Прежде всего подчеркну следующее: независимо от области бизнеса, объема прибыли и масштаба компании, толк от внедрения любых защитных мер будет лишь в том случае, если департамент ИБ будет осуществлять мероприятия по усилению безопасности исходя из ценности информации и того «value», которое ожидается руководством компании от ИТ-процессов, нуждающихся в защите.

Часто случается видеть картину, когда специалистам ИБ приходится работать «вслепую», не имея четкого представления о стоимости информации. В этом случае даже при наличии достаточных бюджетов (что для наших реалий большая редкость), внедрение различных решений может не только не оправдать стоимость владения, но и банально не обеспечить результат.

Участие в пилотных проектах и внедрениях демонстрирует: руководству компании и департаменту ИБ необходимо садиться за стол и обсуждать, планировать дальнейшие ходы вместе. Только при «командной игре» может быть достигнут переход от реактивного состояния ИБ до превентивного.

Внедрение систем предотвращения утечек информации (далее по тексту DLP) в украинских компаниях зачастую рассматривается не как контрмера по упреждению утечек, а как инструмент контроля пользователей, которые пренебрегают политиками безопасности.

Пример из жизни: доступ персонала с личных мобильных устройств к внутреннему порталу запрещен. Однако есть сотрудники, которым в силу занимаемых ими должностей предоставляется полный доступ.

Об украинском рынке DLP-систем

За последние несколько лет наблюдается значительный рост спроса на DLP. Ситуации, при которых заказчики начинают интересоваться данным классом решений, можно разделить на несколько условных категорий:

• Нанесен ущерб, вызванный случайной или умышленной утечкой информации.
• Необходимо обеспечивать соответствие бизнес-процессов действующему законодательству.
• Внедрение DLP является плановым шагом в модернизации / построении ИТ-инфраструктуры.

Категории перечислены по мере спада интереса. Если проанализировать распределение факторов спроса, то можно прийти к определенным выводам. Например, принятие Закона «O защите персональных данных», бесспорно, внесло определенное оживление на рынок DLP-систем. Однако стимулирующее действие закона в большей мере сказывается лишь на представителях государственного сектора. Несовершенство институтов права и формулировки нормативных актов приводят к тому, что зачастую системы информационной безопасности внедряются, что называется, «для галочки». И если финансовый сектор заботится о должном уровне внедрения и эксплуатации таких систем (поскольку «цена ошибки» довольно высока – потеря клиентов), то в некоторых государственных предприятиях внедряемые системы обеспечивают лишь 10-15% КПД либо вообще пребывают в неактивном состоянии.

Недооценка рисков и попытка сэкономить на внедрении DLP-системы приводят к тому, что для большинства украинских компаний внедрение DLP-системы – это не превентивный шаг, а реактивная мера по устранению последствий.

Коммерческие структуры, как правило, либо уже имеют в своем арсенале комплекс DLP, либо откладывают этот вопрос в «долгий ящик». Недооценка рисков и попытка сэкономить на внедрении DLP-системы приводят к тому, что, к сожалению, для большинства украинских компаний внедрение DLP-системы – это не превентивный шаг, а реактивная мера по устранению последствий. Другими словами, на данный момент львиную долю спроса генерируют те предприятия, которые уже столкнулись с последствиями утечки коммерческой тайны. 

Современные тренды высоких технологий являются подчас агентами влияния более сильными, чем нормы действующего законодательства. Популяризация BYOD и «облаков» размывает понятие «периметра» и порождает новый тип сотрудников, которые большую часть рабочего времени проводят вне офиса. В этих условиях департаменту ИБ становится гораздо сложнее выполнять свою работу. Требуется оперативная переоценка рисков. В связи с этим закономерно повышение спроса на DLP, MDM-решения и другие системы защиты информации, которые предназначены для использования в режиме off-line, т. е. когда политики применяются даже в том случае, если устройство длительное время находится вне локальной сети предприятия.

McAfee DLP Endpoint позволяет применять различные политики в зависимости от «ареала обитания» сотрудника: пока ноутбук находится в офисе, применяется мониторинг, но как только сотрудник покидает периметр корпоративной сети, вступают в силу блокирующие политики. Агент DLP локально кэширует события, включая теневые копии, и затем, в процессе синхронизации передает накопленные данные на сервер. Для удобства бизнеса предусмотрена система временного обхода агента, при которой блокировка удаленно отключается на определенное время. Кроме того, McAfee DLP Endpoint прозрачно интегрируется с системой выборочного шифрования информации, что позволяет шифровать данные перед тем, как они будут переданы по одному из контролируемых каналов. Благодаря такому подходу достигается состояние, при котором бизнес-процессы компании не блокируются, а данные находятся под защитой.

