Некоторые эксперты полагают, что проблема утечки конфиденциальной информации в небольших компаниях, как правило, не стоит, поскольку если в компании работает небольшое количество сотрудников, то существует определенный уровень доверия, который позволяет р
Некоторые эксперты полагают, что проблема утечки конфиденциальной информации в небольших компаниях, как правило, отсутствует. Когда в компании работает не так много сотрудников, то существует определенный уровень доверия, при котором проблему можно решить организационными мерами. Так ли это?
Ну скажите на милость, сильно ли подорвет репутацию монополиста информация об утечке тех или иных сведений? Наверное, при определенном усердии специалистов удастся оценить этот инцидент в виде финансовых потерь. В случае, если инцидент произойдет с компанией из сегмента малого или среднего бизнеса, оценивать финансовый ущерб, возможно, будет незачем, так как этот бизнес просто перестанет существовать.
К сожалению, отношение к информационной безопасности в малом и среднем бизнесе (SMB) остается прохладным. По мнению Алексея Лукацкого, менеджера по развитию бизнеса компании Cisco Systems, несмотря на то что задача ИБ актуальна всегда, вопрос в другом: созрела ли до ее решения компания? «Обычно в крупных компаниях, где утечка действительно может обойтись очень дорого и ее цена может быть выражена во вполне конкретных цифрах, бизнес относится к этой проблеме с пониманием. В небольших предприятиях превалируют более насущные проблемы, в том числе в области ИБ», - отмечает Лукацкий.
С ним согласен Николай Романов, технический консультант Trend Micro в России и СНГ: «Утечка актуальна для компаний любого масштаба, но все зависит не от числа сотрудников, а от профиля работы. Вполне реальна ситуация, когда в компании с десятком сотрудников совершенно четко осознается необходимость подобного контроля. В достаточно крупной компании, выросшей из небольшого предприятия, подобный вопрос долгое время может даже не приходить в голову руководителям и менеджерам. Особенно важно защищаться высокотехнологичным компаниям, так как их интеллектуальная собственность и есть их капитал».
Михаил Орешин, директор по развитию компании "Амрита Групп", считает так: «Рано говорить о внедрении средств защиты от утечек, пока на вопрос, что будет, если данные утекут, отвечают что-то вроде «неприятно, но не смертельно». Если же в компании всерьез опасаются, что в случае утечек ее «сначала рынок съест, а потом еще регулятор добьет», то, видимо, проблема осознана и предприятие готово выбирать решения, снижающие риски утечек. Вполне возможно, что оно остановится на DLP-системе, так как это на сегодня самое популярное решение».
По мнению Антона Разумова, консультанта по безопасности компании Check Point Software Technologies в России, в первую очередь имеет значение, насколько сама компания зависима от информации: «Даже в небольшой организации, где работает всего несколько сотрудников, утечка конфиденциальной информации может привести к очень серьезным последствиям, ведь если производитель потеряет, к примеру, свой технологический секрет или другую по-настоящему уникальную информацию, будущее этого, пусть и небольшого, бизнеса на рынке окажется весьма туманным и проблематичным».
Как защищать и что защищать?
В основе технологий борьбы с утечками данных в большинстве случаев лежат уже существующие механизмы безопасности и контроля. «Из-за этого многие компании, не имеющие на текущий момент своих законченных DLP-решений, заявляют, что помогут клиентам построить такое решение, имея в виду принцип «лоскутного одеяла». Иногда им это удается. Но, как любое лоскутное решение, оно может в совокупности оказаться дорогим, недостаточно эффективным, к тому же трудно реализуемым. Чтобы эффективно защитить предприятие за разумные деньги, производители создали отдельный класс продуктов — DLP, которые автоматизируют процесс борьбы с утечками данных», - отмечает Алексей Чередниченко, ведущий консультант McAfee в России и СНГ.
Но в секторе SMB не так-то просто обеспечить эффективную защиту от утечек за приемлемые для предприятия деньги. Возможно, поэтому Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch, склонен считать, что «классические» DLP-решения вообще не годятся для SMB: «DLP в ее классическом функционале - это предотвращение утечек заранее проиндексированных документов и цитат из них. Но информация в SMB-компаниях очень динамична, ее конфиденциальность определяется автором и часто не имеет формальных признаков конфиденциальности, так что в SMB просто нет объекта для DLP-защиты. Продукты, которые SMB-компании сейчас покупают под видом DLP, на самом деле являются решениями по анализу и архивированию контентных потоков. Иногда DLP-решениями в небольших компаниях называют решения по текстовому поиску в почтовых и других корпоративных архивах. Из этого можно сделать вывод, что малому и среднему бизнесу нужно не DLP-решение, а средство для контроля исходящих информационных потоков».
