26 Декабря, 2012

Я не люблю DLP? Почему?!

Алексей Волков
В канун Нового года, когда все мы, изрядно подустав от отчетов и остаточной беготни, пытаемся вышибить рабочий клин предпраздничными хлопотами и желаем заряжаться позитивом, автор этого блога заканчивает серию постов про DLP , тоже на позитивной ноте. Ну не могу я испортить читателям хорошее настроение - и так наговорил много нелестного о неплохой, в общем-то, идее: настало время похвалить ее "хромую" реализацию. Кроме того, надо поздравить Вас с праздниками - а как поздравлять, когда тут такое... Но избранный для публикации жанр требует - поэтому, чтобы все было "по уму", снова начну "за упокой", а вот закончу - "за здравие".

Резюмируя предыдущие части, позволю себе еще раз обозначить причины, по которым перед ключевым словом, создающим эмоциональный окрас всей эпопеи присутствует предлог "НЕ", мешающий стать DLP вершиной ИБ-эволюции:

  1. Технологическая часть несовершенна ;
  2. Организационная составляющая затратна ;
  3. Законность применения под большим вопросом , да и "безопасники" бывают всякие ;
  4. Бизнес-ценность крайне сомнительна .

Критики, конечно, абсолютно правы - никакой Америки я не открыл: об этом столько уже понаписано, столько вокруг каждого из пунктов всего поломано (и копий, и зубов, и языков), что пора бы уже придти к какому-то знаменателю. Но, к сожалению, универсальной методы, позволяющей однозначно обосновать законность, необходимость и целесообразность применения подобного класса решений в каждом конкретном случае нет и по сей день. Поэтому все участники рынка поступают так, как привыкли поступать: заказчики, кто хочет (!) - тот использует, а вендоры и интеграторы, загнанные в угол не слишком дальновидными маркетологами, выдумавшими и распиарившими бравурную по форме и пустую по содержанию аббревиатуру, вынуждены из этого угла выкарабкиваться, придумывая новые "фенечки" вроде BigData но, при этом, яростно защищая так не любимую мной аббревиатуру.

Да-да, именно АББРЕВИАТУРУ - потому что, отбросив всю эту маркетинговую чушь про предотвращение чего-то там (и стоимость всех псевдоуслуг по созданию "защищенного периметра"), мы получим вполне себе сносный инструмент технического контроля процессов обмена данными в ИТ-инфраструктуре. Конечно, законности это не прибавит но, при определенных условиях (одним из которых является хорошая юридическая "обвязка", в том числе и с точки зрения формулировок), способно существенно снизить риски возможных претензий со стороны Фемиды.

"Что за хрень?" - справедливо заметил в своем комментарии к 3 части Anton Chuvakin - "если не блокирует все-все-все, то ценности нет совсем?" Попробуем разобраться. Где же взять рядовому российскому добывающе-перерабатывающему или торгово-закупочному предприятию ту самую бизнес-ценность, способную связать виртуальный псевдоактив, над которым "трясутся" ИБ-шники, и реальные "бабки"? К сожалению или к счастью, на пустом месте она не появится - для этого существует несколько условий. Первое условие - определенная степень вовлечения информационных технологий в ключевые бизнес-процессы. Как только управление курсором на мониторе становится эквивалентом управлению какими-то реальными активами - можно сказать, условие начинает выполняться.

Второе условие - наличие в организации человека, "присматривающего" за реальными активами, иными словами "экономического безопасника". Эти ребята работают в ворде и экселе с многочисленными отчетами и, как правило, не понимают всех тонкостей современных технологий, но им это и не надо. Волка, как известно, ноги кормят - и потому хороший ЭБ-шник всегда "в полях": общается с "агентурой", ездит к знакомым в УВД и к знакомым жуликам, словом - хорошо делает работу "корпоративного оперативника". Правда, после того, как в 2010 году из Федерального закона " О частной детективной и охранной деятельности " вместе с 4 разделом исчезла статья 14, дававшая право организациям создавать эти самые "службы безопасности", делает он ее тоже не совсем законно. Но он, спрятавшись за вывеской "общих вопросов" продолжает делать ту же работу: не в милицию полицию же собственнику идти, и не в ФСБ, со своими-то пустяками.

Наконец, третье условие - это "критическое" количество использующих в работе ИТ "подозрительных" сотрудников организации, перекрывающее возможности ручного контроля со стороны имеющегося штата ЭБ-шников. Для полного "счастья" ИТ, используемые сотрудниками, должны быть разнообразны, бизнес должен быть масштабным и денежным, а мошеннические схемы - сложны и многогранны, с относительно длительным периодом подготовки, относительно большим числом ложных/не отраженных в информационной системе операций и относительно большим числом участников.

Может ли "оперативник", оперируя только "агентурными данными", выявить мошенническую схему? Да, но на это уйдет много времени, да и "агентура" иногда склонна к искажению информации. "Ковырять" те самые "технологии" можно, но нужно знать, что смотреть среди потока в миллион транзакций в минуту. Остается старый, добрый и хорошо проверенный СОРМ, корпоративную роль которого играет "та самая" DLP. Поставив "на контроль" выявленного через "агентуру" потенциального "мошенника", ЭБ-шник получает как минимум круг его контактов, что уже немало - чего уж тут говорить о содержании информационного обмена. Конечно, СОРМ - дело исключительно государственное, но мы-то помним про то, что и безопасность - дело тоже государственное, а служба безопасности в России есть только одна - Федеральная.

