Почему я не люблю DLP: причина третья.

Почему я не люблю DLP: причина третья.
В ожидании обещанного ФСТЭК нормативного документа , продолжаю серию постов  (известных также под псевдонимами "страшилки", "помойка", "записки КЭПа" и некоторыми другими эпитетами) про DLP с неблагозвучным для представителей причастных к этим системам профессий названием. В предыдущей части мы с вами, дорогие читатели, от сугубо технических нюансов перешли к проблемам организационным и сделали вывод о том, что для эксплуатации технических средств такого рода и безопасность в общем, и "безопасник" в частности должны иметь определенный уровень зрелости, особенно моральной, что бывает далеко не всегда.

Оппоненты, после публикации первой части настойчиво утверждавшие , что средство - это лишь часть системы и все зависит от организационной составляющей, на этот раз радикально изменили тактику и набросились с криками "а техника-то здесь при чем?", чем изрядно меня повеселили. Ну хорошо - техника здесь действительно не при чем, и я, пожалуй, верну отобранный у "дылды" балл: пусть вместо "-2" будет "-1". А за то, что она хоть в чем-то помогает существовать "безопасникам" - устрою аттракцион неслыханной щедрости и добавлю еще один "плюс". В результате, DLP никому ничего не должна, в копилку вновь вернулся "ноль" с которого мы с вами, собственно, снова и начнем.

В отличие от двух предыдущих частей, в этот раз баек про "дружбанов" я травить не буду (с ними, кстати, все в порядке - работают и по сей день, отделавшись легким испугом). Ведь речь пойдет о вещах куда более серьезных: о данных, фактах и цифрах - тех, которыми оперирует бизнес, владелец усердно защищаемого "безопасниками" актива.

Как мы уже уяснили, "хорошая" DLP - удовольствие не дешевое: комплекс тех самых "организационно-технических", "серьезно повышающих эффективность" мер влетает заказавшему их "в копеечку", а внедрение их занимает достаточно много времени, не говоря уж о стоимости технической и консультационной поддержки на всем этапе существования этого "забора" вокруг "огорода" потребителя. Кстати, в случае с забором и огородом все просто: куры стоят по 5 рублей штука, приносят в день яиц на рубль, а забор (чтобы куры не разбежались и воры не залезли) стоит 100 рублей и потому (с учетом накладных расходов) окупается где-то за год. Аналогичные расчеты применительно к высокотехнологичному "забору" с гордым лейблом DLP выглядят куда пространней и туманнее: стоимость забора - не определена, яйца - виртуальные, воры - анонимны. Да и куры тоже хороши: где-то дуры, а где-то - того и гляди, сами норовят хозяйские яйца ворам через забор поперекидывать. С первыми все понятно: постоянные объяснялки и регулярные пугалки серьезно снижают процент дури в организме, а вот что со вторыми делать?

Хорошим поводом пригласить к себе в огород "заборостроителей" является, как ни странно, личная заинтересованность владельца "кошелька". Один знакомый рассказывал, как в его организации появилась DLP-система: оказывается, все началось с того, что пришел новый генеральный директор и с удивлением обнаружил, что может спокойно скопировать себе на флешку все что угодно и унести куда угодно. Ранее директор работал в компании, где подобная деятельность находилась под контролем СБ: для большинства сотрудников она была запрещена, а те, кому СБ-шники великодушно разрешили, были заинструктированы до такой степени, что сами себя начали подозревать в измене Родине. Так или иначе, директор вызвал к себе ИБ-шника и поставил в кратчайшие сроки безобразия устранить, выделил приемлемый для конторы бюджет и был очень доволен, ощущая себя в безопасности от навязанной кем-то сверхактуальной угрозы.

Но далеко не всем везет так, как нашему коллеге из предыдущего абзаца: владельцы "кошелька", зачастую, люди от техники далекие, да и проблемы в безопасности воспринимают тяжело. Они мыслят другими категориями - им дело надо делать с теми, кто в их команде, кому они (страшно подумать) - ДОВЕРЯЮТ! В таких условиях речь о внедрении DLP может зайти только в том случае, если чувство доверия сменится подозрением, и к этому нужно приложить какие-то веские аргументы. Кто это должен сделать?

Хорошо, если в команде владельца есть тот самый "авторитетный и важный" безопасник, который может влиять н а владельца и каким-то образом в красках аргументировать необходимость наличия такого средства. К чему это может привести - я уже рассказывал, но так или иначе система будет внедрена. Если же в команде такого "безопасника" нет, либо он сам далек от техники и не понимает всех тонкостей процесса или не чувствует необходимости в таком контроле - за дело должен взяться ИБ-шник или ИТ-шник. Именно для этой категории сотрудников вендоры и организуют тематические конференции и семинары. Те, кто принимают принципиальное решение (внедряем или не внедряем), на них не ходят: подавляющее большинство семинаров носят рекламно-технический характер и предназначены для тех, кто уже имеет "на руках" положительное намерение руководства, и озадачены выбором вариантов. Сможет ли ИБ-шник, после посещения этих семинаров объяснить, сможет ли навязать "боссу" чувство подозрительности - очень большой вопрос, и потому приходится идти другим, "экономическим" путем.

