Речь шла не столько о расследованиях, сколько специфике того, что DLP-система в очень многих случаях не может и не должна являться источником формирования доказательной базы по какому-либо инциденту с технической точки зрения, так как существует много способов обхода DLP-систем, начиная с эксплуатации конкретных уязвимостей в них (пример - Уязвимость в компоненте Autonomy Keyview IDOL, ), использования техник обфускации документов, заканчивая применением альтернативных каналов связи (модуляция аудио при распознавании текста). Безусловно, и технологии защиты информации активно совершенствуются, появляются технологии способствующие контролю в том числе и аудио-информации (решения от ЦРТ - ), тем не менее они еще не нашли широкого применения в корпоративном секторе, но обязательно найдут в будущем.
Уважаемые докладчики в одной же секции доказательно описали в том числе этот же тезис с нормативно-правовой стороны, указывая на то, что пока в РФ не появится явных требований к DLP-системам, понятия цифрового доказательства не будет определено, механизмы использования DLP-систем будут сводиться к исключительно уточняющим и вспомогательным мерам.
Ссылка: