующих.

Дело в том, что далеко не все данные можно и нужно блокировать. Представьте себе, что ваша система настроена на блокировку важной бухгалтерской информации. В целом, такая позиция правильная, но не учитывает тот факт, что в процессе работы эти данные могут пересылаться между сотрудниками для решения каких-либо рабочих задач. Например, отчет за I полугодие составляет человек А, за II — человек В, а итоговый отчет за год — человек С. Если система будет блокировать пересылку отчетов между этими людьми, произойдет значительная задержка в работе. Очевидно, что в рассмотренном примере следовало бы настроить блокировку информации для пересылки вовне, разрешив свободный обмен внутри компании. Кроме того, при блокировании информации окончательное решение стоит за офицером по безопасности. Именно он может разблокировать, например, письмо и отправить его дальше. В случае «жесткой» настройки системы накапливается огромное количество ложных срабатываний, которые все равно придется анализировать офицеру по безопасности.

Еще один нюанс — «скрытность» DLP-системы. Зачастую подобные программы нужны не столько для блокирования случайных утечек, сколько для отлова инсайдеров — сотрудников, целенаправленно организующих утечки корпоративной информации. Если система проявит себя, заблокировав пересылаемые данные, злоумышленник наверняка заподозрит неладное, а значит, попытается найти другой способ для передачи секретов фирмы. Политики «блокировки только действительно критичной информации» придерживается компания SearchInform. Ее представители советуют сделать акцент на контроле информационных потоков, а не на его блокировке. С этой целью во флагманском продукте компании «Контур информационной безопасности SearchInform» была реализована функция остановки только для почты, поскольку если пытаться блокировать сообщения интернет-мессенджеров или отправку постов в социальные сети и блоги, это моментально скомпрометирует систему.

Безусловно, каждый из двух типов DLP-систем нужно применять именно там, где будут лучше всего проявляться их преимущества. Блокирующие оптимально подходят для защиты критически важных для организации документов. Поскольку в этом случае риск блокировки работы вполне приемлем, то здесь фактически нет никакой альтернативы. Если же говорить о каких-либо менее значимых бумагах (списках клиентов, ведомостях на заработную плату и прочих подобных вещах), то здесь ситуация в корне отличается. Доступ к подобным файлам имеет, как правило, большое количество персонала фирмы, поэтому применение блокировки чревато серьезными проблемами при ее срабатывании. К тому же информация, доступная широкому кругу лиц, не является критически важной, поэтому дополнительные затраты и риски, связанные с применением блокирующих систем, не оправданы.

Резюме

Несмотря на то, что предложенные вашему вниманию принципы успешного обеспечения информационной безопасности организации с сохранением непрерывности бизнеса могут показаться весьма простыми, на практике ими руководствуется сравнительно небольшое количество компаний. Часто не соблюдаются даже элементарные правила по хранению паролей от рабочих станций пользователей. Любой системный администратор хотя бы раз да сталкивался с паролем, записанным на листочке и «надежно спрятанным» под клавиатурой. А сколько таких паролей на стикерах приклеены к мониторам?

Также до сих пор многие руководители поручают обеспечение информационной безопасности IT-отделу, а не специалистам в данной области. В стремлении сэкономить на найме одного-двух квалифицированных работников директора забывают известную народную мудрость, гласящую том, что «не следует хранить все яйца в одной корзине» и «скупой платит дважды». Когда слишком много полномочий сосредоточено в руках системных администраторов, неизбежно возникает желание этими полномочиями воспользоваться. В идеале сисадминам можно поручить некоторые контролирующие функции над другими отделами, оставив «контроль над контролерами» за специалистом по информационной безопасности.

Следование каждому из этих принципов влечет за собой необходимость дополнительных усилий со стороны специалистов по ИБ, а также ряд дополнительных расходов, на которые в сложных экономических условиях отважится пойти далеко не каждая организация. Тем не менее, конкурентные преимущества компании, сумевшей воплотить на практике единство защиты информации и непрерывности бизнес-процессов, очевидны. Кроме того, организации, имеющей в своем арсенале сертификат, аналогичный ISO 27001, легче будет добиться расположения западных инвесторов, которые не понаслышке знают, чем чреваты утечки данных. Поэтому стоит работать над тем, чтобы предложенные выше принципы стали реальностью и в вашей компании.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж