Функционал систем для защиты от утечек данных (Data Leak Protection, DLP) используется для решения различных задач: автоматической категоризации информации, проведения расследований, анализа архива переписки, собственно предотвращения утечек конфиденциальной информации. Кроме того, это универсальное средство сбора, типизации и построения маршрутов движения информации.

Многие компании начинают всерьез опасаться крупных утечек конфиденциальной информации. Наиболее пристальный интерес к DLP-решениям наблюдается со стороны банков, медицинских учреждений, государственных организаций.

Интерес к DLP в ряде стран усиливается в силу того, что предприятиям и организациям необходимо выполнять требования нормативно-законодательной базы. Однако государственное регулирование проблем, решать которые призваны DLP-системы, в нашей стране пока еще не развито так хорошо, как на Западе: закон № 152-ФЗ «О персональных данных» напрямую не оказывает влияния на рынок DLP-систем, и, таким образом, спрос активно не стимулируется.

Так или иначе, проектов внедрения DLP-систем, принесших заметный положительный эффект, в России пока немного.

 

Отличительные особенности подходов DLP

В России и на Западе практикуются два кардинально разных подхода в отношении не только DLP, но и информационной безопасности в целом. По мнению Евгения Климова, президента ассоциации профессионалов в области ИБ, в США закон Сарбейнса – Оксли стимулировал использование решений класса DLP, которые при определенных настройках позволяют протоколировать, выявлять и предотвращать потоки информации куда бы то ни было, поэтому основная движущая сила развития этого сектора в США — обеспечение соответствия требованиям регуляторов.

Развитие сферы DLP на Западе, конечно, определяется отточенной системой стандартов и законодательных нормативов, но, считает Ирина Момчилович, генеральный директор компании Rainbow Security, не менее важен и другой фактор — отношение к самой информации и понимание ее ценности: «В России специалисты по ИБ до сих пор концентрируются на охране периметра сети и объектов ИТ-инфраструктуры, за рубежом упор делается на защиту и контроль самой информации. Чтобы исключить возможные утечки данных, иностранные компании предоставляют пользователям доступ к минимальному числу ресурсов, необходимых им для работы. Другими словами, западные организации исходят из того, что лучше предотвратить проблему, чем потом устранять ее последствия».

В России основным двигателем DLP-проектов могут стать государство и его законодательство. Кроме того, позиционирование этих продуктов должно в первую очередь опираться на минимизацию рисков, связанных с утечками. Свой взгляд на DLP бизнес в корне меняет после того, как происходит реальная утечка ценной информации, наносящая непоправимый урон репутации бренда и приводящая к колоссальным убыткам. Поэтому необходимо разъяснять потенциальным корпоративным покупателям, что DLP — это решения, которые должны стать неотъемлемой частью ИТ-инфраструктуры для управления информационными активами.

Анастасия Америкова, менеджер компании InfoWatch по продуктам направления DLP, тоже считает, что ключевой драйвер внедрения DLP — это соответствие законодательным нормам. DLP для западных компаний — средство снижения вполне реальных затрат на ликвидацию последствий утечки (поскольку их дешевле предотвратить, чем бороться с последствиями).

Российские DLP-проекты, как правило, нацелены на решение конкретных бизнес-задач. Формальные теоретические модели угроз здесь не так важны, главное — выявление информации, потеря которой может понести за собой реальные потери в деньгах или упущенную прибыль.

Америкова сильно сомневается, что рынок будут мотивировать законодательные акты. Основной драйвер роста связан с пониманием информации как ценного актива, причем эта ценность должна определяться как совершенно конкретная, выраженная в деньгах сумма. В этом случае бизнес-руководству волей-неволей придется учитывать возможные финансовые потери от утечек данных. Крупный бизнес давно идет по этому пути. Постепенно подобное отношение к информационным активам складывается и у небольших компаний. «Не исключаю, что по мере неизбежного снижения стоимости решений DLP, предоставляемых по модели SaaS, и развития облачных сервисов этого типа нас ждет по-настоящему взрывной рост рынка», — полагает Америкова.

