Хочет ли руководство компании раз и навсегда избавиться от утечек конфиденциальной информации? Наверняка, ведь это такая заманчивая идея — развернуть «волшебные» технологические средства для борьбы с утечками и полностью им доверить «цензуру» всей исходящей информации, практически исключив влияние пресловутого человеческого фактора. Тем не менее в России таких проектов по-прежнему немного — порядка двух сотен или чуть больше. В чем проблема?
«Системы предотвращения утечек (Data Loss Prevention, DLP) в первую очередь нужны «закрытым» компаниям, например кредитно-финансовым, — считает Дмитрий Костров, главный эксперт департамента ИБ компании «МТС». — Основные заказчики DLP — организации, имеющие строгие регламенты и ограничения».
По наблюдениям Сергея Вахонина, директора по ИТ компании «Смарт Лайн Инк», основную и наиболее активную массу пользователей DLP-систем сегодня составляют организации финансового и банковского сектора. «Это неудивительно, учитывая, что уровень правовых и отраслевых требований наиболее высок именно в финансовом секторе, — поясняет Вахонин. — В ближайшее время мы ожидаем динамичного роста заказов на DLP-системы от предприятий производственного сектора, сферы услуг (прежде всего медицинских и страховых компаний) и государственных организаций».
«DLP внедряет тот, кто в данный конкретный момент времени сможет определить, что имеющийся, причем не обязательно структурированный, набор данных имеет строго определенную ценность и что его утечка принесет организации ущерб», — считает Саид Аль-Уляфи, директор по информационной безопасности Национального банка «Траст».
Что касается размеров организаций, то, по наблюдениям Кирилла Викторова, заместителя директора по развитию бизнеса компании «Инфосистемы Джет», наибольшую заинтересованность в DLP-проектах сегодня проявляют крупные и очень крупные компании, а не представители среднего и малого бизнеса.
Аль-Уляфи уверен, что сегодня для любой организации, независимо от ее сектора бизнеса и от размера, можно найти решение, которое полностью соответствовало бы потребностям предприятия и по цене, и по возможностям: «Для организации с не слишком развитой ИТ-инфраструктурой подходят решения, дающие возможность абстрагироваться от содержания информации (строго говоря, это не «классические» DLP) и управлять потоками данных каждого из используемых технологических компонентов. Если же организация использует множество разных по своему характеру технологий, применяет сложные бизнес-процессы в обработке данных, если ее информация имеет разные форматы и объемы, может интегрироваться и дифференцироваться, то продукты первого типа неприемлемы. Тут на помощь придут более «серьезные» продукты, которые максимально абстрагируются от технологий и представлений информации, работая лишь с содержанием. Для их успешного применения нужно, чтобы в организации максимально полно понимали, какая именно информация — предложения и слова, символы и знаки, наборы цифр и букв — несет ту самую угрозу, будучи передана конкурентам или иным злоумышленникам».
Барьеры для DLP в России
Итак, в России вполне есть почва для того, чтобы DLP-проекты были востребованы, — есть и потенциальные заказчики DLP, и сами продукты. Что же мешает внедрению этих систем?
Из возможных барьеров на пути DLP-проектов в России Костров отмечает несоответствие объемов затрат на DLP-проекты и рисков, связанных с возможными утечками, недооценку рисков, связанных с утечками, отсутствие возможности применения отчетов в ходе расследования инцидентов ИБ при работе с компетентными органами, а также недостаточно высокую культуру обеспечения ИБ в России в целом.
«Действительно, во многих организациях риски недооценены, в том числе из-за общего уровня культуры ИБ, — соглашается Аль-Уляфи. — Наше общество еще не настолько погрузилось в «информационную вселенную», чтобы риски, связанные с утечкой данных, стали для организации настолько критичными. Но тенденция набирает обороты. В частности, банки (и наш в том числе) стремятся максимально адаптироваться к современному потребителю, это неизменно приводит к постоянному росту рисков, связанных с ИБ».
Ключевой фактор, сдерживающий развитие и распространение DLP-систем в России, — это недооценка рисков, связанная, в свою очередь, с традиционным отставанием российского ИТ-рынка от передовых технологических стран, полагает Евгений Лобачев, главный архитектор систем защиты информации компании «АСТ». «Распространение DLP-систем всегда обусловлено двумя факторами — осознанием рисков со стороны владельцев бизнеса, директоров по ИТ и ИБ и руководителей государственных организаций либо понуждением к принятию мер по защите информации от утечек отраслевыми стандартами и правовыми актами, — поясняет Лобачев. — Если срабатывает хотя бы один из этих факторов, то все остальные причины, а в особенности стоимость проектов и нехватка специалистов, переходят в категорию легко решаемых. Если оценка рисков утечки будет выше цены DLP-системы, то грамотный владелец бизнеса всегда найдет деньги и на средства защиты информации, и на подготовку специалистов, и на само внедрение».