Получается два интересных парадокса. Во-первых, не совсем законно существующий "корпоративный оперативник" использует в своей работе не совсем законное техническое средство. Во-вторых, как я уже говорил, в информационных технологиях ЭБ-шник не совсем подкован но, при этом, именно он является наиболее заинтересованной стороной в существовании такого инструмента, точнее - в тех данных, что он предоставляет, потому как именно благодаря данным ЭБ-шник "распутывает" сложные и многоходовые мошеннические комбинации и выдает реальные (!) бизнес-показатели в виде предотвращенных или возмещенных потерь, выраженных в ДЕНЬГАХ.

Место ИБ-шника в этой конструкции вы, дорогие читатели, скорее всего уже определили: именно он должен стать недостающим для ЭБ-шника источником знаний и практического опыта, способным не только определить каналы обмена данными, подобрать приемлемое техническое решение и эксплуатировать его, но и рассказать ЭБ-шнику о таких решениях (он ведь может и не знать), да так, чтобы тот немедленно побежал к "бизнесу" за деньгами. Иными словами, инструмент контроля должен стать "внутренним" сервисом, а ИБ-шник, постоянно оставаясь собой, должен сначала побывать в роли продавца этого сервиса, затем - в роли ИТ-шника и юриста, а потом стать сервис-провайдером для своего же, внутреннего заказчика.

Чем хороша такая схема? Тем, что все довольны. ЭБ-шник, как потребитель сервиса, выдает с его помощью измеримые в деньгах KPI. Бизнес, сравнивая KPI ЭБ с затратами на содержание сервиса, осознает экономическую целесообразность его существования. ИБ-шник же, разработав внутренний SLA на оказание такой "услуги", на его основе сформирует свои KPI, которые будут подтверждаться внутренним заказчиком, и всем будет понятно, за что ИБ-шник (в том числе) получает свои деньги.

К огромному сожалению, подавляющему большинству вендоров-интеграторов все это не ведомо, и потому, гастролируя по России-матушке с семинарами, они усердно продолжают наступать на те же грабли: вместо того, чтобы научить ИБ-шников и помогать им заинтересовать "внутренних заказчиков" бизнес-преимуществами такого сервиса, они пытаются убедить потенциальных сервис-провайдеров в том, что именно их техническое решение - самое функциональное, а консалтинговые услуги, идущие "в нагрузку" - самые крутые, и потому все это очень дорого. ИБ-шник же, выйдя с такого семинара, помимо поверхностных знаний о техническом решении, не выносит ровным счетом ничего.

Что же со всем этим делать? На правах автора, позволю себе дать пару рекомендаций. Первая - вендорам и интеграторам: будьте честными с заказчиками и не давайте маркетингу и алчности взять верх над реалиями и здравым смыслом. Это, конечно, бывает тяжело, но поверьте - так гораздо лучше. Что касается непосредственно DLP - здесь, я думаю, все понятно: называйте вещи своими именами, перестаньте промывать мозги ИБ-шникам и ИТ-шникам и займитесь уже, наконец, теми, кому действительно это нужно. Не умеете сами - наймите профессионалов от ЭБ и хороших юристов, способных рассказать о практиках внедрения, применения и судебных прецедентах. Может, тогда у вас и появится шанс переломить ситуацию .

Вторая - коллегам ИБ-шникам. К сожалению, дорогие друзья, некоторые представители "нашего" направления, зарываясь в процессе под названием "защита информации", не видят дальше "собственного носа" и не могут объяснить, зачем и кому это, собственно, нужно. Многие думают, что ИБ/ЗИ - это нечто само собой разумеющееся - то, что в современном мире должно существовать как данность, и потому в ответ на вопрос бухгалтера "зачем нужен антивирус" отвечают "ты что - дурак? чтобы защищаться от вирусов".

Практика показывает, что это совсем не так, и бизнес воспринимает ИБ как "вторичное" подразделение - нечто, что денег точно не приносит. Поэтому ИБ-шник должен воспринимать себя и свою работу как внутренний сервис, позволяющий сохранить то, что заработали "ключевые", "добывающие" подразделения, и на всю свою деятельность смотреть через призму внутреннего сервис-провайдера, ежедневно продающего "ключевым" подразделениям свои услуги. Как только это случится, как только будут определены внутренние и внешние заказчики ИБ как сервиса и параметры, по которым можно оценить сервис - так сразу появятся и KPI, и экономическое обоснование ИБ в организации.

Искренне желая всем читателям удачи, здоровья и побольше денег, автор поста обещает рассмотреть эти вопросы в Новом, 2013 году, здесь, у себя в блоге.

Всех с наступающими праздниками, и до новых встреч!

или введите имя

CAPTCHA
Рус
26 Декабря, 2012
"дававшая право организациям создавать эти самые "службы безопасности", делает он ее тоже не совсем законно" - это как бы неверно
0 |
Ovix
27 Декабря, 2012
написано эмоционально, много изложено некорректно и неверно. Все свалено в одну кучу: и ИБ, и DLP .... Непонятно, что в итоге хотел сказать автор, его ключевую мысль: то ли про кривизну пои реализации ИБ, и как следствие неправильную реализацию DLP, то ли как с его точки зрения надо делать ИБ (без относительно исходных параметров, таких как масштаб предприятия, технических реализаций КСЗИ, или СОИБ, или СУИБ, без привязки к информационным активам и классификации их)
0 |
Алексей
28 Декабря, 2012
Федеральный Закон №267-ФЗ от 25 декабря 2012
Федеральный закон от 25 декабря 2012 г. N 267-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" "Статья 3 В части 4 статьи 39 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872) слова "18 месяцев" заменить словами "30 месяцев"."
0 |