15 Ноября, 2012

Почему я не люблю DLP: причина вторая.

Алексей Волков

В предыдущем посте с почти аналогичным названием я поведал вам, дорогие читатели, о первой причине своего скептического отношения к термину DLP: техническое решение, позиционируемое как средство предотвращения утечек данных, попадая в "боевые" условия перестает быть таковым. Максимум, что оно сможет делать - выявлять эти самые утечки, то есть эксплуатироваться в качестве DLD ("дылды"). С другой стороны, если рассматривать развертывание "дылды" как технического средства в составе DLP как системы (то есть "комплекса организационных мер и технических средств ...") - задача выглядит совсем иначе. Стоимость такого внедрения возрастает в разы, и ждать моментального эффекта от внедрения не приходится но, если у потребителя есть долгосрочные планы по снижению рисков, связанных с утечками данных, до приемлемого уровня - он может и потерпеть.

Естественно, вследствие оптимизации процессов обработки информации уменьшится количество потенциальных каналов утечки - соответственно, сократится и число "алертов", с усердием выдаваемых "на-гора" средствами мониторинга. Тем не менее, "дылда", как была "детектором утечек" так им и останется, информация продолжит "уходить", а основным звеном, принимающим решения относительно наличия и отсутствия факта утечки, станет наш с вами коллега-"безопасник", эти "алерты" мониторящий. В этом случае техническое средство будет, с одной стороны, незаменимым помощником "безопаснику". А вот с другой стороны, это же самое техническое средство станет представлять определенную опасность для владельца - того, чью, собственно, информацию "безопасник" и пытается защитить.

Как влияет DLP на "приемлемый уровень" из первого абзаца, и по каким причинам безопасник, вооруженный "дылдой", становится угрозой владельцу - об этом поговорим сегодня. Но сначала - вернемся в офис той самой компании, в гости к двум "дружбанам".

***

"Нда" - сказал я, скорчив озадаченную физиономию, и продолжил изучать "материалы дела". В кабинете ненадолго воцарилась тишина: щелчки, сопровождавшие легкое порхание пальцев Леры по кнопкам клавиатуры, звучали как десятитонные прессы. Первый дружбан нервно теребил ногами, второй, не попадая ему в такт, хрустел пальцами рук, отчего все трое начинали действовать друг другу на нервы.

Подробное ознакомление с перлюстрированными сообщениями позволило установить, что некий сотрудник компании-конкурента и, судя по стилю общения, хороший знакомый "накосячившего" дружбана, просил у последнего "скинуть цену закупа" на товар. В ответ на такую просьбу "дружбан" ответил отказом, после которого последовала еще один вопрос - "сказать хотя бы выше или ниже 10 кусков за партию". Здесь "Штирлиц раскололся", опрометчиво ответив "куда выше", за что получил "спс" в письме и (предположительно) увольнение с публичным порицанием в придачу.

- Послушай, - обратился я к первому дружбану. - В чем загвоздка-то? Конкурент вашей цены так и не узнал, а раз вы покупаете выше 10К - значит он сам виноват, раз слил свой порог принятия решения.
- Да не покупаем мы уже ничего - наконец-то встрепенулся "нарушитель" - мы эту дрянь уже года два как не покупаем, слишком много возврата, и дорогая.

Дружбан - "босс" саркастически ухмыльнулся:

- Умники, блин. Да знаю я все это. Вы пойдите это все нашему безопаснику скажите. Дело-то не в том, ЧТО слил, а в том, что СЛИЛ в принципе. Все теперь знают что этот - последовал кивок в сторону второго - с конкурентами якшается и думают, что он им что-то сливает.
- Ну а ты не якшаешься? - возразил нарушитель - А Петя? Вы же сами с ними водки уже сколько попили.
- Ты дурак или как? - отрезал первый. - Одно дело водку пить и базарить, другое - когда бумага имеется.
- Ну так поговори с Петей, вы же друганы - сказал я первому.
- Поговорю. Но не знаю, получится ли. Раз пошло такое дело - вряд ли Петя с ними станет спорить.
- Почему? - возразил я - сотрудник-то неплохой, вроде?

