DLP-системы – что это такое и как это работает

Информатизация и цифровизация всех процессов жизнедеятельности – это основной тренд последних лет. При условии, что каждая из областей переходит в цифровой формат и становится более мобильной, возникает необходимость в обеспечении такого же мобильного, современного, подходящего под требование времени контура защиты информации. Одним из представителей такого продвинутого подхода к информационной безопасности являются DLP-системы.

Что такое DLP-система? DLP-система – это современное специализированное программное обеспечение, которое направлено на мониторинг и анализ всего движения информации внутри компании, а также своевременное реагирование и пресечение опасных инцидентов в ИБ. Популярной функцией DLP также является мониторинг рабочего времени сотрудников и предоставление инструментов оценки их эффективности. Эти две функции в целом обеспечивают весь контур информационной безопасности внутри предприятия.

Исследуется и защищается информация в трех состояниях: используемые данные, данные в состоянии покоя и данные в движении.

• Используемые данные относятся к тому моменту, когда к данным осуществляется доступ в системе в любое время. Пробелы в безопасности могут возникать по мере использования, обновления, чтения и даже удаления данных в сети или базе данных.
• Данные в движении или данные в пути означают, что информация перемещается как по сети или базе данных, так и за ее пределами. Типичная уязвимость безопасности для передаваемых данных — это когда пользователи отправляют конфиденциальные данные на личные учетные записи электронной почты или облачные диски для удаленной работы.
• Неактивные данные относятся к тому, где данные расположены в сети или базе данных. Небезопасные места хранения и незашифрованные резервные копии конфиденциальных данных представляют наибольший риск при хранении.

Что входит в понятие конфиденциальная информация? Под этим определением принято подразумевать весь объем информации, который не предназначен для публичного использования или использования третьими лицами. Сюда в первую очередь входит персональная информация, государственная и коммерческая тайна.

Задачи DLP-системы

Какие основные задачи решает DLP-система? В общем можно выделить две группы задач:

1. Информационная безопасность.
2. Экономическая безопасность.

Обеспечение информационной безопасности включает в себя полный цикл защиты конфиденциальных данных от любого из видов рисков: утечки, инсайдерства, непреднамеренной передачи, порчи, нецелевого использования, репутационных рисков и так далее. В DLP весь оборот конфиденциальной информации фиксируется и анализируется на предмет возможных рисков.

Экономическая безопасность касается мониторинга и оценки сетевой активности персонала на рабочем месте с целью выявления нецелевой растраты рабочего времени и корпоративных ресурсов.

Основные выгоды от использования DLP:

• значительное снижение возможных финансовых потерь в результате утечки конфиденциальной информации компании;
• выявление нецелевого использования корпоративных ресурсов сотрудниками;
• снижение репутационных и имиджевых рисков, связанных с утечкой информации;
• выявление нелояльной категории сотрудников, которые могут негативно влиять на работу компании;
• расследование инцидентов информационной безопасности и выявление каналов утечки информации;
• оптимизация бизнес-процессов в соответствии с выявленными проблемами.

Цели использования DLP-систем

Проблема информационной безопасности современного предприятия стоит очень остро. Сейчас подход к осуществляемым бизнес-процессам изменился, появилось больше объектов инфраструктуры, которые используются в работе, но не находятся прямо в контуре информационной безопасности и защиты. Например, облачные сервисы, удаленные рабочие места, эксплуатация большого количества соцсетей и мессенджеров и так далее. Из-за этого утечки информации стали более вероятными, а расследование инцидентов информационной безопасности – трудоемким и сложным.

Основной целью использования DLP-систем в таком случае является предотвращение любого инцидента по нерелевантному использованию конфиденциальной информации независимо от причины и источника возникновения угрозы безопасности.

Как работает DLP-система?

Как правило алгоритм работы DLP-систем можно разделить на четыре этапа: получение информации, транспортировка ее в базу данных для хранения, индексирование всего массива данных и конечный анализ.

