Информация, находящаяся в распоряжении компании, — очень ценный актив. Сохранить ее, не допустить потери или кражи — одна из задач, которую ставит высшее руководство.
Последние два года российские компании тратили немало усилий на проекты по предотвращению утечек конфиденциальной информации (Data Loss Prevention, DLP). Одни ограничились развертыванием пилотных систем, другие запустили решение в промышленную эксплуатацию. Сегодня можно смело утверждать, что уже есть успешные наработки, учитывающие национальную специфику, и появляются новые задачи, к решению которых компании подойдут в ближайшее время. Самый распространенный сценарий использования решений класса DLP — мониторинг информации, передаваемой по корпоративной электронной почте, с помощью сервисов веб-почты, в процессе общения в социальных сетях и на форумах. Особенность его в том, что система не производит активной фильтрации данных и никак не препятствует работе пользователя. Такой подход позволяет службе безопасности и руководству понять, как часто происходят утечки и какой именно информации, как на самом деле работают бизнес-процессы, эффективно ли организована деятельность персонала.
Итоги первых этапов проектов по DLP бизнес обычно оценивает положительно и хочет расширить круг решаемых задач. Заказчики формулируют новые требования, а производители и интеграторы пытаются не только реализовать их, но и спрогнозировать. В результате часть требований, например контроль данных, передаваемых по https-протоколу, или мониторинг корпоративных файловых хранилищ, уже реализованы у большинства игроков рынка. Но есть требования, которые либо носят комплексный характер, либо неточно сформулированы или даже не до конца осознаны рынком. Далее описаны несколько задач, с которыми уже столкнулись заказчики или к решению которых они подойдут вплотную в ближайшее время.
Задача 1. Контроль упоминаний проектов, имен руководителей или владельцев на форумах, в социальных сетях и других публичных ресурсах Интернета
Существующие системы контроля утечек обеспечивают контроль по самым разным каналам: съемные носители, сетевые соединения, принтеры и т. д. Несмотря на это, гарантии, что информация не покинет пределы компании, ни один производитель DLP не дает — можно говорить о снижении рисков утечек, но не о полном их предотвращении, и конфиденциальная информация может оказаться опубликованной в Интернете.
Функцию «проактивного мониторинга публикаций в блогах и на тематических сайтах» технически уже можно реализовать. Это позволит проверить данные в Интернете на наличие ключевых слов и других упоминаний о первых лицах компании, о самой компании или о негативных публикациях, связанных с ней. Пользователь такой системы сможет максимально быстро узнавать о подобных инцидентах, а значит, можно будет предпринять эффективные действия до того, как чувствительная информация широко разойдется.
Можно ожидать, что технологии, которые задействуются сейчас, например для контроля рекламных материалов, — средства мониторинга СМИ, сентиментные или другие методы контент-анализа — будут использованы и для мониторинга внешней среды на предмет инцидентов, связанных с утечками информации.
Задача 2. Интеграция с бизнес-системами
Технологии и процессы контроля утечек требуют знаний о том, какие данные важны для бизнеса, и как устроено внешнее окружение защищаемой компании — с какими организациями компания сотрудничает, кто является партнером, с какими контрагентами компания ведет работу и на каких проектах. Порой встречается ситуация, когда компания-заказчик сотрудничает в отдельном проекте со своим основным конкурентом на рынке или когда один и тот же контрагент выполняет работы для конкурирующих организаций. Поэтому при внедрении DLP-системы возникает необходимость получить более точную и достаточно специфическую информацию о коммуникациях компании. Очень часто она представлена в терминах бизнес-процессов, проектных ресурсов и информационных карт проектов. Актуальные знания приходится «добывать» у сотрудников, и такие данные бывают неточными и неполными. Между тем необходимая информация может быть в одной или нескольких информационных системах внутри организации, содержащих актуальные данные о действующих контрактах, движении документов, заявках на работы. Системы содержат именно те данные, которые требуется защитить, и одновременно сами являются естественным источником информации о том, с какими сотрудниками конкурирующей компании можно вести переписку, а с какими — точно нельзя. Дополнительная информация о людях в компании и за ее пределами может быть использована для определения критичности инцидента. Например, если из розничной компании информация о предстоящей рекламной акции «ушла» в адрес сотрудника маркетинга конкурента, то это с большой вероятностью очень критичная утечка. DLP-решения, способные интегрироваться с внешними системами, — еще один тренд на нашем рынке.
