Системы защиты конфиденциальных данных от внутренних угроз (Data Leak Prevention, DLP) стали разрабатываться и применяться сравнительно недавно и совершенствуются буквально на ходу. Первый опыт их применения выявил определенные ошибки и просчеты в вопросах защиты информации от внутренних утечек. В каком направлении эволюционируют системы DLP и как избежать типичных ошибок в процессе защиты данных?
Чтобы оценить эффективность любого защитного средства (каковым и является DLP), необходимо сначала определить критерии для оценки этой эффективности, а также формы контроля соответствия выбранным критериям. Как оказалось, единого подхода в этом вопросе все еще не выработано, и критерии эффективности могут быть разными, а главное — не всегда объективными.
Что такое хорошо?
Дмитрий Михеев, эксперт центра информационной безопасности компании «Инфосистемы Джет», задается вопросом: что мы понимаем под эффективностью и какой именно результат пытаемся оценить? Если это нераспространение конкретных данных за пределы защищенного периметра, то эффективность можно определить по сумме ущерба, который мог быть нанесен утечками и предотвращен системой. Правда, это не самый удобный показатель, ведь оценка ущерба может быть субъективной.
«В зависимости от поставленных перед службой безопасности задач, критерии эффективности DLP будут разными», — продолжает Михеев. Он обращает внимание на тот факт, что различные производители предлагают собственные методики управления рисками утечек данных, и из этих методик следуют разные критерии. Один из них предполагает, например, оценку изменения частоты утечек за определенный период. Это довольно распространенный подход: если благодаря установленной системе и сопутствующим регламентам в компании регистрируется меньше инцидентов, то такое количественное сокращение можно оценить, хотя бы и в относительных величинах.
«Противодействие утечкам на предприятиях представляет собой сложный комплекс организационно-технических мер. В него входят регламенты и традиции обращения с конфиденциальными данными, правильно организованная информационная система, особым образом выстроенная работа с персоналом, специализированное программное обеспечение и система поддержки внутренних расследований. Поэтому не стоит оценивать какой-то один элемент из этой совокупности», — замечает Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch.
По его мнению, для количественной оценки эффективности необходимо накопить достаточно статистических данных, а политика борьбы с внутренними угрозами такова, что факты утечек (за редким исключением) не предаются огласке. Поэтому часто за критерий эффективности принимается хоть какая-то доступная информация и данные о случайных утечках, например сколько раз сотрудник нечаянно отсылал «закрытый» документ по недопустимому адресу и т. д. Если опираться на такую статистику, то эффективность получается очень высокой, на уровне 100%.
«Чтобы поддержать такие 'блестящие' показатели, службы внутреннего контроля порой выпускают отчеты, в которых 95% зарегистрированных утечек — случайные. Нюанс в слове 'зарегистрированных', поскольку эта цифра имеет такое же отношение к действительности, как и количество зарегистрированных преступлений в статистике МВД», — отмечает Рустэм Хайретдинов.
Что показывает российская и зарубежная практика? Каков средний (типичный) уровень противодействия утечкам на различных этапах внедрения систем DLP в организациях?
«Практика показывает, что эффективность систем, развернутых на предприятиях, измеряется не количеством инцидентов, а деньгами, — говорит Хайретдинов. Если компанию устраивает, как хранится и обрабатывается конфиденциальная информация, значит, система эффективна и затраты на ее покупку оправдывают себя».
Иными словами, эффективность собственно программного обеспечения DLP во многом определяется тем, как им пользоваться. Можно неэффективно пользоваться хорошей системой, а можно эффективно — плохой. И тут многое зависит от того, насколько правильно данные группируются в категории по степени важности, как эти категории присваиваются новым и входящим документам, как формализованы критерии легитимности передачи конфиденциальных данных, эффективна ли система поощрений и наказаний за соблюдение правил обращения с конфиденциальной информацией и т. д.
Быть может, оценивать эффективность конкретного продукта DLP нужно на независимом тестовом стенде? Увы, независимых тестов типа Virus Bulletin для коммерческих продуктов DLP пока не проводилось. Но если бы они и существовали, то тоже не давали бы объективной информации для клиентов.
