Частые вопросы о DLP
План статьи
Что такое DLP-система? DLP-система или Data Loss Prevention – это развитая система противодействия утечкам конфиденциальной информации, мониторинга персонала и общего управления рисками информационной безопасности, исходящих изнутри предприятия.
За последнее десятилетие DLP уверенно развились от софта только для специализированных предприятий с повышенными требованиями к информационной безопасности до массового инструмента цифровой гигиены бизнеса, применяемого во всех сферах. Однако вокруг этого программного обеспечения до сих пор существуют недопонимание, вопросы по функционалу, пользе, целесообразности применения на конкретном предприятии.
Чтобы внедрение DLP-системы принесло пользу предприятию и не вызывало сомнений, нужно четко понимать границы возможностей системы. Мы собрали 10 самых острых вопросов, которые задают перед внедрением DLP-системы.
Топ-10 вопросов о внедрении и работе DLP-системы
Рассмотрим самые главные возражения и опасения, которые возникают у пользователей на этапах внедрения и использования системы.
Законно ли читать переписку сотрудников?
Ответ: Это законно, но только при правильном юридическом оформлении.
Конституция РФ и законы стран СНГ гарантируют тайну переписки, неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (ст. 23 Конституции РФ). Однако Трудовой кодекс дает возможность работодателю свое право контролировать исполнение трудовых обязанностей сотрудниками, утвержденное в ст. 22 ТК РФ. Согласно этой статье, работодатель в праве:
требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка, требований охраны труда; знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью.
ТК РФ
Ключевое условие легитимности введения DLP-системы – предупреждение и документальное уведомление сотрудника о своих намерениях контроля выполнения трудовых обязанностей. Необходимо заранее предоставить на рассмотрение и подпись сотруднику: согласие на обработку персональных данных, ознакомить с положением о защите коммерческой тайны на предприятии и правилами использования информационных ресурсов.
Также в трудовом договоре можно зафиксировать, что рабочая техника (персональный компьютер, ноутбук), предназначены только для рабочих целей и работодатель имеет право мониторинга использования оборудования, ведь главная цель – это контроль не человека, а корпоративного ресурса и обеспечение безопасного обращения с информацией любого типа.
Будет ли DLP «тормозить» компьютеры?
Ответ: Нет. Агенты DLP-системы рассчитаны на то, что работают в скрытом, фоновом режиме, не влияя на общую системную производительность.
Могут быть заметны обновления системы и агентов. Но это решается графиком обновлений, позволяющим настроить загрузку новой версии DLP в нерабочий период (ночью, в выходные).
Может ли DLP читать мессенджеры?
Ответ: Да, но есть технические нюансы.
Большинство современных российских DLP-систем умеют перехватывать переписку и файлы в установленных на ПК приложениях, в том числе в мессенджерах. Это делается через внедрение в процесс передачи данных между ПК-мессенджером или перехват объектов в оперативной памяти. При этом актуальность системы в том числе выражается в количестве каналов перехвата, которые доступны в выбранной модели DLP. Система должна поддерживать те каналы, которые являются актуальными для локации предприятия. Например, для РФ актуален перехват Контур.Толк, Яндекс.Телемост, VK Teams, MAX и др.
При этом важно понимать, DLP-системы перехватывают только браузерные и десктопные версии современных мессенджеров, но персональные смартфоны, используемые сотрудниками в рабочее время могут мониториться только административными мерами (запрет телефонов) или видеонаблюдением.
DLP защищает от утечек на 100%?
Ответ: Нет. 100% гарантии дает только выключенный компьютер.
DLP-система – это действенный инструмент снижения рисков утечки данных, неправомерного использования рабочей техники, халатности в выполнении рабочих обязанностей. Но невозможно полностью исключить человеческий фактор, изобретательность инсайдеров и ошибки обычных пользователей, которые также влияют на вероятность наступления инцидентов.