 

Ошибки DLP-проектов

Говорят, что сам слух о том, что в компании работает DLP-система, нередко дает гораздо больший эффект, чем сама система, — это один из элементов психологической защиты от случайных или умышленных действий сотрудников. Основная ошибка предприятий, внедряющих DLP-системы, в том, что зачастую они требуют, чтобы их DLP-решение просто настраивалось, а затем так же просто, «автоматически» работало и развивалось, не требуя участия сотрудников службы ИБ. Однако на практике все гораздо сложнее — системы DLP нельзя внедрять без существенной доли консалтинга. Ни один крупный вендор не возьмется развертывать подобные решения без тесного взаимодействия с заказчиком, ведь именно заказчик должен определить, какая информация является для него конфиденциальной и какие правила безопасности к тем или иным данным необходимо применять.

Аксиома из теории ИБ утверждает, что стоимость средства защиты информации не должна превышать стоимость потери самой информации. Стоимость средства защиты складывается из организационной, процессной и технологической составляющих. Чем лучше организован процесс внедрения и поддержки системы, тем дешевле она обходится. Наиболее ярко это проявляется в больших проектах, где даже незначительные, казалось бы, ошибки в выстраивании бизнес-процессов порождают реальное увеличение затрат на обслуживание. Например, не определили процедуру реакции на инцидент для всех филиалов — получили затраты ИБ-службы сначала на создание такой процедуры в каждом филиале, потом на стандартизацию в рамках всего холдинга.

Впрочем, метод тотального учета затрат, связанных с ИБ, и расчета эффективности решений для этой сферы в России пока непопулярен. По наблюдению Америковой, руководству компании, как правило, бывает достаточно самого факта, что утечка конфиденциального информационного актива за пределы компании блокирована с помощью DLP-средства. Между тем на практике встречается немало случаев, когда сумма ущерба от единственного предотвращенного инцидента (утечки ноу-хау, финансовой документации и пр.) оказывается сопоставима с затратами на внедрение полноценной DLP-системы.

Внедрение и эксплуатация DLP-системы всегда должна основываться на анализе бизнес-процессов. Необходимо на самом начальном этапе внедрения определить, что мы защищаем, то есть выстроить модель угроз. По оценкам экспертов из InfoWatch, 90% компаний даже не знают, какая информация у них является конфиденциальной. «В таких случаях проводится автоматическая категоризация общего потока информации и вручную — тонкая категоризация специфичных данных, — рассказывает Америкова. — Если пропустить этот этап, то вероятность получить желаемый результат крайне мала. Собственно, это наиболее типичная ошибка».

По мнению Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, DLP-проект в первую очередь обеспечивает изменение культуры работы с информацией, а культура эта начинается с классификации информации всеми участниками процесса ее обработки. Пока нет такой классификации — нет и объекта защиты, следовательно, и DLP-система будет неэффективной.

 

Проблемы классификации

Классификация информационных активов является ключевым фактором успеха при внедрении любой системы защиты информации. В ряде случаев производители DLP-систем, понимая сложность этой задачи, оснащают свои продукты уже готовыми отраслевыми классификаторами. Нельзя сказать, что это решает проблему на 100%, но остроту частично снимает; особенно хорошо такой подход работает применительно к различным нормативным актам, которые можно формализовать (например, различные персональные данные для ФЗ-152, номера платежных карт для PCI DSS и т. д.). Правильно проведенная классификация — это еще не гарантия, но уже залог успеха внедрения DLP.

Как отмечает Лукацкий, есть две нерешенные проблемы с классификацией. Первая заключается в том, что классификация должна проводиться теми, кто определяет ценность данных, использует их в ежедневной жизни, зарабатывает на них, — то есть бизнесом, но тот не хочет вникать во все эти сложности, поскольку ему важно одно — чтобы информация была защищена.

Вторая проблема связана с тем, что современные DLP-решения не в состоянии контролировать основные каналы циркуляции конфиденциальной информации — системы видеосвязи, IP-телефонии, базы данных, мобильные устройства и т. д., и это только верхушка айсберга. Современные DLP-решения не в состоянии решить такие классические проблемы классификации, как многокритериальная классификация, передача классифицированной информации за пределы организации, обработка скомпилированных материалов, наличие разных классов информации в одном документе или объекте, динамически создаваемая информация. Иными словами, DLP-решения сегодня находятся в самом начале своего развития и пока не достигли зрелости, которая требуется широкому кругу корпоративных заказчиков.