«Атакуют всех однотипные вирусы, а вот структура трафика данных у каждого предприятия своя. И тот факт, что один продукт DLP способен контролировать 3 тыс. форматов файлов, а другой — всего 100, практически не означает ничего для большинства компаний, поскольку на деле в компаниях используется не более 30 файловых форматов», — подчеркивает эксперт из InfoWatch.
«Нужно также учитывать, что для качественной защиты от утечек, помимо технических средств, задействуется весь спектр управленческих инструментов: мотивация и повышение квалификации персонала, управление бонусами, групповое давление. А технические средства DLP в данной системе координат являются индикаторами состоятельности тех или иных управленческих решений, и эффективность определяется как достаточность получаемых через систему данных для принятия решений руководством», — резюмирует Михеев.
Типичные ошибки
Характерный просчет при организации защиты от утечек, по мнению представителя InfoWatch, — это отсутствие юридической и технической поддержки процедуры внутренних расследований. Что с того, что DLP-система зафиксировала нарушение? Допустим, офицеру безопасности предъявили учетную запись, почтовый или IP-адрес нарушителя режима безопасности. Без соответствующей предварительной подготовки доказать (оставаясь в правовом поле), что эти улики оставил конкретный сотрудник, проблематично. И получается, что инциденты есть, а лиц, наказанных за утечки, нет. В таком случае на DLP-систему сотрудники попросту перестанут обращать внимание.
Валерий Боронин, руководитель лаборатории защиты информации от внутренних угроз «Лаборатории Касперского», также убежден, что существенная часть проблем при внедрении систем DLP имеет организационный характер: «Техническое средство по борьбе с утечками может быть совершенным, но если отсутствует ясность, как оно соотносится с бизнес-процессами, внедрение любой политики безопасности на предприятии обречено на неудачу».
Из этого положения вытекает другая типичная ошибка: полагаться при внедрении системы DLP исключительно на сотрудников профильных подразделений – ИТ или безопасности. Без осознанной заинтересованности в этом вопросе руководства компании провал проекта неминуем, ведь при развертывании системы должны быть задействованы властные рычаги для реорганизации бизнес-процессов.
Еще одна ошибка заключается в непонимании заказчиками, что у проектов внедрения DLP обычно не может быть жестких сроков достижения результата и точной стоимости работ. В действительности организация действенной защиты от утечек – это перманентный процесс с труднопредсказуемым бюджетом.
Часто навязываемые продавцами представления о быстром или безболезненном внедрении DLP в итоге приводят к разочарованию пользователей DLP-систем, создают у них ощущение «неподъемности» и неэффективности подобных проектов. «Очень важно изначально сформировать правильные ожидания у всех участников проекта. Процесс внедрения не должен затягиваться на много месяцев – не стоит пытаться охватить все и сразу, лучше двигаться поэтапно, начиная с пилотного внедрения в режиме аудита, на реальных данных заказчика, включая обучение персонала работе с системой также на реальных инцидентах», — предлагает Валерий Боронин.
Впрочем, Олег Головенко, технический консультант по продуктам информационной безопасности корпорации Symantec в России и СНГ, полагает, что уже прошли те времена, когда запланированные сроки внедрения продуктов DLP в реальной жизни оказывались превышенными в несколько раз. Сегодня интеграторы уже накопили достаточный опыт, чтобы грамотно планировать внедрение решения, исходя из первичной оценки инфраструктуры заказчика.
«Точные сроки будут, конечно же, зависеть от масштабов внедрения, но можно сказать, что полный цикл проекта по внедрению решения класса DLP для предприятия среднего размера может занимать от одного года. И основная часть этого времени отводится на анализ, аудит и категоризацию информации, содержащей конфиденциальные данные» — отмечает Головенко.
«Некоторые поставщики систем DLP пытаются ввести в заблуждение своих клиентов обещаниями типа 'внедрение за один день' или 'включил и забыл'. Если у заказчика нет собственного понимания, что в компании конфиденциально, а что нет, какую информацию по каким каналам и куда можно передавать, то проку от DLP-системы не будет», — подчеркивает Рустэм Хайретдинов.