Основная задача DLP-системы, чтобы максимизировать защиту от утечки: быть актуальной для той локации, где работает предприятие, охватывать как можно больше каналов передачи информации, работать с различными форматами данных, видео- и аудиосообщениями, предлагать инновационные решения в ИБ, основанные на внедрении технологии искусственного интеллекта. Эти действия повышают прозрачность работы с данными, сохраняют внутренний информационный периметр, делают кражу информации сложной и рискованной.
Сколько людей нужно для обслуживания системы?
Ответ: Все зависит от объема установленных лицензий, размера предприятия, интенсивности информационного обмена, количества настроенных политик безопасности и точности их настройки.
DLP-система может генерировать сотни событий в день, которые необходимо отслеживать и изучать сразу, без задержки. Чем выше скорость раскрытия инцидента, тем лучше для предприятия. Скорость реагирования в раскрытии инцидентов информационной безопасности не менее важна чем экспертность специалистов и качества программного обеспечения.
Чтобы определить, сколько людей необходимо для обслуживания системы необходимо протестировать DLP заранее. Данная мера позволит определить объем внутренних работ на обслуживание этого программного обеспечения при постоянной работе.
Можно ли использовать DLP для учета рабочего времени?
Ответ: Да, и даже нужно.
У многих DLP-систем реализован модуль для мониторинга активности пользователей, который включает отслеживание показателей по учету рабочего времени: начала и окончания работы, периода простоя, опозданий и задержек на рабочем месте. Система перехватывает всю цифровую активность на предприятии, а значит, может отследить все неточности и нарушения.
Плюсом также является возможность создания отчетов по трудовой активности, соблюдению трудового графика и учету рабочего времени. Так что да, DLP можно использовать для учета рабочего времени благодаря полной визуализации всех действий персонала от начала работы на ПК.
Что лучше в настройке DLP: блокировка или мониторинг?
Ответ: Особенно на старте – только мониторинг.
Если вы сразу включите блокировку использования флеш-карт, загрузку документов в облачные сервисы и отправку файлов через мессенджеры, вы остановите некоторые бизнес-процессы на предприятии.
Правильная стратегия – это анализ логистики обращения с информацией, сбор данных и наблюдение за периметром, чтобы получить ответ, что действительно необходимо для эффективной работы бизнеса, а что представляет угрозу. Так вы получите список легитимных процессов, и только потом можно включать блокировку действий для явных нарушений.
Важно. Важно помнить, что DLP – это не система тотального бана действий. Ее цель повысить прозрачность информационного оборота. Блокировка в таком случае должна носить точечный характер, влияя именно на те действия, которые опасны для ИБ.
Окупается ли внедрение DLP?
Ответ: Прямой показатель ROI (Return on Investment) для систем предотвращения утечек данных рассчитать достаточно сложно. В отличие от классических ИТ-инвестиций, экономический эффект DLP проявляется преимущественно через предотвращенные инциденты и снижение общих рисков для информации.
На практике окупаемость таких решений оценивается через предотвращенный ущерб. Например:
- выявление мошеннической или коррупционной схемы в закупочной деятельности может полностью компенсировать стоимость внедрения и эксплуатации DLP-системы на протяжении нескольких лет;
- предотвращение несанкционированного копирования или вывода клиентской базы сотрудником при увольнении позволяет избежать значительных финансовых потерь, связанных с потерей клиентов и конкурентных преимуществ;
- снижение вероятности утечек персональных данных помогает уменьшить регуляторные и репутационные риски, включая возможные санкции со стороны контролирующих органов, таких как Роскомнадзор.
Таким образом, экономическая эффективность DLP-решений проявляется не столько в прямой финансовой отдаче, сколько в снижении операционных и регуляторных рисков. По своей природе такие системы ближе к инструментам управления рисками – аналогично корпоративному страхованию или системам противопожарной защиты: их ценность становится очевидной в момент предотвращения критического инцидента.
