Ориентируясь на англоязычное название этого класса продуктов, многие до сих пор считают, что системы DLP предназначены исключительно для защиты от утечек информации. Подобное заблуждение свойственно тем, кто не имел случая познакомиться со всеми возможностями таких средств защиты. Между тем современные системы представляют собой сложные аналитические инструменты, при помощи которых сотрудники отделов ИТ, информационной и экономической безопасности, внутреннего контроля, персонала и других структурных подразделений могут решать различные задачи.
ДЕСЯТЬ ЗАДАЧ
В рамках данной статьи мы не будем касаться верхнеуровневых задач бизнеса, определяемых, согласно методологии COBIT5, на основе взаимосвязи целей бизнеса и ИТ: получение выгод, оптимизация ресурсов (включая расходы), оптимизация рисков. Мы спустимся на уровень ниже и рассмотрим конкретные прикладные задачи, выделив среди них те, в решении которых могут помочь современные системы DLP.
I. Изобличение недобросовестных сотрудников:
- обнаружение фактов передачи защищаемой информации;
- выявление экономических преступлений;
- фиксирование фактов неэтичного общения;
- архивирование событий и управление инцидентами.
II. Снижение рисков и повышение общего уровня информационной безопасности:
- блокирование каналов утечки и/или определенных информационных сообщений;
- выявление систематического нарушения сотрудниками принятой политики безопасности.
III. Обеспечение соответствия законодательным и иным требованиям (compliance):
- категоризация информации;
- выполнение постановлений регуляторов и помощь в достижении соответствия требованиям стандартов и лучших практик.
IV. Анализ и повышение эффективности процессов:
- прогнозирование и выявление возможных проблем с сотрудниками;
- анализ потоков данных и хранимой информации.
ЧУЖОЙ СРЕДИ СВОИХ
Изобличение недобросовестных сотрудников позволяет вовремя принять необходимые управленческие решения (в том числе юридически грамотно расстаться с такими людьми). Для этого необходимо обнаружить сам факт события, правильно его интерпретировать и классифицировать, обеспечить хранение найденных свидетельств.
Обнаружение фактов передачи защищаемой информации нелегитимным получателям является самой востребованной функцией систем DLP. Обычно система настраивается на выявление сведений, составляющих коммерческую тайну, персональных данных, номеров кредитных карт и другой конфиденциальной информации (в зависимости от отрасли и специфики конкретной организации).
По данным аналитического центра InfoWatch, чаще всего случаются утечки персональных данных, а на втором месте — сведения, составляющие коммерческую тайну (см. Рисунок 1).
.png) |
| Рисунок 1. Распределение утечек по типам данных (за 2012 год). |
В зависимости от конкретного решения, системы DLP могут отслеживать и анализировать следующие основные каналы передачи информации: электронная почта, передача данных через Интернет (социальные сети и форумы, файлообменные сервисы и облачные хранилища, Web-доступ к электронной почте и другие), копирование на внешние носители, печать документов.
Выявление экономических преступлений не является основной задачей систем DLP. Тем не менее довольно часто анализ переписки позволяет обнаружить подготовку к ним или уже факт совершения неправомерного действия. Таким образом обычно удается обнаружить обсуждение схем «откатов» и другие несанкционированные переговоры, способные нанести вред компании.
Помимо этого, печать пустых бланков с печатями и подписями или их пересылка кому-либо тоже может косвенно свидетельствовать о возможной подготовке к подлогу документов. Но не стоит надеяться на системы DLP как на панацею — подготовку такого рода преступлений скрыть несложно.
Фиксирование фактов неэтичного общения происходит в результате анализа переписки сотрудников между собой и с внешними получателями. Современные системы DLP способны идентифицировать агрессивное и деструктивное поведение — например, подстрекательство и призывы к саботажу, «психологический террор», «троллинг», угрозы и оскорбления. Совсем недавно одному моему коллеге удалось пресечь потенциальное преступление: система DLP обнаружила в переписке двух сотрудников сговор с целью причинения телесных повреждений третьему сотруднику.
Архивирование и систематизация всех информационных сообщений необходимы для дальнейшего расследования инцидентов и обеспечения юридической значимости доказательств. Мало уметь выявлять инциденты, нужно еще сохранить добытые сведения и предоставить удобный механизм для их анализа.