Отдельно хочу упомянуть ПО для учета и контроля рабочего времени сотрудников, которые многие руководители ошибочно принимают за DLP. Решения такого рода занимается журналированием операций, выполняемых персоналом компании на рабочих местах. Важно понимать, что системы учета рабочего времени ни в коей мере не могут обеспечить блокирование утечки. Более того, использование системы учета не отменяет необходимости внедрения DLP-системы. Это две разные категории решений, предназначенные для решения отдельных задач. Системы учета рабочего времени не приспособлены для анализа контента и, как следствие, не способны не только заблокировать, но в отдельных случаях даже обнаружить утечку информации по неявным каналам.

Если говорить о распределении потребителей DLP-систем по сферам украинского бизнеса, то основными заказчиками являются представители финансового сектора, предприятия промышленного и энергетического комплексов, страховые компании, госучреждения, сети супермаркетов, фармацевтические учреждения.

Количество защищаемых рабочих мест может варьироваться от 10-50 систем (внедрение DLP в главном офисе) до 2-3 тысяч систем при защите распределенной инфраструктуры заказчика. В каждом конкретном случае этот показатель зависит от ценности информации и направления ее потоков. Так, например, если заказчик широко использует терминальные сервера в связке с тонкими клиентами, то в ряде случаев для выполнения технического задания достаточно внедрить программные модули DLP на терминальных серверах и, если сотрудники активно используют мобильные устройства, – модули Network DLP.

Большинство заказчиков украинского рынка DLP систем начинают свой опыт общения с теми решениями, которые позволяют отслеживать внешние устройства. Если говорить о комплексе McAfee DLP, то для этой цели используется «начальное» решение Device Control, которое помимо внешних носителей также позволяет контролировать и блокировать попытки подключения различного оборудования (Wi-Fi, Bluetooth, 3G-адаптеров и т. д.). Device Control является своеобразной «точкой входа» в DLP для некоторых компаний, но не всех. 

Многие компании также стремятся защитить каналы Email и Web. В зависимости от строения ИТ-инфраструктуры, от аппаратных характеристик рабочих станций и от количества «мобильных» пользователей, для этой задачи применяют либо McAfee DLP Endpoint (отслеживает действия сотрудника локально), либо McAfee Network DLP (позволяет производить анализ, мониторинг и блокирование передаваемой информации на сетевом уровне независимо от оборудования, ОС и ПО).

Для гарантированного пресечения утечек информации внедренную систему и ее политики необходимо подвергать постоянному аудиту, ведь любое незначительное изменение бизнес-процессов может таить в себе потенциальный канал утечки информации.

В техническом задании все чаще фигурируют требования мониторинга файловых хранилищ и баз данных на предмет наличия конфиденциальной информации. Также заказчики часто упоминают контроль информации, которая передается на печатающие устройства (принтера, МФУ). С ростом интереса к криптографии появляются запросы по мониторингу и блокированию записи информации на разделах, зашифрованных популярным ПО TrueCrypt.  

Поскольку «облака» и виртуализация являются неотъемлемой частью прогресса вычислений для нужд бизнеса, то желание заказчиков обезопасить свои терминальные сервера/VDI от утечек является закономерным. Для вышеназванных целей применяется McAfee DLP Endpoint.

О сложностях внедрения DLP-систем

Несмотря на то что DLP-системы появились на рынке не вчера, для многих заказчиков основное затруднение при их внедрении и по сей день составляет классификация конфиденциальной информации. Это означает, что все работы по идентификации коммерческой тайны ложатся на плечи интегратора. С моей точки зрения, это не совсем правильно, т. к. для эффективного внедрения и эксплуатации DLP заказчик обязан обеспечить допуск внешних специалистов к коммерческой тайне. Проблема в том, что зачастую заказчики не предоставляют интегратору доступ к конфиденциальной информации. Как следствие, настроенные политики не обеспечивают должного уровня «просеивания» передаваемых данных.

При составлении политик необходимо учитывать всю информацию, которую компания-заказчик стремится защитить. Если из-за ценности информации привлечение внешних специалистов нежелательно, заказчику следует провести обучение собственных специалистов. Такой сценарий несет двойную выгоду: во-первых, устраняется проблема неполной классификации, во-вторых, упрощается сопровождение системы.

Далее идут сложности, с которыми заказчик сталкивается на этапе эксплуатации. Важно понимать, что DLP – это не антивирусная система. Для гарантированного пресечения утечек информации внедренную систему и ее политики необходимо подвергать постоянному аудиту, ведь любое незначительное изменение бизнес-процессов может таить в себе потенциальный канал утечки информации.

Сложность интеграции модулей DLP-системы в существующую ИТ-инфраструктуру не присуща комплексу McAfee DLP благодаря наличию централизованного управления. Следовательно, заказчики, которые используют решения McAfee, могут лучше сфокусироваться на проведении классификации конфиденциальной информации и реагированию на инциденты.

Безусловно, у каждой компании своя архитектура бизнес-процессов и свой подход к обеспечению коммерческой тайны. Хочется верить, что в скором будущем внедрение DLP и шифрования данных будет превентивной мерой, осознанным шагом руководителей компаний, а выбор вектора развития защиты информации – согласованным решением руководства и департамента ИБ. 

Автор статьи — специалист по технической поддержке проектов, Группа компаний БАКОТЕК®