Распространению DLP-систем на малых и средних предприятиях, по мнению Лобачева, мешает также неготовность ИТ-рынка внедрять продукты, обладающие достаточным функционалом и приемлемой ценой: «Такие продукты могли бы удовлетворить массовый спрос на DLP в организациях на 100–400 рабочих мест. Продукты есть, однако такие мелкие проекты неинтересны вендорам».
Викторов считает, что широкое распространение DLP-систем тормозит из-за неготовности многих организаций к их внедрению: «Потенциальные заказчики этих систем полагают, что внедренная система будет сама предотвращать утечки и что заказчикам не потребуется ничего делать ни по ходу проекта, ни после. Иногда заказчики и вовсе пытаются «встроить» процесс формирования технического задания на работы по построению DLP-системы непосредственно в первый этап проекта. Такой подход чреват тем, что ожидания заказчика проекта сформируются уже после подписания договора, а сам проект рискует превратиться в долгострой».
Вместе с тем службы безопасности многих компаний точно понимают, чего хотят добиться с помощью DLP-системы, добавляет Викторов: «Они рассчитывают на получение быстрого результата от факта внедрения системы в режиме мониторинга утечек и вполне достигают этой цели».
Условия успеха
При каких условиях DLP-проекты в нашей стране оказываются не просто завершенными, а успешными и реально полезными для бизнеса?
«DLP-проект оценивается как успешный, когда начальник cлужбы ИБ может продемонстрировать руководству, что благодаря внедренной системе заблокированы реальные попытки утечек, показать, где прячется внутренний злоумышленник, и убедить, что проект окупится примерно за полгода», — отмечает Костров.
По мнению Викторова, об успехе DLP-проекта следует судить по его результативности. Например, результатом будет раскрытие корпоративного сговора, обнаружение фактов регулярной пересылки сотрудниками документов вопреки действующей политике безопасности или получение информации о том, что сотрудники чрезмерно используют доступ к социальным сетям с «казенных» рабочих мест в рабочее время.
Лобачев отмечает следующие факторы успеха: реальная заинтересованность руководства компании в предотвращении утечек; четкое понимание критичной для компании информации и бизнес-процессов, в которых она может участвовать; наличие на предприятии специалистов, способных эксплуатировать систему, и формирование из них группы мониторинга критичной информации (поскольку без наличия постоянного контроля DLP-система не даст эффекта); мощная организационная поддержка, в том числе периодическое обучение сотрудников компании правилам работы с критичной информацией и контроль выполнения внутренних организационных документов, касающихся критичной информации.
С чего начать?
Тем, кто задумался о реализации DLP-проекта в своей организации, следует начать с обследования и создания карты рисков, уверен Костров. Лобачев рекомендует в первую очередь определить, какую информацию считать критичной и защищать, затем провести инвентаризацию бизнес-процессов и систем хранения данных, чтобы выявить, где имеется критичная информация, затем оценить, какие человеческие ресурсы можно выделить на сопровождение процессов защиты от утечек.
«Не стоит пытаться ставить телегу впереди лошади — разворачивать DLP-систему, не определив предварительно защищаемые данные и не просчитав возможные сценарии утечки, — говорит Вахонин. — Нелишним будет также оценить возможность поэтапного запуска DLP-системы. Начать лучше с простого — с эксплуатации базовых функций DLP и расследования инцидентов утечки информации, затем перейти к более сложному и трудоемкому — применению методов контентной фильтрации».
Викторов советует начать с изучения аналогичных проектов: выяснить, кто их реализовывал, узнать, как проходили проекты, какие цели ставились и соответствует ли достигнутый результат ожиданиям. Затем нужно сформулировать конкретные задачи для вашей DLP-системы, после чего определить, сколько денег и времени компания готова потратить на этот проект и на чем планирует остановиться.
«Отправной точкой внедрения DLP должна быть идентификация информации, — соглашается Аль-Уляфи. — Второй шаг — идентификация потоков информации и их детализация. Затем необходимо провести упорядочивание данных потоков в соответствии с требованиями политики ИБ и устранить все потоки, представляющие угрозу бизнесу. Конечно же, важно еще наладить мониторинг работы DLP-системы, анализ ее результатов и подготовку отчетов, поскольку, только имея статистику предотвращений, можно реально судить о конечном результате».
Как видим, реализовать DLP-проект вполне реально. На мой взгляд, наиболее существенный барьер на пути лежит не в области технологий и даже не в организационных изменениях, сопутствующих проекту, а в плоскости восприятия DLP-систем теми, кто мог бы их финансировать, и в возможностях демонстрации результатов таких проектов их спонсорам и бизнес-заказчикам. В конце концов, редкий топ-менеджер откажется реализовать возможность «контрразведки», что называется, малой кровью.