Перехват обеспечивает возможность получения информации из максимального количества источников и в максимальном количестве форматов, соответственно тому, какие используются предприятием и защищаются DLP. Качественным показателем системы безопасности в этом случае является использование большего количества источников информации, и развитые DLP-системы могут перехватывать информацию с:

• внутренних и внешних почтовых служб (MS Outlook, Thunderbird, yahoo.com, gmail.com и т.д.);
• передачи файлов через FTP/FTPS, HTTP/HTTPS, SSL для POP3, SMTP и мессенджеров;
• сообщений мессенджеров типа ICQ, Google Talk, Yahoo! Messenger, Viber, Skype, Telegram и других;
• содержимого баз данных PostgreSQL, MySQL, SQLite, Microsoft SQL Server, IBM и другие;
• печати и копирования информации на локальных и сетевых принтерах и сканнерах;
• кейлогера;
• аудио, видеозаписи рабочего компьютера, скриншотов с экрана ПК.

После перехвата весь объем данных отправляется в базу данных (БД) и индексируется. Индексация – это присвоение уникального поискового атрибута (индекса) объекту данных для ускорения дальнейшего поиска его в БД.

Последний этап – это анализ. DLP-системы используют разнообразный способ анализа перехваченных данных. И, как и в аналогии с количеством источников для перехвата, чем более разнообразные возможности анализа присутствуют в системе, тем объемнее и надежнее будет защита информации в общем. Чаще всего применяется четыре вида анализа: контентный, атрибутивный, статистический, событийный. Рассмотрим подробнее.

Контентный – это анализ текстового содержимого с учетом морфологии и транслитерации языка (по словам, словосочетаниям, фразам).

Атрибутивный – анализ на основании атрибутов носителей информации (устройств, документов, файлов).

Событийный – анализ, который реализуется при осуществлении заранее оговоренного события (запуск приложения, переход на сайт, попытка получить доступ к запароленной информации и так далее);

Статистический – по мере достижения какого-то объема событий (числа посещений сайта, количества переданных писем в день и так далее).

Как выбрать DLP-систему?

Еще несколько лет назад считалось, что использование DLP необходимо только для крупных предприятий. Основным аргументом в применении был масштаб, сложность в управлении и организации внутрикорпоративных процессов. Но сейчас мнение изменилось. Применение DLP-систем сегодня обусловлено не размером компании, а внутренними процессами обмена информации, потребностью в обеспечении надежного контура защиты информации, участившимися случаями утечек и большим количеством источников угроз ИБ. Возникла потребность в гибком доступном софте с большим функционалом. Чтобы выбрать DLP-систему для предприятия, необходимо ответить на несколько вопросов:

1. Какое количество каналов коммуникации вам необходимо контролировать?

Предприятие должно определиться, какие каналы связи используются во время рабочего времени, какие из них могут являться потенциальной угрозой для ИБ, какие – источник нецелевых трат рабочего времени для персонала.

2. Какие инструменты предлагает ПО? Какие аналитические возможности существуют?

Ограничена ли DLP только функцией мониторинга информации или есть еще модуль аналитики, реагирования и пресечения инцидентов.

3. Какие технические характеристики требуются для установки софта по безопасности?

Перед установкой DLP-системы необходимо удостовериться, что нет системных ограничений для этого типа ПО, выяснить потребуется ли покупка дополнительного оборудования или мощностей.

4. Надежность вендора и качество коммуникации. Нужна ли техподдержка?

Исследуйте надежность поставщика программного обеспечения. Какие есть отзывы об их работе и продукте? Есть ли лицензии и сертификаты на предоставление таких услуг? Получите презентацию продукта, и, при наличии такой опции, запросите тестовый период использования ПО. Также стоит обратить внимание на обратную связь со стороны компании. Не оставят ли вас один на один с новым софтом? Обратите внимание и на то, насколько оперативно и грамотно работает отдел техподдержки.

5. Нужна ли подготовка персонала предварительно, будут ли дополнительные затраты на расширение штата под обслуживание ПО?

С помощью консультантов оцените масштабы внедрения ПО. Кроме технических запросов под эксплуатацию, выясните, есть ли необходимость подготовить штат сотрудников безопасности для обслуживания и настроек софта, как будет происходить обучение и подстраховка действующего персонала и в какие финансовые и трудовые затраты это выльется.

6. И, конечно, стоимость продукта с учетом всех потребностей. Какой срок покупки лицензии интересует?

Еще один немаловажный пункт при выборе DLP-системы.

