Кристофер Гулд: «Безопасность прежде всего в людях, технологии — лишь часть решения»
Кристофер Гулд: «Безопасность прежде всего в людях, технологии — лишь часть решения»

Кристофер Гулд, директор услуги в области аудита систем и процессов PriceWaterhouseCoopers, рассказал Computerworld Россия о том, что препятствует развитию российского рынка DLP-решений.

Как часто, на ваш взгляд, в России происходят утечки данных?

Статистику очень сложно найти, так как компании не любят об этом рассказывать, но утечки случаются постоянно. Общество узнает об этом, только если происходят большие скандалы и информация просачивается в прессу. Когда я приехал в Россию семь лет назад, в прессе гремело много историй, например крупная телекоммуникационная компания потеряла клиентскую базу, базы данных с информацией о налогоплательщиках продавались на Горбушке. Даже если взять наш бизнес, где информация имеет очень большую ценность, платежная ведомость одной компании оказалась в широком доступе. Кто-то из сотрудников нашел эту информацию, передал друзьям, те передали своим друзьям...

Чем ситуация различается в России и на Западе?

В России иное отношение к безопасности и иной уровень зрелости компаний, поставляющих соответствующие решения. Здесь рынок ориентируется на специалистов по безопасности и узкоспециализированные проблемы. Люди, занимающиеся предотвращением утечки данных, не всегда понимают, какие данные имеют ценность. В России «милитаристский» подход к безопасности. Строится прочный периметр с межсетевыми экранами и все усилия прилагаются к тому, чтобы не допустить проникновения внутрь. Но если вы сотрудник компании, то имеете доступ к такому количеству информации, которое вам и не нужно для выполнения ваших обязанностей. С другой стороны, если посмотреть, какой подход формировался на Западе в последние 10-15 лет, то можно сказать, что больше внимания уделяется ценности информации. Ресурсы направляются туда, где находится ценная информация, а не на всю информацию подряд. Пожалуй, это самая большая культурологическая разница между Западом и Россией. Но, на мой взгляд, ситуация меняется. Информация начинает и здесь восприниматься как деловой актив, но на эволюцию требуется время.

Какая информация чаще всего утекает и что надо защищать в первую очередь?

Любая информация утекает. Допустим, я хороший сотрудник и решаю взять какой-то документ и поработать с ним дома. Я отправляю его на свой почтовый адрес, и вот данные утекли. О чем надо подумать, так это о том, какие данные важны. В России сейчас один из ключевых моментов — персональные данные. Если посмотреть на закон «О персональных данных» 152-ФЗ, все, что связано с персональными данными, должно защищаться. Если вы в банковском или розничном бизнесе, вы обязаны защищать данные о кредитных картах. Каждая компания должна решать для себя, какую информацию ей защищать. Для разработчиков ПО такой информацией будет программный код, для фармацевтов — рецепт лекарства.

Каким DLP-решениям российские компании больше всего доверяют и почему?

Местный рынок очень незрелый. Если посмотреть на магический квадрант Gartner, продукты из правого верхнего угла, которые очень популярны в других странах, здесь внедряются медленно, так как есть языковые проблемы и порою проблемы поддержки. Популярны продукты, разрабатываемые и поддерживаемые российскими компаниями, несмотря на то что их функционал ограничен, а качество не столь высоко.

Какие именно функции используются?

Когда я приехал в Россию, один из моих первых проектов был связан с предотвращением утечки данных. Компания использовала несколько решений: одно для контроля за электронной почтой, другое — для контроля за веб-шлюзами, третье — для USB-портов. И, я думаю, до сих пор многие компании используют большое число «точечных» решений. На Западе же выходят продукты с интегрированным функционалом.

Что препятствует развитию рынка DLP-решений в России и что может подстегнуть его рост?

С точки зрения поставщиков DLP-решений, главная проблема, на мой взгляд, в управлении, и это связано не только с DLP, но и со всеми решениями по обеспечению безопасности. Информация — деловой актив. ИТ-специалист может отлично разбираться в технической части, но он не всегда понимает бизнес компании, какие данные важны. Поэтому он скорее выберет защиту периметра. Для того чтобы DLP-решения и решения по безопасности в целом были популярны, менеджмент должен взять на себя ответственность за защиту информации. Но DLP — это только часть системы управления информацией, а не просто инструмент, который можно установить и забыть. Поэтому поставщикам технологий нужно говорить не с директором по безопасности и, может быть, даже не с ИТ-директором, а с финансовым директором, операционным, генеральным директором — теми, кто понимает бизнес, понимает риски и обладает средствами, которые можно инвестировать в безопасность.

Во всем мире движущим фактором было законодательство. Если посмотреть на проекты, выполняемые в Великобритании или США, будь то предотвращение утечек данных или контроль за доступом, за ними всегда стоит бизнес, а бизнес подстегивает законодательство.

А что вы думаете о российском законодательстве?

Много говорилось о ФЗ-152. Одно из его достижений в том, что вопросы безопасности были поставлены на уровне менеджмента и совета директоров. В таком смысле это эффективный инструмент. Что касается законодательных актов о защите персональных данных в Европе и США, то все они примерно похожи. Одна из проблем российского закона в том, что он слишком жестко прописывает, как должна обеспечиваться безопасность. Документы ФСТЭК устанавливают технические требования к защите данных. Организуются системы сертификации для средств безопасности. Я не уверен, что это правильный путь. Думаю, о защите данных должен заботиться менеджмент (как того требуют и западные законы), и этого, пожалуй, достаточно. Другая проблема в том, что санкции очень мягкие, в то время как технические решения дорогие. Некоторые считают, что проще заплатить штраф, чем внедрять решение.

Почему российские законы, во многом списанные с западных, не работают?

Вопрос в зрелости рынка. Наверное, поэтому в ФЗ-152 столько технических требований. Западные компании привыкли различать активы по ценности. Здесь же защищалось все подряд. Поэтому, если взять западный закон, говорящий: «Вы должны защищать персональные данные», вам здесь ответят: «Я и так их защищаю, я ведь защищаю все». Нужен какой-то сдвиг в мышлении, чтобы задаться вопросом: «Действительно ли я защищаю все?»

Как ваша компания борется с утечками данных? Ведь они у вас тоже случаются...

Мы многое позволяем нашим сотрудникам, но следим за тем, что они делают. Еще мы проводим много тренингов, объясняем, что можно делать, а что нельзя. Раньше я работал в другой компании из того же сектора. Там все было заблокировано. Например, запрещено было заходить в социальные сети. Но люди все равно находили обходные пути, и из-за этого возникали постоянные конфликты. Здесь же мы следим за тем, что делают сотрудники, и можем остановить их при необходимости. Что-то разрешено, что-то запрещено, но больше всего сил тратится на обучение. Безопасность прежде всего в людях, технологии — лишь часть решения. Да, всегда есть кто-то, кто крадет информацию нарочно. Первая мысль, которая приходит в голову человеку, когда он уходит из компании, — это забрать с собой как можно больше информации. Но можно сделать так, чтобы забрать информацию было нелегко. В нашей компании, например, контролируется процесс копирования данных с корпоративных компьютеров на внешние носители (DVD, флэшки).