Задача 3. Решения для не Windows-платформ
Функциональные возможности DLP-решений для не Windows-платформ существенно беднее. С учетом того, что основанные на Linux и freebsd системы активно применяются на пользовательских устройствах (Аndroid и MacOS, iOS), следующая задача — обеспечить должный уровень контроля данных именно на этих платформах. Но сегодня такие решения на рынке DLP-решений практически отсутствуют. Только во второй половине 2011 года некоторые производители сообщили, что разрабатывают функционал мониторинга и защиты информации для планшетных компьютеров. В России направление развития DLP-решений для платформ, основанных на ядре Linux, может стать еще более востребованным, поскольку, важной частью программы «Информационное общество (2011–2020 годы)» стал проект создания национальной операционной системы на базе Linux. Планируемый переход на эту операционную систему государственных структур и ведомств, военных, образовательных и иных учреждений приведет к необходимости обеспечивать безопасность, в том числе защиту от утечек конфиденциальной информации.
Задача 4. Контроль ИТ-администраторов
Задача контроля ИТ-администраторов — далеко не новая, и при реализации DLP-проектов она «заиграет новыми красками». DLP-системы могут хранить дубликаты всей обрабатываемой информации, чтобы в дальнейшем использовать ее для расследования инцидентов, становясь со временем хранилищем постоянно растущего объема конфиденциальной информации. В этот момент компания сталкивается с одной из главных уязвимостей любой системы безопасности — сотрудниками. Люди, которые обслуживают, контролируют работу DLP-систем, проводят аудит и поддерживают ИТ-инфраструктуру — технически подготовленные инсайдеры. Это достаточно широкий круг лиц, причем состав персоналий постоянно меняется, и они не всегда имеют высокий уровень доверия у руководства компании и службы безопасности. Дополнительным фактором риска являются сотрудники внешних подрядчиков, особенно если они обеспечивают техническую поддержку части инфраструктуры. Перечисленные категории специалистов высококвалифицированны, обладают обширными правами доступа, что значительно увеличивает их возможности по обходу практически любых систем защиты.
Рассматриваемая проблема сама по себе существует столько же, сколько существуют системные администраторы. Для снижения рисков ИБ, сопровождающих обслуживание ИТ-инфраструктуры, как правило, достаточно обеспечить:
• тонкую настройку прав доступа к используемым программам и устройствам;
• контроль большого числа аккаунтов с различными правами доступа и поддержку их в актуальном состоянии;
• контроль выполняемых под каждым аккаунтом операций;
• ведение и хранение истории этих операций;
• исключение возможности каким-либо образом изменять записи выполняемых операций в журналах.
Эти функции реализованы в нескольких программно-аппаратных решениях и показывают очень хорошие результаты, но более тесная интеграция с DLP-системой позволит эффективнее контролировать действия администраторов и третьих лиц. Комплексное решение будет не просто реагировать на инциденты безопасности в реальном времени, но и обеспечит заинтересованных лиц информацией, необходимой для выяснения подробностей инцидента и сбора доказательной базы.
ФБР собирается разработать программное обеспечение для мониторинга социальных сетей с целью слежения за публикациями в Facebook, Twitter и блогах; сравнения информации с целевыми базами данных; наблюдения и анализа информации.
В официальном заявлении сообщается, что программное обеспечение будет использоваться «...для выявления, проверки и определения географического местоположения опасных событий, инцидентов безопасности и возникающих угроз».
Многие знания — многие печали
Растущая популярность технологий DLP позволяет говорить о необходимости развития систем, обеспечивающих безопасность данных. При этом наблюдается как рост требований заказчиков к системам этого класса, так и увеличение функциональных возможностей самих систем. С другой стороны, чем больший спектр задач будет решать система контроля утечек, тем более она сложна с точки зрения внедрения и эксплуатации. Кроме того, нужно понимать, что технические средства не решают всех проблем. Это мощный инструмент, облегчающий работу, позволяющий увидеть многие проблемы на ранних этапах и помогающий принять первоочередные меры в критических ситуациях. Но технические средства не заменят грамотной работы с кадрами, разработки и последующего контроля исполнения правил работы с информацией. Они снижают затраты и экономят время, но не избавляют от регулярного обучения персонала.
Подойти к внедрению системы можно по-разному: общаться с поставщиками, принимать решение на основе маркетинговых листовок и презентаций, историй успеха и референс-визитов или провести «тест-драйв» системы. Последний обычно организован как проект внедрения системы с меньшим функционалом и ограниченным временем эксплуатации. При этом сразу видны особенности работы решения применительно к имеющейся ИТ-инфраструктуре, и вы лично видите тех людей, которые проведут у вас в компании немало времени, внедряя систему и задавая массу вопросов вам и вашим подчиненным. После пилотного этапа риск невыполнения проекта минимален.