Security Lab

Как бороться с ложными срабатываниями DLP

Как бороться с ложными срабатываниями DLP
Любая DLP-система грешит ложными срабатываниями, поэтому проблема борьбы с ними стоит достаточно остро. Конечно, в общем-то, нормальная DLP-система позволяет так настроить опции определения конфиденциального контента так, чтобы количество ложных срабатываний сократилось до некой приемлемой в условиях той или иной конторы величины,  но всё-таки компьютер есть компьютер, и действовать со всем опытом и интуицией живого безопасника он, к сожалению или к счастью, не может.
Так вот, я хочу предложить способ борьбы с ложными срабатываниями, против которого, что называется, нет приёма. Он очень прост: надо все ложные срабатывания объявить не ложными. И наказывать за них, объявив DLP-систему чем-то вроде истины в последней инстанции.
Вам кажется эта идея несколько, скажем так, бредовой? Я чуть ниже объясню, в чем её прелесть, пока же небольшое лирическое отступление из новостной ленты.
В феврале текущего года школьник из Техаса, США, Джастин Картер (Justin Carter) в игре League of Legends неудачно пошутил, что спровоцировало его арест.
Так, во время игры один из игроков назвал Картера сумасшедшим, на что он, смеясь, ответил:
— Ага, я точно не дружу с головой! Я собираюсь расстрелять всех детей в школе и съесть их еще бьющиеся сердца.
— lol
— jk (сокращение от «just kidding»)
Его сообщение вызвало волну негодования и подростка арестовали. С тех пор он находится под стражей, где на днях отпраздновал свой 19-й день рождения. При этом за очевидную шутку парню грозит до 8 лет лишения свободы.

Подробнее: http://www.securitylab.ru/news/442089.php
Закон не любит шуток. И есть какое-то здравое зерно в том, чтобы припугивать любителей так остроумно шутить. Аналогично можно сказать и о DLP-системе: если кто-то делал что-то такое, что DLP-система заподозрила его в желании "слить" информацию, очевидно, рыльце у него всё-таки в каком-никаком пушку, поэтому не лишним будет этого сотрудника взять на контроль и присмотреться к нему, пусть, на первый раз, и не наказывая. А если "ложных" срабатываний с его участием станет слишком много, стоит копнуть глубже - обязательно что-нибудь да найдется.
В любом случае, практика полного доверия к DLP куда лучше практики полного доверия к сотрудникам. Пусть они лучше боятся карающей десницы отдела ИБ, чем беззастенчиво крадут корпоративную информацию.
А. Дрозд,
заместитель PR-директора компании SearchInform
размышления А. Дрозд DLP информационная безопасность новости
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.