Пожалуй, с этим утверждением стоит согласится. DLP — слишком узкий термин с точки зрения SMB-компаний. Правильнее было бы говорить о комплексных решениях по защите от внутренних угроз. Время для развертывания такого решения наступает тогда, когда руководство компании осознает подобную угрозу, например, после того, как имел место инцидент ИБ или конфликт акционеров.
Эту позицию разделяет и Лукацкий, полагая, что прежде всего стоит определиться с термином DLP: «Не совсем корректно рассматривать эту технологию в отрыве от стратегии ИБ, принятой в организации, и от технологий, известных не один десяток лет. DLP – просто очередная маркетинговая «фишка». Ничего принципиально нового в ней нет – развитие идет по спирали. Метки на файлы с конфиденциальной информацией известны уже лет 20-30. Контентная фильтрация тоже не вчера придумана. Требование классификации информации ограниченного доступа является первым, с чего рекомендуется начинать защиту на предприятии. Новизна DLP-технологий лишь в том, что они смогли автоматизировать и облегчить решение многих из этих задач».
Разумов отмечает, что необходимо четко различать два основных типа DLP-решений: одни помогают бороться с явным нарушителем (предотвращают увод информации из компании), а другие отслеживают, чтобы собственные сотрудники не нарушали корпоративную политику.
Вот пример, когда DLP-решения второго рода могут оказаться очень кстати: внутри организации ведется переписка, и в нее случайным образом вмешивается внешний реципиент (например, если сотрудник набрал ошибочный адрес или по невнимательности вместо имени своего коллеги внутри предприятия указал его однофамильца — представителя контрагента). Информация, предназначенная для внутреннего использования, по ошибке выходит наружу. Таким образом, с увеличением объемов переписки и электронного документооборота все актуальнее становится проблема предотвращения случайных утечек.
Для борьбы с явными нарушителями, которые намеренно стремятся украсть корпоративную информацию, Разумов рекомендует провести категоризацию документов (ввести всевозможные метки, для чего, в свою очередь, потребуется привести в порядок все документы и процедуры документооборота в компании) и определить список ключевых слов, документы с которыми не должны покидать организацию. Классификация документов — задача актуальная прежде всего для крупных и средних компаний. Однако прописать и учесть все правила работы с документами очень непросто, придется серьезно потратиться на внедрение подобных DLP-решений. Известно, что многие производители отказываются делать даже пробные демонстрационные проекты, так как считают, что в тестовом режиме сложная DLP-технология оказывается неэффективной.
По мнению Виктора Сердюка, генерального директора компании «ДиалогНаука», необходимость внедрять DLP-решения возникает, когда руководство компании понимает, что утечка ключевой информации может привести к серьезным последствиям для бизнеса: «Любое DLP-решение может эффективно работать только при наличии в компании соответствующей нормативно-методической базы: политики информационной безопасности, перечня конфиденциальной информации, должностных инструкций пользователей и т.д., причем эти документы не просто должны существовать в компании, они должны быть доведены до всех сотрудников, имеющих доступ к конфиденциальным сведениям».
Реализовать это требование в SMB-компании крайне непросто. Хайретдинов убежден, что никаких принятых процедур и политик в области ИБ в SMB-компаниях, как правило, нет: «Очень часто такой бизнес строится с нуля, первыми работающими обычно становятся друзья и родственники, и только когда количество переваливает за сотню и появляются сотрудники, для которых компания - просто очередное место работы, формальные процедуры становятся необходимы. В отличие от крупного бизнеса, небольшие компании предпочитают получать эти процедуры одновременно с технологическими решениями, а то и встроенные в эти решения. SMB-сектор требует решение 'здесь и сейчас', он не готов проводить длительные и дорогостоящие аудиты, оплачивать написание и внедрение политик. Как и в любом решении для этого рынка, в первую очередь принимается во внимание соотношение цены и качества. В SMB не нужны многие корпоративные 'примочки', связанные с распределенностью сети, разделением ролей администрирования и т.д. Самая большая проблема SMB-компаний - отсутствие понимания, какая информация является конфиденциальной, отсутствие разумной 'бюрократии'».
Несмотря на все сложности и специфику рынка SMB, Романов убежден, что время для DLP-решений в этом секторе уже наступило: «Развивать ИТ-инфраструктуру с элементами DLP гораздо проще, чем внедрять DLP в развитой информационной системе. Разумеется, решающим фактором может стать всплывшая где-то информация, относящаяся к бизнесу компании и представляющая коммерческую тайну для ее владельцев. Как показывает практика, для многих компаний подобный инцидент происходит, на первый взгляд, почти незаметно. Нередко только по наступившим последствиям можно понять, что информация попала в те руки, в которых она стала средством конкурентного преимущества».