30.09.2009

Внедряем DLP?

Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер.

Безмалый В.Ф.
MVP Consumer Security

Сегодня модно говорить о необходимости внедрения DLP (Data Leak Prevention) систем.

Все верно. Внедрение таких систем давно стало уже не просто модой, а необходимостью, ведь утечка конфиденциальных данных может привести к огромному ущербу для компании, а главное оказать не одномоментное, а длительное влияние на бизнес компании. При этом ущерб может носить не только прямой, но и косвенный характер. Потому что помимо основного ущерба, особенно в случае разглашения сведений об инциденте, ваша компания «теряет лицо». Ущерб от потери репутации оценить в деньгах весьма и весьма сложно!

А ведь конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Если прямой ущерб мы с вами в состоянии выразить в деньгах, ведь он включает в себя прямые финансовые потери, затраты на расследование инцидента и устранение его последствий, санкции со стороны регулирующих органов и т.д., то оценить стоимость косвенного, включающего стоимость возможных потерь для бизнеса, снижение репутации компании, весьма и весьма сложно.
Еще сложнее тем организациям, которые используют в своем бизнесе интеллектуальную собственность. Для таких организаций утечка будет катастрофой в течение длительного времени.

На самом деле, вполне очевиден вопрос, а так ли уж велики риски от утечки?

Согласно ежегодному исследованию института CSI "Computer Crime and Security Survey 2008", приведенному по адресу http://infowatch.ru/threats_and_risks/risks_analysis/ почти половина (44%) компаний в течение года сталкиваются с негативными действиями инсайдеров и утечкой конфиденциальных данных. Помимо этого 42% компаний заявили о краже у них мобильных носитель, а 2% компаний в год фиксируют у себя случаи саботажа.

Иными словами, любая компания может столкнуться с действиями инсайдеров или потерей мобильных носителей с вероятностью 44% и 42% в год соответственно.

Согласно исследованию института Ponemon “The 2008 Annual Study: Cost of a Data Breach”, средний объем ущерба, связанный с хищением конфиденциальной информации в 2008 году, составил $6,6 миллиона (в 2007 году –$ 6,3 миллиона) для США, 1.4 миллиона фунтов стерлингов для UK и ?2.41 миллиона для Германии.


Рисунок 1 Средний объем ущерба из-за утечки информации (млн. USD)

Вместе с тем стоит отметить, что, несмотря на все это, внедрение DLP систем оказалось для бизнеса весьма и весьма сложной задачей. Почему?

Потому что в идеале классическая DLP-система с точки зрения бизнеса это просто черный ящик, на входе которого анализируемая информация, а на выходе – разрешенная к пересылке. Чтобы все это работало, вроде как нужно совсем не много – поставить данную систему на сетевой шлюз, сконфигурировать правила и радоваться. Однако все не так просто. Почему?
На самом деле, потому что совсем не просто создать правила фильтрации. Ведь на практике весьма сложно отличить информацию, легально покидающую вашу организацию от нелегальной. Более того, весьма часто, увы, организации не имеют даже формальных признаков того, какая информация может являться конфиденциальной.

Просто потому что весьма и весьма часто внедрение DLP-систем начинается с того, чем по идее должно заканчиваться.
Т.е. покупается DLP-система, ее разворачивают, внедряют и тут выясняется, что политики безопасности на предприятии нет, классификация информации отсутствует, сотрудники не подозревают, что можно пересылать, а что нет.

Увы, это не редкость. А как же все-таки нужно делать?

Первое с чего нужно начать – принять «Положение о конфиденциальной информации», в котором четко указать какая информация на предприятии является конфиденциальной (вариант – конфиденциально все, ввиду явного маразма не рассматривать).

Вместе с тем нельзя забывать о том, что обеспечение информационной безопасности это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи, являются неотъемлемой частью автоматизированной системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Принципиально важно понимать, что DLP-система не панацея. Ее внедрение всего лишь составная часть комплексной системы защиты информации. Увы, необходимо понимать, что быстрого, эффективного и дешевого решения проблемы защиты информации не существует в природе!

Кроме того, необходимо понимать, что для эффективного внедрения DLP-систем необходимо помнить о том, что персонал нужно обучать!

Сложность внедрения подобных систем будет заключаться именно в том, что подобные системы будут влиять на сами бизнес-процессы.

Каковы перспективы внедрения DLP-систем на Украине?

Перспектив развития DLP-технологий на Украине НЕТ!

Почему?

Да потому что на Украине до сих пор нет ни одного самостоятельного продукта с применением данных технологий (в крайнем случае, я о таких не подозреваю). Другое дело – ПРИМЕНЕНИЕ данной технологии.

Вот об этом я снова хотел бы поговорить.

Перспективы применения DLP на Украине весьма туманны. На то есть масса причин. Давайте рассмотрим их по порядку.
Что такое DLP? Защита от внутренних утечек. Но для того чтобы защищать вначале желательно понять ЧТО защищать, верно? Каким образом мы с вами определим, что перед нами утечка, а не санкционированное действие?

А вот тут мы с вами должны подумать и хорошенько подумать!

Для того чтобы внедрять DLP нужно вначале классифицировать обрабатываемую на предприятии информацию по степени ее конфиденциальности. А теперь вопрос. Во многих ли организациях проведена эта работа?

Учтите, данная работа должна проводиться постоянно. Ведь появляются все новые и новые документы. Если вы к этому не готовы, эта работа не сделана, внедрение DLP не возможно!

Но это одна часть проблемы, большая, но все же часть!

Есть и вторая. Вторая часть – это законность подобных мероприятий. Никто не станет отрицать, что в нашей стране Конституция гарантирует тайну переписки. Причем тип переписки (частная, служебная, личная) не оговорен. Что отсюда следует?

А следует то, что фирма, просматривающая, пусть даже с помощью DLP, письма своих сотрудников, нарушает Конституцию Украины. Для грамотного юриста выиграть подобное дело - плевый вопрос. Это вторая сторона. Однако данный вопрос (применение DLP) весьма многогранен.

Необходимо подчеркнуть, что настройка DLP-систем далеко не тривиальный вопрос. А значит это потребует наличие грамотных специалистов как в области ИТ, так и в области документооборота.

А обучение пользователей определению грифа вновь создаваемого документа?

Я не хочу сказать что DLP – плохо! Я хочу сказать, что это огромный объем работы, доступный далеко не каждому!

Кроме того, хотелось бы подчеркнуть, что это не более чем одна их технологий безопасности, а отнюдь не панацея!

Однако что делать, если вы все же решили внедрять DLP-систему?

На самом деле вам придется сделать следующее:

  1. Провести аудит бизнес-процессов и документооборота
  2. Определить какая информация обрабатывается на фирме
  3. Определить степень конфиденциальности обрабатываемой информации
  4. Внедрить систему электронного документооборота
  5. В системе однозначно описать права сотрудников (что само по себе не тривиальная задача)
  6. Затем обучение сотрудников по проблемам конфиденциальности обрабатываемой информации и проставляемым грифам
  7. Внедрение требований информационной безопасности в должностные инструкции
  8. Создание признаков конфиденциальной информации (правил для DLP)
  9. Внедрение DLP-системы

Естественно это достаточно грубая схема и в каждом случае вам придется делать по своему, однако, как мне кажется, без этого разговор о DLP просто неуместен.
Если говорить о перспективах подобных систем, то они, безусловно, есть! Однако уж очень туманны!
Вероятно, поэтому внедрение подобных систем пока не стало массовым. Надеюсь, только пока.