Новые подходы к совместной работе, адаптация социальных инструментов в бизнес-практике и обращение к открытым профессиональным сообществам все сильнее уводят корпоративные данные из-под контроля традиционных инструментов защиты и уже требуют иных решений. Широкое распространение мобильных устройств вообще делает понятие сетевого периметра иллюзорным – важнейшие корпоративные данные оказываются на платформах, которые компании не принадлежат, а переход к облачной модели способен полностью вывести корпоративные ресурсы из-под внутреннего контроля, ставя совершенно новые задачи в области обеспечения безопасности. Никакая компания не согласится на перенос своих критически важных бизнес-приложений в облако без гарантий защиты данных.
Аналитики Forrester Research отмечают, что сейчас компаниям все чаще приходится контролировать данные, которые фактически им не принадлежат. Для предприятий аэрокосмической и автомобильной отраслей, практикующих глобальное разделение труда, наиболее незащищенными оказываются производственные ноу-хау, спецификации материалов и другие компоненты цифровой разработки изделий. Однако то же самое сегодня можно сказать практически о любой компании, предоставляющей своим сотрудникам возможность работать с корпоративными приложениями с личных смартфонов или экспериментирующей с облаками.
Острота и новизна проблем информационной безопасности определяет вполне благополучное состояние рынка средств защиты даже на фоне экономических неурядиц последнего времени. В Forrester прогнозируют быстрое восстановление расходов на приобретение новых технологий информационной безопасности и полагают, что наибольшую динамику в 2010 году продемонстрирует именно направление защиты данных. Опросив тысячу руководителей американских и европейских компаний, исследователи из Forrester выяснили, что 89% считают задачу защиты корпоративных данных одной из наиболее приоритетных в области информационной безопасности (см. рисунок). Около трети планируют увеличение в 2010 году бюджетов на защиту данных по крайней мере на 5%. В условиях рецессии крайне мало респондентов признались в намерении сократить эту статью бюджета.
Защита данных: стратегия
Департаменты информационной безопасности сегодня оказались в непростой ситуации. С одной стороны, растущие объемы информации и развитие средств доступа к ним открывают новые возможности для работы, и инструменты защиты не должны этому препятствовать. С другой эти же факторы подвергают данные серьезным угрозам потери и нарушения конфиденциальности. Кроме того, все большее число корпоративных информационных ресурсов вовлекается в процессы обеспечения соответствия важным индустриальным стандартам и государственным регулятивным нормам.
Постоянный рост объемов данных, с которыми должны работать компании, стал одной из ключевых тенденций последнего времени. Это справедливо для всех типов данных, включая структурированные, которые хранятся в базах и составляют, по мнению аналитиков Aberdeen Grouр, порядка 40%, и неструктурированные. Аналитики отмечают, что риск потери существует для всех типов данных, передаваемых по многочисленным каналам утечки и может быть связан с различными сценариями поведения пользователей. Правда, большинство организаций оценивают этот риск скорее интуитивно, чем основываясь на классификации данных и формировании политик их защиты, исходя из анализа рисков и необходимости выполнять регулятивные требования и рекомендации, а также стандарты, такие как PCI DSS, ISO 2702 и COBIT.
Хотя участники исследования Aberdeen считали высоким риск потери структурированных данных, аналитики отмечают ряд особенностей неструктурированной информации, порождающих серьезные проблемы с их защитой. В частности, неструктурированные данные легко растиражировать, их можно быстро переместить внутри организации и далеко за ее пределы. Даже если определены политики относительно использования неструктурированных данных и сотрудники компании о них информированы, в своей повседневной работе они умышленно или неумышленно склонны их игнорировать. Этому способствует в том числе активное распространение корпоративных порталов для совместной работы и использование разнообразных инструментов социальных сетей для решения бизнес-задач. Все это дало повод аналитикам сравнить неструктурированную информацию с ртутью – вспомним, что произойдет, если разбить обычный термометр. Попытки собрать его содержимое, которое оказывается раздробленным на множество крошечных ртутных шариков, часто приводят к еще большему усугублению проблемы.
Что касается каналов утечки, то корпоративная стратегия информационной безопасности в идеале должна обеспечивать идентификацию, классификацию и защиту важной для бизнеса информации во всех процессах ее использования: на конечных устройствах, при передаче по сети или хранении во внутренних хранилищах. Наиболее высокие риски утечки данных связаны с так называемыми «конечными точками» (endpoint). В список таких точек входят ноутбуки, которые могут быть потеряны или украдены, электронная почта, USB-носители и другие устройства, точки беспроводного доступа, оптические диски, мобильные устройства, различные онлайн-каналы.