С этими словами второй напрягся и сел по стойке "смирно". Первый снисходительно посмотрел на второго и молвил:

- Неплохой. Но у Пети какая-то внутренняя неприязнь, лишний раз с ними связываться не хочет. Потому и делает все что они скажут. Он ведь такой же наемный работник как и мы, пусть и директор. Может, сам чего когда накосячил...

***

Известный поэт советских времен Владимир Маяковский говорил: "все профессии важны, все профессии нужны". Но то - поэт и советские времена: в современном же, капиталистическом мире, дело обстоит несколько иначе. Капиталистов, оплачивающих наемный труд, в первую очередь интересует не то, ЧТО делает сотрудник, а ДЛЯ ЧЕГО он это делает и насколько ЭФФЕКТИВНО у него это получается. Вы, дорогие читатели, наверное, уже догадались, что речь идет о KPI - т.н. "ключевых показателях эффективности", головной боли любого "безопасника".

Все знают старую байку о хорошем и плохом сисадмине. Хорошего сисадмина никогда не видно: у него все работает и пользователи довольны, а сам сисадмин тихонько спит в серверной. Плохой же сисадмин носится по офису в грязном свитере и подметает пол бородой, постоянно что-то починяя, и бурчит на пользователей, отчего последние еще больше раздражаются. Но вот какая штука: руководство, периодически наблюдая за кипучей деятельностью сисадмина, снова и снова убеждается в том, что без него им никак не обойтись. Если же все работает и сисадмин спит - у руководства, рано или поздно, может возникнуть вопрос: зачем нам этот бездельник? Поэтому, чтобы не нарваться на карающую длань сократителей зарплат и штатов, вне зависимости от знаний и опыта, сисадмин вынужден быть умеренно-ленивым троечником-середнячком.

Как говорится, в каждой шутке есть доля шутки, и "безопасникам" эта байка хорошо известна. Можно много рассуждать на тему того, что такое безопасность и как, а главное - в чем ее измерить, и не придти ни к каким выводам. Именно поэтому владелец защищаемого актива оценивает уровень его безопасности субъективно, по своим внутренним ощущениям, которые формируются авторитетом и важностью руководителя СБ и словами, регулярно "вдуваемыми" в уши владельца. Но авторитет и важность нужно постоянно поддерживать, слова должны быть подкреплены фактурой, да и остальные, менее "субъективные" подразделения с четко обозначенными KPI, рано или поздно начинают задавать неудобные вопросы. И поэтому авторитетный и важный "безопасник" дает задание разработать KPI. Как правило, получается следующее:

Количество материалов, направленных в правоохранительные органы для возбуждения уголовных дел
0
Проведено служебных проверок по всем фактам правонарушений
3
Всего наказано по материалам СБ
1
Количество докладных записок в адрес руководства предприятий о причинах, условиях, способствующих совершению правонарушений
4
Выявлено фактов разглашения конфиденциальной информации
2
Количество фактов нарушения информационной безопасности
3
Находится в проверке материалов, входящих в компетенцию СБ
4
Совершенствование нормативно-правовой базы в области безопасности (разработано новых, изменено старых документов)
3
Проведено инструктажей
7
Количество выступлений и публикаций
2

Палочная система, в "полный рост" - исключительно количественные показатели, ни о чем, собственно, не говорящие: все качество скрыто там, внутри "докладных записок" и "материалов проверки". Тем не менее, с точки зрения создания положительных субъективных ощущений владельца относительно безопасности актива и поддержания важности и авторитета "безопасника", табличка эта как нельзя лучше отражает ту самую, подкрепляющую слова "фактуру" и, раз она устраивает владельца, имеет полное право на существование.

При этом, возникает интересный парадокс. Предположим, в прошлом месяце СБ обнаружила 2 факта разглашения конфиденциальной информации, в этом - 3, а в позапрошлом - не обнаружила ничего. Возникает вопрос: в каком месяце СБ отработала лучше? Судя по количественным показателем - естественно, в этом, причем динамика явно положительная. Если следовать тренду, то количество таких разглашений должно расти из месяца в месяц, чтобы грешным делом не подумали, что СБ бездельничает, как два месяца тому назад. Представляете - информация все больше утекает (актива становится все меньше), СБ все чаще об этом рапортует и наказывает нарушителей, а владелец все безопаснее и безопаснее ощущает свой собственный актив! В результате, владелец остается вовсе без актива, но с ощущением абсолютной уверенности в его безопасности: чего бояться, когда нечего воровать.