Обосновать затраты на внедрение DLP лицу, владеющему бюджетом, в понятных ему терминах, весьма непросто. Идеальным случаем для "сэйлзов", предлагающих продукт, является ситуация, когда доход потребителя завязан преимущественно на обладание им некими сведениями, имеющими "действительную коммерческую ценность в силу неизвестности их третьим лицам". При этом ценность может быть выражена как с точки зрения прибыли (пока мы знаем - мы приобретаем) так и с точки зрения убытков (если узнают другие - мы потеряем), но всегда в виде совершенно конкретной суммы денег. Здесь все просто и понятно - идеальный "огород", остается только посчитать, сколько утекает сейчас и сколько будет утекать после внедрения (а после внедрения будет утекать), перевести проценты в деньги и составить смету исходя из приемлемых сроков окупаемости. Но много ли вы, дорогие читатели, знаете таких компаний в Российской Федерации? Нет, они, конечно, есть - но их можно по пальцам пересчитать, а ИБ-шникам (если, конечно, таковые там имеются) в них должно работаться ну очень хорошо.

В некоторых организациях может обрабатываться набор определенных типов данных, способных быть монетизированными, попади они в руки злоумышленников. К таким данным относятся, например, сканы паспортов, реквизиты банковских карт, логины и пароли пользователей каких-нибудь систем, оперирующих виртуальными деньгами и т.д. Их "поимку" очень любят демонстрировать "сэйлзы" от DLP в силу простоты программирования шаблонов. Однако, с точки зрения элементарных правил безопасности риски, связанные с их раскрытием, должны быть известны любому, кто с этими данными работает - иначе где же та самая, "организационно-профилактическая" составляющая работы службы ИБ? Если пользователи не обучены, не подозревают о существовании угроз и не знают, с какой критичной информацией они работают - никакая DLP не спасет.

Тем, кто считает "защиту от дурака" хорошим обоснованием я, по примеру давно услышанного  мнения "владельца кошелька", возражаю: это сколько же должно быть в организации "дураков", обрабатывающих ценные данные, чтобы получить приемлемый экономический эффект? Скажете, "раз в год и палка стреляет"? Возможно, но держать в постоянной боевой готовности противоракетный комплекс в качестве средства предотвращения палочной стрельбы - слишком дорогое удовольствие: гораздо дешевле будет свести эту обработку к минимуму, и по максимуму ограничить возможные пути распространения таких данных.

В подавляющем большинстве случаев ИБ-шник имеет дело с ценностью не "действительной", а "потенциальной" - той, которую посчитать не так-то просто. Обосновать в этом случае экономический эффект от внедрения DLP все равно, что обосновать существование подразделения, отвечающего за ИБ: можно сколько угодно считать ROI, TEI и прочие показатели , но все расчеты будут разнесены в пух и прах финансистами, умеющими делать это куда лучше, чем ИБ-шник, не слишком подкованный в финансовой сфере. Поэтому ИБ-шникам приходится действовать иначе: ждать, пока клюнет жареный петух, ссылаться на международные стандарты, лучшие практики, собирать команду, рисовать проект и договариваться с финансистами, чтобы те помогли им что-то посчитать приблизительно в том ключе, который устроит "босса".

Все это дело сопровождается непрерывной оглядкой ограниченных человеческих ресурсов (ИБ-шников) на ограниченные финансовые: бюджет-то не резиновый. Конечно, можно пригласить интегратора посчитать стоимость и окупаемость проекта, но это тоже стоит денег (причем немалых) - ведь нужно составить перечень защищаемой информации, определить ее потенциальную коммерческую ценность, смоделировать угрозы, определить их вероятность, рассчитать возможные потери - словом, провести полное предпроектное обследование и реализовать ряд организационных мер. А мы помним, что стоимость этих мероприятий иногда превышает стоимость железа и ПО (тоже не маленькую), и бюджет не резиновый. Да и захочется ли "внедренцу" терять такой лакомый кусок пирога? У него ведь тоже все не просто: бизнес-показатели, неограниченный пул ограниченных консультантов и крайне ограниченный - неограниченных, череда проектов и жесткий график... Поэтому возникает парадокс: для того, чтобы оценить экономический эффект от внедрения DLP, необходимо сначала внедрить ее! А когда решение о внедрении принято - экономический эффект уже никого не интересует: внедрение идет в том объеме, насколько хватит денег и, вместо DLP, ИБ-шник получает "дылду", чему все равно бывает несказанно рад.

Есть еще один - самый главный, непобедимый аргумент, который очень любят скептики (в том числе и я) и не любят вендоры. Если организация внедряет антивирус - у "владельца кошелька" появляется уверенность, что организация не понесет убытков, связанных с неработоспособностью вычислительной техники. Если реализует проект по ПДн - уверенность в том, что не регулятор не "выкатит" крупные штрафы и не приостановит деятельность. Этот фокус не проходит в случае с DLP: глядя на бюджет проекта, владелец может спросить - и что, не украдут, даже если захотят? Некоторые вендоры, услышав это, со словами "вы не наш клиент" встают и уходят - ведь ответить положительно на такой вопрос невозможно, а значит, бизнес-ценность их решения (как, впрочем, и баллы, заработанные в этой части), равна нулю.

Окончание следует...
dlp бизнес парадокс размышления технологии утечки информации
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!