В августе состоялось первое заседание экспертного совета DLP-Эксперт, посвященного вопросам защиты от внутренних угроз. Совет ставит перед собой ряд задач, в частности формирование понимания, что такое внутренний нарушитель и как с ним бороться. Мы попрос
Что все-таки следует понимать под DLP-решениями?
Аббревиатура DLP является торговой маркой компании, которая вообще этой темой не занимается. При этом под системами предотвращения утечек информации (Data Loss Prevention, DLP) каждый вендор, в зависимости от того, какие решения он выпускает, зачастую понимает что-то свое. По сути DLP — это контроль за утечкой информации, которая может осуществляться по различным каналам, поэтому по смыслу к системам DLP следует отнести все, что контролирует утечку по различным каналам, включая даже контроль утечек посредством побочных электромагнитных излучений и наводок. Но чаще это воспринимают как контроль за периферийными носителями, портами для связи с внешними устройствами (USB, com и пр.), а также контроль электронной почты и Web-трафика. Правда, такая трактовка очень сужает понятие DLP.
Использование DLP-систем несет в себе риски, связанные с нарушением права на тайну переписки и других прав пользователей. Как быть в подобной ситуации?
Само внедрение и использование систем класса DLP, если оно производится в автоматическом режиме, ничего не нарушает. Проблемы возникают, когда в этот процесс включается человек. В этом случае происходит нарушение тайны переписки, а именно 23-й статьи Конституции РФ. В результате возникает правовой парадокс: с одной стороны, служба безопасности должна контролировать электронную почту, а с другой — она не может этого делать, так как тем самым нарушает права гражданина.
Все попытки обойти закон в этом вопросе ни к чему не привели. К тому же в российской практике не было еще ни одного прецедента, когда сотрудник подавал бы в суд на своего работодателя за то, что тот его контролирует. В отсутствие правоприменительной практики службы безопасности контролируют переписку сотрудников, особо не опасаясь, что кто-то на них подаст в суд, поэтому вполне возможно, что когда-нибудь либо сотрудники станут более подкованными в юридических вопросах, либо появится клан адвокатов, способных на этом зарабатывать деньги.
Хотя мне кажется, что у адвокатов пока есть более денежные дела, за которые они предпочитают браться. Тема компьютерных преступлений и всего, что связано с ИТ, российской судебной практикой очень слабо разработана. Как правило, эти правонарушения трудно доказуемы, следовательно, иски просто не подаются.
Насколько можно было заметить, на заседании мнения членов экспертного совета разделились. Кто-то считает, что их бизнесу утечка информации не сможет причинить вреда, а кто-то с этим не согласен. Как вы могли бы прокомментировать подобную разницу во взглядах?
Ситуация в самом деле полярная. Весь бизнес можно поделить на две категории. К первой стоит отнести крупный бизнес, западные компании, работающие в России, и просто зрелые компании. Их не так много, но для них это действительно серьезная проблема, потому что подобные риски, как минимум, способные нанести ущерб их репутации, очень важны.
Для основной массы компаний потеря репутации — это не риск, они не могут его оценить, а следовательно, не будут заниматься этой проблемой. С правовой стороны вероятность таких рисков пока еще минимальна, с финансовой — ситуация примерно такая же. Как оценить стоимость потерянной информации? Не так много найдется компаний и организаций, способных произвести такую оценку, в основном это банковские структуры. У большинства же компаний эта информация никак не оценивается, следовательно, предлагать решения по борьбе с этими рисками было бы не совсем правильно, так как невозможно установить адекватность затрат на эти мероприятия.
В общем нельзя не согласиться с замечаниями членов экспертного совета о том, что есть большое количество компаний, для которых эти проблемы неактуальны, так как эти риски для них мелкие и никак не скажутся на их репутации и бизнесе. Они с ними, возможно, борются, но никак не в первую очередь.