В Aberdeen выделяют три типа поведения пользователей, которые могут стать причиной потери данных: неумышленное (inadvertent), намеренное (intentional) и злонамеренное (malicious). Интересно, что в организациях, где реализована хорошо продуманная стратегия защиты данных, риски ненамеренного раскрытия данных вполне благонадежными пользователями оцениваются аналитиками как более серьезные, чем угроза злоумышленных вторжений извне. Наладив необходимые меры защиты от злонамеренных угроз, такие компании сосредоточивают усилия на предотвращении потери данных из-за случайных пользовательских ошибок или действий лояльных сотрудников, приводящих к потере конфиденциальных данных в ходе выполнения ими своих повседневных обязанностей.
Организациям настоятельно рекомендуется обратить внимание на то, что защита данных – это не набор технологий, а комплекс мер, который должен включать в себя подготовку персонала, организацию процессов защиты данных и технологическую поддержку. Прежде всего нужно сформулировать согласованные политики защиты данных исходя из специфики бизнеса и необходимости следовать индустриальным стандартам и нормативным требованиям. Эти политики должны касаться данных на всем «пути их следования», определять правила и ограничения относительно доступа к ним, их распространения и действий над ними. Примерами политик защиты корпоративных данных могут служить запрет на копирование и модификацию определенных типов данных, ограничения в использовании различных внешних носителей, запрет на печать, разрешение записи только на защищенный носитель и т.д.
Определению политик должны предшествовать идентификация и классификация корпоративных данных, без которых предприятию сложно получить четкое представление о том, какой информацией оно оперирует, какова степень ее важности, какие сведения требуют соблюдения строгих мер безопасности, на какие должны распространяться другие правила защиты. Так, аналитики Forrester относят к данным, требующим определения корпоративных политик защиты: финансовую информацию, например данные о держателях банковских карт; непубличную персональную информацию; персональную информацию о состоянии здоровья.
В Aberdeen считают наиболее ценной для бизнеса и потому требующей защиты следующую информацию: прямо или косвенно влияющую на получение прибыли (данные подписки, программы, сервисы); имеющую отношение к получению прибыли в будущем (исследования, планы разработки новой продукции, базы данных клиентов, интеллектуальная собственность); важную для обеспечения работоспособности компании (финансовые, административные, операционные данные); данные, защита которых требуется по закону (персональные данные, записи о пациентах, данные о держателях банковских карт и т.д.).
Определенная сложность связана с неструктурированными данными, для которых трудно задать четкий шаблон установления привилегии доступа – их «ртутная» природа затрудняет выявление владельцев информации и контроль за ее распространением. Если рядовой сотрудник финансового отдела готовит электронную таблицу с данными финансового анализа, кто отвечает за определение прав доступа к этой таблице – сам сотрудник или кто-либо еще? Сохраняя таблицу на файловом сервере, сотрудник открывает ее для других служащих финансового отдела, которые имеют соответствующие права доступа к этому хранилищу информации. Но могут ли они дальше передать копию этих данных менеджеру продукта по его запросу или просто приятелю в отделе продаж? На эти вопросы должны отвечать корпоративные политики защиты данных.
Если политики определены, организация должна обеспечить их выполнение, включив в повседневные рабочие процессы систематические действия по контролю, что подразумевает централизованный сбор информации, связанной с защитой данных, выполнение нормативных требований, стандартизацию процессов аудита, анализа и отчетности. Аналитики Aberdeen отмечают, что такой стратегический подход к контролю за соблюдением политик в отношении неструктурированных данных пока применяет лишь небольшое число компаний даже среди наиболее продвинутых в вопросах информационной безопасности: по данным прошлогоднего исследования, только 29% таких организаций используют подобные процессы в своей практике. Тем не менее аналитики настаивают на их необходимости, в том числе в качестве действенного средства сокращения операционных затрат на защиту данных. Кроме того, должны быть стандартизованы действия в ответ на инциденты, связанные с нарушением политик безопасности, и анализ их причин.
В Forrester призывают сделать персонал компании первой линией защиты данных, но для этого сотрудники должны как минимум пройти обучение и получить полное представление о политиках безопасности, принятых в организации, о технологиях, выбранных для их поддержки, и своих обязанностях по их соблюдению.
Защита данных: технологии
Аналитики Aberdeen подчеркивают, что риск потери данных не может быть связан лишь с каким-либо одним их типом, каналом утечки или типом поведения пользователей, поэтому наиболее эффективным подходом к защите данных является комбинация следующих трех основных групп технологий:
- обнаружение и классификация данных;
- мониторинг и фильтрация данных – в Web, электронной почте, базах данных, на границах сетевого периметра;
- защита данных в конечных точках – шифрование файлов и папок, USB-носителей, электронной почты, дисков, каналов передачи данных, управление ключами, контроль портов, агентские системы защиты от утечек данных.