Итак, главная ошибка при внедрении системы защиты от утечек — думать, что DLP-решение все сделает само.
Эволюция и опыт
Учитывают ли новейшие разработки в сфере DLP накопленный опыт ошибок? В «Лаборатории Касперского» убеждены, что учитывают.
«Пользователям нужен инструмент, адекватно отражающий реальные процессы, с которыми им приходится иметь дело, причем администраторам – свой, офицерам служб безопасности — свой. DLP-системы первого поколения в этом не слишком помогали, поскольку не были сфокусированы на потребностях реальных пользователей и практике разбора инцидентов — они лишь отрабатывали некие, не всегда согласованные между собой правила и рапортовали об инцидентах, а что с ними делать и кому этим заниматься, в компании оставалось 'за кадром'», — поясняет Валерий Боронин.
По его словам, сейчас ведущие DLP-системы наделяются отдельными интерфейсами настройки и эксплуатации, механизмами, помогающими разделить эти стадии; заботятся о том, как помочь правильно отреагировать на инцидент и даже как его предупредить, предложить подходящую политику безопасности с учетом особенностей клиента; на рабочих станциях происходит «скрещивание» DLP с другими защитными технологиями, как обеспечивающими защиту систем и пользователей от внешних угроз, так и ориентированными на защиту данных от внутренних угроз: на сегодняшний день, кроме традиционного функционала антивирусных продуктов, это в первую очередь полное шифрование диска, контроль приложений и устройств.
DLP-решения эволюционируют также «вширь и вглубь»: закрывается больше каналов утечек; охватывается больше видов данных; увеличивается количество поддерживаемых форматов документов; наращивается количество и улучшается качество методов классификации данных; поддерживается больше платформ с фокусом на мобильные устройства. Кроме того, совершенствуются защитные механизмы, основанные на принципах искусственного интеллекта, позволяющие системе автоматически обучаться и распознавать неизвестные ей ранее типы документов, классифицировать их «на лету» и применять политики защиты, если это документы подпадают под категорию конфиденциальных.
«Полагаю, и дальше системы DLP будут развиваться как «умные» технологии, позволяющие максимально автоматизировать процесс поиска, обнаружения, анализа информации и реагирования на инциденты», — отмечает Олег Головенко.
Недешевые заплатки
Российский рынок систем DLP пока не завершил свое становление, но все же является достаточно зрелым с точки зрения представленного на нем спектра решений и услуг по внедрению. Список основных игроков на этой площадке уже сформирован, и в него вошли крупнейшие международные и российские компании. Вместе с тем цены на продукты и услуги в сфере борьбы с утечками варьируются в очень широком диапазоне, что, конечно же, мешает заказчикам оценить их эффективность.
«Стоимость решений DLP может быть самой разной, и часть задач по защите от утечек вполне можно решить, затратив совсем немного средств. Более того, в ряде случаев вообще не требуется ничего покупать: во многих компаниях технических средств и ПО уже закуплено достаточно, и этих ресурсов хватит на все случаи жизни. В основном недостает правильной постановки задач и критериев оценки, критериев успешности и, как во многих сложных проектах, внимания и поддержки со стороны руководства», — считает Дмитрий Михеев.
По его данным, стоимость продуктов DLP первым делом зависит от того, сколько и какие именно каналы утечки необходимо залатать. Михеев распределяет технические решения DLP по нескольким стоимостным группам: ценой до 5 тыс. долл.; от 5 до 30 тыс.; от 30 до 100 тыс. и выше этой суммы. В приведенных цифрах не учитывается стоимость работ по внедрению систем защиты, которая обычно составляет половину (а то и более) стоимости самого решения.
Несмотря на перечисленные выше сложности с оценкой эффективности решений DLP и недостаточно прозрачным ценообразованием в этой сфере, на российском рынке отмечен всплеск интереса к продуктам для защиты от утечек. Как считают эксперты, высокий спрос на продукты данного класса и большое количество уже выполненных проектов подтверждают, что многие российские компании осознали необходимость применения систем DLP для защиты конфиденциальной информации.