Часто случается видеть картину, когда специалистам ИБ приходится работать «вслепую», не имея четкого представления о стоимости информации. В этом случае даже при наличии достаточных бюджетов (что для наших реалий большая редкость), внедрение различных решений может не только не оправдать стоимость владения, но и банально не обеспечить результат.
Участие в пилотных проектах и внедрениях демонстрирует: руководству компании и департаменту ИБ необходимо садиться за стол и обсуждать, планировать дальнейшие ходы вместе. Только при «командной игре» может быть достигнут переход от реактивного состояния ИБ до превентивного.Внедрение систем предотвращения утечек информации (далее по тексту DLP) в украинских компаниях зачастую рассматривается не как контрмера по упреждению утечек, а как инструмент контроля пользователей, которые пренебрегают политиками безопасности.
Об украинском рынке DLP-систем
За последние несколько лет наблюдается значительный рост спроса на DLP. Ситуации, при которых заказчики начинают интересоваться данным классом решений, можно разделить на несколько условных категорий:
• Нанесен ущерб, вызванный случайной или умышленной утечкой информации.
• Необходимо обеспечивать соответствие бизнес-процессов действующему законодательству.
• Внедрение DLP является плановым шагом в модернизации / построении ИТ-инфраструктуры.
Категории перечислены по мере спада интереса. Если проанализировать распределение факторов спроса, то можно прийти к определенным выводам. Например, принятие Закона «O защите персональных данных», бесспорно, внесло определенное оживление на рынок DLP-систем. Однако стимулирующее действие закона в большей мере сказывается лишь на представителях государственного сектора. Несовершенство институтов права и формулировки нормативных актов приводят к тому, что зачастую системы информационной безопасности внедряются, что называется, «для галочки». И если финансовый сектор заботится о должном уровне внедрения и эксплуатации таких систем (поскольку «цена ошибки» довольно высока – потеря клиентов), то в некоторых государственных предприятиях внедряемые системы обеспечивают лишь 10-15% КПД либо вообще пребывают в неактивном состоянии.
Недооценка рисков и попытка сэкономить на внедрении DLP-системы приводят к тому, что для большинства украинских компаний внедрение DLP-системы – это не превентивный шаг, а реактивная мера по устранению последствий.
Коммерческие структуры, как правило, либо уже имеют в своем арсенале комплекс DLP, либо откладывают этот вопрос в «долгий ящик». Недооценка рисков и попытка сэкономить на внедрении DLP-системы приводят к тому, что, к сожалению, для большинства украинских компаний внедрение DLP-системы – это не превентивный шаг, а реактивная мера по устранению последствий. Другими словами, на данный момент львиную долю спроса генерируют те предприятия, которые уже столкнулись с последствиями утечки коммерческой тайны.
McAfee DLP Endpoint позволяет применять различные политики в зависимости от «ареала обитания» сотрудника: пока ноутбук находится в офисе, применяется мониторинг, но как только сотрудник покидает периметр корпоративной сети, вступают в силу блокирующие политики. Агент DLP локально кэширует события, включая теневые копии, и затем, в процессе синхронизации передает накопленные данные на сервер. Для удобства бизнеса предусмотрена система временного обхода агента, при которой блокировка удаленно отключается на определенное время. Кроме того, McAfee DLP Endpoint прозрачно интегрируется с системой выборочного шифрования информации, что позволяет шифровать данные перед тем, как они будут переданы по одному из контролируемых каналов. Благодаря такому подходу достигается состояние, при котором бизнес-процессы компании не блокируются, а данные находятся под защитой.
Если говорить о распределении потребителей DLP-систем по сферам украинского бизнеса, то основными заказчиками являются представители финансового сектора, предприятия промышленного и энергетического комплексов, страховые компании, госучреждения, сети супермаркетов, фармацевтические учреждения.
Большинство заказчиков украинского рынка DLP систем начинают свой опыт общения с теми решениями, которые позволяют отслеживать внешние устройства. Если говорить о комплексе McAfee DLP, то для этой цели используется «начальное» решение Device Control, которое помимо внешних носителей также позволяет контролировать и блокировать попытки подключения различного оборудования (Wi-Fi, Bluetooth, 3G-адаптеров и т. д.). Device Control является своеобразной «точкой входа» в DLP для некоторых компаний, но не всех.
Многие компании также стремятся защитить каналы Email и Web. В зависимости от строения ИТ-инфраструктуры, от аппаратных характеристик рабочих станций и от количества «мобильных» пользователей, для этой задачи применяют либо McAfee DLP Endpoint (отслеживает действия сотрудника локально), либо McAfee Network DLP (позволяет производить анализ, мониторинг и блокирование передаваемой информации на сетевом уровне независимо от оборудования, ОС и ПО).
Для гарантированного пресечения утечек информации внедренную систему и ее политики необходимо подвергать постоянному аудиту, ведь любое незначительное изменение бизнес-процессов может таить в себе потенциальный канал утечки информации.
В техническом задании все чаще фигурируют требования мониторинга файловых хранилищ и баз данных на предмет наличия конфиденциальной информации. Также заказчики часто упоминают контроль информации, которая передается на печатающие устройства (принтера, МФУ). С ростом интереса к криптографии появляются запросы по мониторингу и блокированию записи информации на разделах, зашифрованных популярным ПО TrueCrypt.
О сложностях внедрения DLP-систем
Несмотря на то что DLP-системы появились на рынке не вчера, для многих заказчиков основное затруднение при их внедрении и по сей день составляет классификация конфиденциальной информации. Это означает, что все работы по идентификации коммерческой тайны ложатся на плечи интегратора. С моей точки зрения, это не совсем правильно, т. к. для эффективного внедрения и эксплуатации DLP заказчик обязан обеспечить допуск внешних специалистов к коммерческой тайне. Проблема в том, что зачастую заказчики не предоставляют интегратору доступ к конфиденциальной информации. Как следствие, настроенные политики не обеспечивают должного уровня «просеивания» передаваемых данных.
При составлении политик необходимо учитывать всю информацию, которую компания-заказчик стремится защитить. Если из-за ценности информации привлечение внешних специалистов нежелательно, заказчику следует провести обучение собственных специалистов. Такой сценарий несет двойную выгоду: во-первых, устраняется проблема неполной классификации, во-вторых, упрощается сопровождение системы.
Сложность интеграции модулей DLP-системы в существующую ИТ-инфраструктуру не присуща комплексу McAfee DLP благодаря наличию централизованного управления. Следовательно, заказчики, которые используют решения McAfee, могут лучше сфокусироваться на проведении классификации конфиденциальной информации и реагированию на инциденты.
Автор статьи — специалист по технической поддержке проектов, Группа компаний БАКОТЕК®