При развертывании решений мониторинга и фильтрации данных компании, естественно, фокусируют внимание на потенциально наиболее опасных каналах утечки, которыми, как показывает проведенное в июне 2009 года исследование Aberdeen, они считают Web, электронную почту и базы данных. Точно так же защита конечных точек, в частности шифрование, реализуется для наиболее уязвимых приложений и носителей, которыми, по данным опроса, оказались электронная почта, жесткие диски и, в несколько меньшей степени, USB-устройства. Кроме того, по мере более широкого распространения различных технологий шифрования компании уделяют все больше внимания инструментам централизованного управления ключами шифрования.
Системы защиты от утечек или потери данных (data leak prevention или data loss prevention, DLP) являются ключевым элементом современного ландшафта технологий защиты данных. В результате процессов развития и консолидации рынка существующие сегодня DLP-продукты уже трудно отнести к какой-то одной из перечисленных групп, поскольку на деле они могут включать в себя практически все их компоненты, в том числе средства обнаружения и классификации данных, средства защиты данных от утечек при передаче по сети или в конечных точках и даже инструменты шифрования.
В Forrester определяют DLP как технологию обнаружения и, опционально, предотвращения нарушений корпоративных политик использования, хранения и передачи важной для бизнеса информации. Аналитики Aberdeen относят к DLP технологии обнаружения, мониторинга и подключения механизмов контроля на базе политик для защиты важных данных, где бы они ни находились, на этапе хранения, передачи по сети или в процессе использования. В Forrester конкретизируют возможные каналы утечки данных, требующие защиты, относя к ним электронную почту, протоколы HTTP и FTP, системы обмена файлами, технологии копирования и печати, USB и другие мобильные носители, базы данных и системы мгновенных сообщений.
В отличие от систем контроля доступа, DLP-системы должны иметь представление о защищаемой информации для обеспечения корректных настроек, соответствующих принятым политикам безопасности. Для DLP важна предварительная идентификация информации, которая может быть реализована различными способами, например путем создания общих правил, которые будут описывать критичные к утечкам данные по определенным словам или фразам, источникам их происхождения или адресатам передачи, по автору или другому контексту. После определения перечня данных, подлежащих защите, организация может установить сенсоры системы DLP на выходных узлах сетевого периметра, хост-компьютерах или конечных точках. При соответствующей договоренности с партнерами сенсоры DLP могут работать и на компьютерах внешних организаций, вовлеченных в бизнес-процессы компании.
По свидетельству Aberdeen, большинство организаций, использующих DLP-системы для защиты неструктурированных данных, добиваются значительного снижения числа инцидентов, связанных с потерей данных, выявлением несоответствия нормативным нормам в ходе различных аудитов или простыми ошибками сотрудников вследствие нарушения корпоративных политик защиты данных. Но при этом аналитики выявили еще один, на первый взгляд парадоксальный факт. Среди активных пользователей DLP-решений для защиты неструктурированной информации лишь немногие уделяют серьезное внимание процессам обнаружения и идентификации данных, критичных к утечкам и потерям. Хотя именно эта функциональность в составе DLP-решений или реализованная автономно считается важнейшим компонентом продуманной стратегии защиты корпоративных данных. Причина, как выяснили в Aberdeen, кроется в том, что большинство пользователей систем DLP (78% участников исследования, проведенного в октябре прошлого года) одновременно применяют какой-либо программный пакет для совместной работы, преимущественно Microsoft SharePoint, и просто заранее знают, где сосредоточены их основные неструктурированные данные, – в центральном репозитории. Инструментарий совместной работы упрощает и ускоряет создание и бесконтрольное распространение неструктурированных данных в масштабах организации. Так, по данным Aberdeen, 82% пользователей SharePoint отмечают ежегодное увеличение объемов таких данных в среднем на 4%. Это преимущественно данные в различных форматах Microsoft Office, Web-страницы и pdf-файлы. И хотя SharePoint, как и средства совместной работы других поставщиков, включают в себя функции безопасности, децентрализованное распространение серверов совместной работы для решения задач различных бизнес-групп, характерное сегодня для многих организаций, мешает согласованному применению этих возможностей. Как следствие, существенно повышается риск потери неструктурированных данных, создаваемых в таких системах, поэтому компании предпочитают сосредоточить свои усилия на предотвращении рисков, связанных с этими известными источниками важной информации.
Как отмечают в Forrester, основные функции, возложенные на системы DLP, – это фильтрация внешних «токсичных» данных, циркуляция которых в корпоративной сети может привести к нарушению конфиденциальности или соответствия регулятивным нормам, а также защита внутренней «секретной» информации, например торговых секретов или корпоративных стратегических планов. По данным аналитиков, около 70% американских и европейских компаний используют продукты DLP прежде всего для решения первой проблемы, а не для защиты конфиденциальной информации, однако ведущие поставщики таких систем реализуют и ту и другую функциональность.