Целесообразность приобретения DLP-системы

Целесообразность приобретения DLP-системы каждая компания определяет для себя сама. Сюда входит комплекс факторов: необходимость решить проблемы с информационной безопасностью, потребность в автоматизации систем защиты и работы отдела безопасности, наличие большого количества конфиденциальных, чувствительных данных, которые необходимо защищать, предыдущие прецеденты с охраной и так далее. Немаловажным фактором становится и стоимость ПО, а также количество сотрудников, которые работают в компании.

Каждый из этих факторов оценивается компанией индивидуально. Можно только сказать, что без обеспечения информационной безопасности сегодня невозможно развитие ни одной компании.

Что влияет на стоимость DLP-системы

Стоимость программного обеспечения такого типа может зависеть от самой модели предложения продукта поставщиком: как единый продукт (за весь функционал) либо модульно (каждая компания-вендор определяет для себя приоритетный пакет услуг и за него платит). Также на стоимость DLP-системы может повлиять срок использования, заложенный в ПО (на все время, либо ограничен периодом), и количество сопутствующих услуг и техподдержки.

Как DLP участвует в бизнес-процессах

DLP-системы являются инструментом системы безопасности, который можно использовать самыми разными способами. Такое ПО может закрывать потребности компании в разных сегментах бизнес-процессов, при этом значительно автоматизировав процесс.

• Конечно, компании, решившие установить DLP-решение, в первую очередь хотят надежно защитить свою информацию, в особенности учитывая тот факт, что большинство утечек происходит по неосторожности и может повлечь за собой большие репутационные и материальные потери. Защита данных является главной задачей любой DLP-системы. Для надежной защиты информации недостаточно перехватить данные, сохранить в базу и провести анализ контента. Специалисты безопасности должны использовать DLP как источник исследования всей системы безопасности и анализа ее эффективности.
• Следом стоят задачи по формированию удобного в использовании архива бизнес-коммуникаций. Для организации удобной работы со всем архивом данных в DLP-системе должен присутствовать как минимум удобный интерфейс с возможностями расширенного и гибкого поиска, адаптированного под конкретные потребности, а также просмотра интересующих документов для расследования любых инцидентов в перспективе.
• Очень часто покупатели при помощи систем для защиты данных хотят выявить инсайдеров среди сотрудников. Для решения данной задачи в DLP-системе встроены инструменты, позволяющие контролировать максимальное количество каналов коммуникации и способные улавливать различные попытки передачи данных. То есть для ПО не должно представлять трудностей перехватить, проанализировать и распознать конфиденциальный документ, запретить его передачу, отследить контакты конкурентов с потенциальным инсайдером, его взаимодействия с другими сотрудниками компании и их возможную причастность к инциденту.
• Заказчики DLP-системы хотят использовать ее как инструмент, который позволит повысить эффективность работы отдела безопасности компании. Система призвана упростить, а не наоборот усложнить жизнь сотрудника ОБ. DLP должна быть оснащена удобными инструментами по настройке гибких правил безопасности, обладать системой оповещений о потенциальных утечках в реальном времени, блокировки таких утечек, в ней должна быть предусмотрена возможность создания статистических и интерактивных отчетов, которые экономят время сотрудника отдела безопасности.
• Компании также надеятся с помощью DLP-системы избежать или хотя бы свести к минимуму репутационные риски компании и определить уровень лояльности сотрудников: насколько ответственно подчиненные относятся к выполнению своих прямых обязанностей, не проводит ли кто-нибудь из коллектива антикорпоративную подрывную политику и агитацию.
• Одной из важных функций DLP-системы является контроль эффективности сотрудников, целевого использования рабочего времени и источники этих трат. Современные системы безопасности не только осуществляют полный мониторинг сетевой активности сотрудника, но и дают важную информацию, на какие интернет-ресурсы, социальные сети и мессенджеры эта активность была потрачена.

Спектр инструментов эффективных DLP широк. Современные системы постоянно обновляются, адаптируются под новые источники угроз. Каждый потенциальный пользователь найдет варианты применения DLP. На основании каждой из этих функций бизнес-аналитики и топ-менеджеры компании могут принимать решения по изменению кадровой политики, политики обеспечения информационной безопасности, работы с конкурентной угрозой, корректировать образовательную деятельность в системе безопасности, снизить затраты на другое ПО, оборудование и так далее. DLP-системы выступают индикатором проблемы, обеспечивают своевременный необходимый подход к корректировке бизнес-процессов компании.