«ПЛОМБИРОВАНИЕ» КАНАЛОВ
Снижение риска утечки защищаемой информации достигается путем постоянного контроля и блокирования каналов утечки, а также благодаря предупреждению пользователей, замеченных в нарушении политики безопасности.
Исследование Ponemon Institute (отчет ‘‘Is Your Company Ready For A Big Data Breach?’’) показало, что за последние два года треть опрошенных компаний зафиксировала более 1000 случаев утечки конфиденциальной информации: у 48% утечка данных случилась лишь однажды, у 27% — дважды, 16% сталкивались с подобными инцидентами до пяти раз, 9% зафиксировали более пяти случаев утечки. Это говорит об актуальности рассматриваемых угроз.
Блокирование каналов утечки и/или определенных информационных сообщений может существенно снизить риски утечки информации. Для этого существует несколько подходов: блокирование портов ввода-вывода, запрет доступа к определенным категориям сайтов (файлообменникам, электронной почте) и/или анализ содержания передаваемых сообщений и последующее блокирование передачи.
В некоторых случаях системы DLP позволяют обеспечить выявление систематических нарушений сотрудниками принятой политики безопасности: передача сообщений третьим лицам в открытом (незашифрованном) виде, вывод документов на печать без проставления определенных грифов, случайная отправка электронных писем посторонним адресатам.
СТРОГО ПО ФОРМЕ
Выполнение формальных требований регуляторов и/или рекомендаций лучших практик (best practices) может соотноситься с задачами первой и второй группы, однако рассматривается отдельно.
Автоматизированная категоризация информации является дополнительной возможностью, предоставляемой некоторыми системами DLP. Как это работает? Система DLP сканирует рабочие станции и серверы для выявления файлов определенных типов и, используя различные технологии анализа, принимает решение об отнесении документов к тем или иным категориям.
Данная возможность может быть весьма полезной, так как, по нашему опыту, лишь малая часть компаний имеет актуальные перечни сведений конфиденциального характера, без чего невозможно понять, какие документы являются конфиденциальными, а какие нет.
Использование систем DLP позволяет добиться выполнения некоторых требований регуляторов (например, приказы ФСТЭК России № 21 и № 17, положение Банка России № 382-П) и лучших практик (ГОСТ/ISO 27001, СТО БР ИББС, COBIT5, ITIL). Системы DLP помогают при категоризации информации, ограничении мест ее хранения, управлении событиями и инцидентами, управлении внешними носителями, контроле передаваемых сообщений и во многих других случаях.
ЧТО СТОИМ, ЧЕГО ЖДЕМ?
Системы DLP могут использоваться для анализа потоков данных и хранимой информации — например, для выявления фактов хранения информации ограниченного доступа в неразрешенных местах, определения излишней нагрузки на электронную почту при наличии файлового хранилища и других. Они выявляют возможные узкие места в бизнес-процессах, возникающие из-за неудовлетворительного поведения и неудовлетворенных ожиданий персонала, а также нерациональных способов хранения, передачи и обработки информации.
Прогнозирование и выявление возможных конфликтов интересов реализуется путем анализа переписки сотрудников и другой их активности в социальных сетях и на различных интернет-ресурсах. При необходимости системы DLP способны «понять», кто собирается покинуть компанию (поиск работы или обсуждение полученных предложений), нецелевым образом использует корпоративные ИТ-ресурсы (слишком продолжительное общение в социальных сетях, печать на принтере личных документов, книг и фотографий, посещение игровых сайтов и тому подобное), негативно реагирует на управленческие решения. Эти вопросы относятся скорее к компетенции отдела кадров и линейных руководителей, а не службы безопасности.
КАКОВЫ ЗАДАЧИ?
Внедряя систему DLP или только задумываясь о ее развертывании, важно иметь четкое представление о том, какие задачи она будет решать. Без этого трудно не только выбрать производителя решения, но и правильно сформулировать требования к функционалу и настройкам. Если фокусироваться именно на решении задач, а не на перечне функциональных возможностей, то это позволит четко обосновать целесообразность внедрения DLP и для ИТ-подразделения, и для предприятия в целом.
Андрей Прозоров — ведущий эксперт по информационной безопасности InfoWatch, блогер.