Советы эксперта по эффективному использованию DLP
Начинайте с юридической безопасности обращения с данными. Перед установкой DLP-агентов приведите в порядок внутренние документы, регулирующие обращение с данными на предприятии. Введите режим коммерческой тайны, подпишите допсоглашения с сотрудниками, определите и зафиксируйте список критических данных, утечка которых недопустима.
Концентрируйтесь на общей картине поведения сотрудника, а не на конкретном файле или зафиксированном инциденте. Главная ошибка специалиста безопасности – искать ключевое слово, которое станет триггером к инциденту. Смотрите шире. Ищите аномалии в поведении персонала в целом: задержки на работе, массовое копирование файлов, попытки доступа к конфиденциальным данным и т.д. Сотрудник, который решил украсть базу данных клиентов, сначала будет вести себя странно: искать новую работу, конфликтовать, вести переписку с конкурентами, задерживаться по вечерам. Поведенческая аналитика в данном случае эффективнее точечного поиска.
Будьте в одной команде с IT-отделом. Практика показывает, что внедрение DLP-систем нередко сталкивается с сопротивлением со стороны системных администраторов. Причина обычно не в самом контроле за пользователями, а в опасениях за стабильность инфраструктуры: дополнительные агенты на рабочих станциях, анализ сетевого трафика и обработка большого объема данных могут восприниматься как потенциальная нагрузка на серверы и корпоративную сеть. Если эти риски не обсуждаются заранее, у IT-команды возникает естественное желание минимизировать влияние системы или откладывать ее внедрение.
Поэтому на этапе проекта важно изначально выстраивать сотрудничество с IT-службой и объяснить, что при грамотной интеграции DLP становится для системных администраторов не источником проблем, а дополнительным инструментом контроля, который позволяет выявлять использование нелицензионного программного обеспечения, несанкционированный майнинг на рабочих станциях, подозрительную сетевую активность и ряд аномалий, которые напрямую влияют на безопасность и стабильность корпоративной среды.
Проведите классификацию корпоративных данных. Одна из распространенных ошибок при внедрении систем защиты информации – попытка контролировать абсолютно все данные, которые циркулируют внутри организации. На практике такой подход быстро приводит к перегрузке системы политиками безопасности, большому количеству ложных срабатываний и, как следствие, снижению эффективности контроля. Разумнее начать с определения действительно критичных информационных активов – как правило, не более 5–10% от общего массива корпоративной информации.
Именно на этих категориях информации имеет смысл настраивать наиболее строгие политики DLP-системы, поскольку утечка их наносит самый непоправимый ущерб предприятию.
Вывод
Сегодня DLP-система – это показатель зрелости бизнеса: вопрос не «Нужно ли купить?», а «Как нам использовать эффективно?». DLP предназначена для выявления рисков ИБ, неэффективности сотрудников и скрытых угроз еще до того, как они приведут к потерям. Это инструмент аналитики, который поможет предприятию сохранить репутацию, избавить от убытков от инцидентов и систематизировать работу с данными на предприятии.
Часто задаваемые вопросы
- Какие ошибки чаще всего совершают компании при первом внедрении DLP-системы?
Чаще всего компании пытаются сразу включить жесткие блокировки всех каналов передачи данных. Это может нарушить рабочие процессы и вызвать сопротивление сотрудников и IT-отдела. Более эффективный подход – сначала использовать режим мониторинга, изучить потоки данных и только затем постепенно вводить ограничения. Также важно заранее подготовить юридические документы и классифицировать критичные данные.
- Как реагировать на инциденты, выявленные DLP-системой?
Своевременное управление инцидентами ИБ позволяет не только пресечь кражу данных, но и провести внутреннее расследование, чтобы закрыть уязвимые места в бизнес-процессах.
- Каковы реальные последствия потери данных?
Итоговая цена утечки данных складывается из прямых убытков, оборотных штрафов регуляторов, потери клиентов и затрат на восстановление репутации компании.