Законодательная база по использованию систем безопасности

Режим использования систем безопасности информации на предприятии определен в рамках федерального и местного законодательства. Одним из основных является Федеральный закон №152 «О персональных данных» от 27.07.2006 г. В нем определяется понятие «персональные данные», уточняется статус данных, которые подлежат охране и формируется зона ответственности для физических и юридических лиц за их разглашение. Согласно последнему обновлению 2024 года, ФЗ №152 вводит административную, гражданско-правовую и уголовную ответственности за разглашение данных. Так, нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются штрафами в размере от 1 000 руб. для физлиц и до 50 000 руб. для юрлиц. Обработка персональных данных без согласия гражданина приведет к наложению штрафа в размере от 3 000 руб. до 75 000 руб. В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф от 700 руб. для физлиц до 30 000 руб. для юрлиц.

Возможность мониторинга качественных и количественных показателей работы сотрудника, в том числе с помощью специализированного программного обеспечения типа DLP зафиксирована в Трудовом Кодексе РФ. Согласно статье 21 ТК РФ «Основные права и обязанности работника», сотрудник обязан качественно и добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка. А согласно 1 части статьи 22 «Права работодателя» работодатель имеет право контролировать выполнение работником своих должностных обязанностей.

DLP-системы позволяют выполнить требования Постановления от 17.11.2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», где говорится: «При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;…».

Исходя из вышесказанного, можно утверждать, что использование DLP-системы не только обеспечивает выполнение законодательных предписаний, но и снижает вероятность возникновения ситуаций, повлекших разного рода ответственность лиц и компаний.

Рынок DLP-систем

Рынок DLP-систем за последние годы получил значительный толчок роста. Во многом такому повышенному вниманию помогли глобальные процессы, которые происходили во многих странах в 2019-2024 годах: пандемия COVID-19, финансовый кризис, всеобщая цифровизация экономики и переход на смешанный или удаленный формат работы. Повлиял также высокий уровень проникновения в сеть Интернет, появление зависимости многих бизнесов и частных лиц от наличия такой услуги и многое другое. На рынке возникла реальная потребность в обеспечении безопасности информации при наличии множественных источников угрозы.

Уже к 2023 году рынок средств предотвращения потери данных оценивался в 3,4 млрд долларов. При этом, согласно прогнозу экспертов, возникнет устойчивая положительная тенденция роста на 20-22% каждый год. Поэтому уже к 2028 году рынок DLP достигнет 8,9 млрд долларов. А при интенсификации роста охвата услугой до 25-29% в год в 2030 году капитализация DLP составит 31-32,5 млрд долларов.

Свои продукты в DLP-системах представлены во всех регионах мира: Северной Америке (США, Канада), Европе (Великобритания, Германия, Франция, Италия, Испания, Россия), Азиатско-Тихоокеанском регионе (Китай, Япония, Индия, Австралия, Южная Корея), странах Латинской Америки, Ближнего Востока, Африки. Основные игроки на рынке DLP-систем относятся к трем странам: США (IBM, Palo Alto Networks, Microsoft, McAffe), Японии (Trend Micro) и России (InfoWatch, Falcongaze).

Конечно, как и любой продукт, особенно в сфере программного обеспечения, у DLP-систем есть свои преимущества и недостатки. Посмотрим подробнее.

Преимущества DLP-систем

К преимуществам относятся:

• обеспечение безопасного контура учета и обмена конфиденциальной информацией на предприятии;
• контроль сотрудников и их эффективности;
• предотвращение утечек данных и своевременное реагирование на возникшие инциденты;
• обеспечение соблюдения законодательства и стандартов кибербезопасности;
• индивидуализация под потребность компании правил цифровой безопасности и реагирования на них;
• система как инструмент аналитики и отчётности области обеспечения информационной безопасностью и аналитикой.

К минусам относятся:

• нарушение бизнес-процессов и систем при неправильной настройке DLP;
• сложность настройки и управления (для некоторых продуктов);
• дополнительные затраты на оборудование, услуги облачных хранилищ.