В аналитической компании Burton Group отмечают, что системы DLP начинались с отслеживания информации «на ее пути» по сети, но сейчас многие продукты объединяют возможности сетевого мониторинга с аналогичными функциями в отношении данных, находящихся в процессе использования. Системы могут идентифицировать важные данные на конечных устройствах, а также их владельца и контролировать изменения таких данных, полностью блокируя их или посылая сообщения нужному лицу в случае нарушения связанных с этими данными политик.
Системы DLP становятся все более комплексными. По данным Burton Group, поставщики работают над их интеграцией с системами управления идентификацией, чтобы дать компаниям возможность четко определять пользовательские роли и осуществлять мониторинг действий конечных пользователей при работе с критичными данными.
Кроме того, ряд производителей начали включать в DLP-пакеты функции управления корпоративными правами (enterprise rights management, ERM), позволяющие информации самой защищать себя путем включения политик ограничения доступа непосредственно в документы и их автоматического применения независимо от того, где информация находится или куда передается. В Forrester считают, что ERM пока не получает широкого распространения и остается нишевой технологией для компаний, которые вынуждены постоянно решать проблемы защиты интеллектуальной собственности. В отличие, например, от антивирусов, системы ERM решают частные проблемы отдельных организаций, и это, наряду с дороговизной и сложностью существующих решений, не позволяет говорить о массовом рынке ERM. Однако, по мнению аналитиков, интеграция DLP и ERM пойдет на пользу обоим типам решений. При работе в составе ERM-решений DLP получат развитые функции шифрования документов и управления политиками. С другой стороны, интегрированное решение с помощью сканеров DLP будет более простым способом выявлять документы, нарушающие политики безопасности, на файловых серверах и конечных устройствах и применять к ним шаблоны ERM. В итоге такой симбиоз поможет ERM из категории вертикальной нишевой технологии перейти в статус горизонтального решения, полезного для любых организаций. Об активизации процесса объединения возможностей защиты от утечек данных и управления корпоративными правами говорят альянсы ведущих поставщиков DLP, таких как McAfee, RSA Secutity, Symantec, с основными представителями экосистемы ERM – Adobe Systems, Microsoft и Oracle.
По данным Forrester, к концу 2009 года около трети североамериканских и европейских компаний, участвовавших в исследовании аналитиков, использовали системы DLP, но рынок ждет расширение, и к 2012 году эти продукты возьмет на вооружение как минимум половина всех компаний.
На поле DLP
RSA, подразделение EMC. Комплекс RSA Data Loss Prevention Suite реализует функции обнаружения, мониторинга и защиты данных от потери, утечки и неправильного использования в центрах данных, при передаче по сети и в конечных точках. Партнерство с Microsoft позволило RSA расширить возможности своего решения функциями управления корпоративными правами.
Symantec. Система Symantec Data Loss Prevention – результат приобретения в 2007 году компании Vontu, стартапа в области DLP, – обеспечивает обнаружение, мониторинг и защиту конфиденциальных данных на этапах хранения и использования и передачи по сети.
McAfee. Комплекс McAfee Total Protection for Data обеспечивает предотвращение потери данных, шифрование, аутентификацию и контроль защиты на базе политик, а также защиту от неавторизованного доступа к важным данным, где бы они ни находились.
Websense. Комплекс Websense Data Security Suite состоит из четырех интегрированных модулей, которые отвечают за обнаружение и классификацию распределенных корпоративных данных; мониторинг того, кто и как использует данные; защиту данных в соответствии с заданными политиками; интеграцию с средствами защиты конечных точек.
CA. В результате приобретения в январе 2009 года компании Orchestria, CA смогла предложить DLP-решение Orchestria Product Suite, которое реализует функции предотвращения потери данных в различных местах, включая сеть, серверы электронной почты, конечные устройства и среды хранения, на единой платформе инфраструктуры и управления. CA намерена развивать возможности DLP во взаимосвязи со своими технологиями управления идентификацией.
Наблюдатели также выделяют на рынке DLP такие компании, как Verdasys, которая предлагает собственные функции DLP для конечных точек и защиту от утечек в сети в партнерстве с компанией Fidelis; NextLabs, интегрирующую функции DLP с управлением идентификацией, а также Vericept, Workshare и Trend Micro.
Неформальная защита
Закон «О персональных данных» вводит понятие «персональные данные» и указывает на виды их защиты, однако конкретные меры защиты перечисляются в подзаконных актах и приказах заинтересованных ведомств. Характер следования именно этим приказам и определяет, будет ли защита реализована формально либо действительно обеспечит сохранность персональных данных.