Этот парадокс прекрасно понимают и владелец, и "безопасник", и потому, чтобы не остаться без актива и работы, договариваются о значениях, которые устроят их обоих. Здесь-то и возникает второй, куда более важный парадокс. Понятно, что для владельца оптимальное значение - 0, то есть когда утечек нет совсем. Но это значение не выгодно "безопаснику" из-за того самого "синдрома сисадмина". Владелец тоже прекрасно понимает, что абсолютный ноль недостижим, да и отсутствие информации об утечках не означает отсутствие самих утечек, и потому устанавливает две величины: приемлемую (как правило ноль), и неприемлемую (допустим, 5). "Безопасник" счастлив: палочная система принята и утверждена, "дылда" внедрена и готова к бою и все, что ему нужно - "болтаться" между этими границами. Владелец же, понимая, что наличие "безопасника" никогда не приведет его к заветному "нулю" и осознавая все зло стимулируемой им же самим палочной системы, фактически идет на сделку с собственным карманом: делать нечего, авось "щука в море" не даст "дремать карасям".

Из-за внутреннего страха "безопасника" оказаться невостребованным, из-за необходимости оправдывать высокую стоимость внедрения и поддержки "дылды", "приемлемый уровень" утечек для него всегда оказывается выше, чем для владельца. Более того, "прожженый" безопасник, как питон Каа, умеет оказывать магическое воздействие на владельца, искусственно повышая или понижая показатели в зависимости от ситуации. Ничего общего с реальным состоянием защищенности актива этот процесс не имеет: все манипуляции предназначены исключительно для владельца как единственного зрителя этого шоу, регулярно выкладывающего за билеты на него весьма и весьма большие деньги. И все бы ничего, но в шоу участвуют другие люди, и эти "игры" сказываются не самым лучшим образом на их судьбах, а когда "безопасники" начинают "рыть землю" в поисках показателей - порой и несправедливо.

Но и это не самое плохое, что может случиться. Настоящая DLP-система должна быть беспристрастна сама по себе: обнаружила утечку, предотвратила, выдала алерт с логами, материал ушел всем заинтересованным сторонам (включая владельца) для принятия решения. Куда хуже для владельца - когда "безопасник", вдоволь наигравшись дорогой игрушкой, вдруг осознает, какой мощный инструмент влияния на людей оказался в его руках. Кроме него, в организации есть и другие наемные руководители, некоторые - друзья владельца, авторитетные и уважаемые люди: шут его знает, что они "вдувают в уши" боссу в отсутствие "безопасника". А тут, в одночасье, "безопаснику" в рукава сваливается столько тузов для "подковерной игры" - мама не горюй! И вот тогда, именно в этот момент, для владельца наступает самый страшный случай: "безопасник", самая главная часть DLP-системы, перестает быть беспристрастным и начинает собирать компромат и прятать его под сукно договариваться с совестью. "Приемлемый уровень", при этом, начинает "болтать" далеко за пределами максимума, по усмотрению самого "безопасника": кто-то, допустив большую утечку, может отделаться легким испугом, плотно подсев мягким местом "на крючок", а кто-то за небольшую провинность будет сурово наказан, став жертвой погони за показателями.

Вы, дорогие читатели, конечно скажете - а система-то здесь при чем? Лопатой тоже можно и землю копать, и черепушку проломить - все от человека зависит. Безусловно, это так, и если DLP кому-то здорово помогает работать - это только плюс. Главное понимать, к чему этот "плюс" может привести, и всегда адекватно оценивать и систему, и работу, и себя самого, чтобы не перейти ту тонкую грань, переступить обратно которую будет уже невозможно. Любая система состоит из двух частей - технической и организационной. Поскольку именно на организационную возложена самая главная задача - принять решение и предотвратить, она - и безопасность в общем, и "безопасник" в частности - должна иметь определенный уровень зрелости, особенно моральной, для взаимодействия с технической составляющей, что бывает далеко не всегда. Именно поэтому, за стимулирование палочной системы, искушение и соблазнение "безопасников", DLP, как система, получает от меня второй, заслуженный, минус.

Продолжение следует...
или введите имя

CAPTCHA