Почему остановка сообщений – не всегда хорошо?

Почему остановка сообщений – не всегда хорошо?


Очень часто при выборе DLP-системы руководители предприятий обращают внимание на то, может ли она перехватывать отправленные сообщения. Ведь это кажется таким удобным! Поставил DLPв режим остановки, и можно не опасаться утечек, система сама обо всем позаботится.


Не позаботится. Какой бы умной и гибкой ни была программа, она никогда не сможет заменить аналитические способности человеческого мозга. Да и утечки не сводятся всего лишь к пересылке конфиденциальных документов, это намного более сложный процесс, в котором обычно задействовано несколько человек. И если перефразировать известный слоган, то чтобы поймать инсайдера, нужно думать как инсайдер. Чего, к сожалению, DLPбез помощи человека сделать не может.
Чем же конкретно так плоха остановка сообщений?
1. Ложные срабатывания. В идеале их быть не должно, если система настроена только на перехват конфиденциальной информации в письмах сотрудников, к которой они не должны иметь доступ.
Но как часто это случается, сотрудники службы безопасности стремятся охватить как можно больший спектр рабочих моментов, и настраивают срабатывание перехвата не только при обнаружении точных копий документа, но и для всех похожих на него. Вот тут и случаются ложные срабатывания. Сотрудники не могут обменяться необходимыми для работы данными, невозможно отправить нужный документ на печать, а безопасникам то и дело приходят уведомления о «нарушении» политик безопасности.
И такое положение дел не просто тормозит бизнес-процессы. Оно дает возможность человеку, обремененному интеллектом, украсть необходимую информацию, да так, что в потоке ложных срабатываний это не сразу и обнаружат, потому что…
2.останавливая сообщение, DLPобнаруживает себя.Инсайдеру будет абсолютно очевидно, что если при попытке передачи конфиденциального документа приходит уведомление о невозможности передать письмо, отправленное сообщение заменяется «звездочками» и т.д., то корпоративная сеть находится под контролем DLP-системы. А значит, он либо найдет незащищенный канал связи, либо передаст сообщение так, что программа не сможет его распознать как критически важное, либо… вариантов может быть много, и каждый из них приводит к одному – к утечке.
Поэтому при выборе DLPпрежде всего необходимо обращать внимание на возможность использования ее инструментов для аналитических исследований, а остановка сообщений – это уже вещь десятая. Впрочем, если есть возможность приобрести DLP-систему, которая предлагает инструменты и контроля, и перехвата, то остановить свой выбор лучше на ней – иногда есть необходимость применять и настройки блокировки сообщений. К примеру, остановка писем – один из наиболее эффективных методов борьбы со случайными утечками.
Александр Вашкевич
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.