Как не надо внедрять DLP

DLP-системы из всего пула средств обеспечения информационной безопасности привлекают к себе особое внимание, поскольку ожидается, что они могут стать решением всех проблем информационной безопасности. Однако некорректная практика использования подорвала репутацию подобных систем, и у части компаний возникла убежденность, что DLP – бесполезна.

Ошибки в использовании

Некоторые организации внедряют DLP, не проводя необходимого предварительного анализа, учитывающего специфику компании, а поэтому в результате зачастую получают парализованные информационные потоки, подвисание оборудования, ненужную дополнительную загрузку офицеров информационной безопасности.

Всё это вызвано изначальным непониманием воздействия системы на каждодневные информационные процессы в компании, к тому же ответственные за внедрение сотрудники не представляют объёмы «нарушений», которые могут выявить некорректно настроенные правила политики безопасности.  Естественно, многие из уведомлений оказываются ложными. Однако в погоне за призраком тратятся время, силы и нервы аналитиков и, конечно, ресурсы компании. 

Причина состоит в том, что на предварительном этапе имплементации системы не решены ряд задач:

  •  не определены конкретные цели внедрения DLP-решения (контроль несанкционированного доступ, предотвращение случайной рассылки конфиденциальных данных, соблюдение требований регуляторов по защите персональных данных или ужесточение политики безопасности в целом, а возможно необходимо было всего лишь контролировать использование интернета персоналом или понять, что хранится на рабочих станциях сотрудников);

  • не выяснено, достаточно ли мощностей оборудования компании;

  •  DLP не тестировалась в пилотном режиме в среде компании;

  • блокировка была выбрана в качестве основного метода предотвращения перемещения чувствительных данных, в то время как, по крайней мере на первых этапах, стоит выбрать опцию уведомления сотрудника безопасности. Во-первых, это позволит лучше изучить информационные потоки в компании; во-вторых, блокировка может помешать сотруднику выполнять его трудовые обязанности.

Одни компании решают возникшие проблемы нанимая множество аналитиков. В их задачу входит сделать все возможное, чтобы отыскать среди информационного шума сработок инциденты, имеющие под собой реальное основание, и поймать инсайдеров.

Другие настраивают политики безопасности таким образом, чтобы максимально не дать системе «помешать» вести бизнес. DLP устанавливается номинально и почти не функционирует. Тем самым снижается та вероятная польза, которую организации могут получать от технологии.  

Часть же компаний попросту не завершают контур безопасности, оставляя некоторые каналы незащищенными (порты USB, электронную почту и т. д.).  

Все выше приведенное, вкупе со стоимостью системы, и порождает отношение к DLP как дорогостоящей игрушке, сложной в использовании или малоэффективной. В то время как DLP особенно хороша в выявлении небезопасной политики обращения с данными в компании (и последующей ее настройке, соответственно), предотвращении случайных утечек, а также общераспространённых способов хищения.

Почему нужно внедрять с умом

Информационная безопасность компании – сложный процесс, требующий внимательного подхода. И принцип «установил – и забыл» совершенно не уместен с системами, предполагающими индивидуальную подстройку.

Чаще всего окончательные решения о приобретении DLP принимаются в связи с одним из ряда факторов.

Первый из них – действительно серьезные происшествия, связанные с инцидентами безопасности. Когда организация на собственном опыте испытывает последствия утечки, любые доводы «против» теряют вес. По большем счету в настоящее время компании делятся на те, у которых пока не было утечек, и те, которые уже принимают защитные меры.

Второй - рост и усложнение области информационных технологий. Возникла и распространилась практика использования облачных приложений, мобильных систем и удаленных подключений. В настоящее время данные гораздо меньше сконцентрированы в одном месте, чем это было всего несколько лет назад, когда облачные и мобильные сервисы только начинали приобретать популярность.  

Наконец, решающим моментом стало введение нормативных требований, которые содержат в себя положения по защите конфиденциальных данных и накладывают значительные штрафы за несоблюдение.

Стоит отметить недавно вступивший в силу регламент по защите конфиденциальных данных граждан Европейского союза (GDPR), основная цель которого состоит в том, чтобы такая информация не была доступна неуполномоченным лицам, особенно за пределами «стран GDPR», а также устанавливает штраф в размере до четырех процентов годового дохода за несоблюдение. Касаемо России упомянем несколько нормативных актов, содержащих предписания об охране информации, для соблюдения которых потребуется исключительно DLP-система: федеральные законы «Об информации, информационных технологиях и о защите информации» и «О коммерческой тайне», приказы ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»  и др.

Важно отметить, что современные DLP-технологи развиваются очень быстрыми темпами.  Возросла способность контролировать перемещение данных по многочисленным каналам, таким как облачные сервисы, и увеличился диапазон охватываемых форматов, например, стали доступны для анализа изображения и голосовые сообщения. Для оптимизации работы с инцидентами безопасности SecureTower разработала модуль «Центр расследований», который упрощает работу сотрудников службы безопасности благодаря возможности не выходя из системы расследовать инциденты безопасности и формировать дела, в которых можно подробно фиксировать их ход, выявлять фигурантов и получать автоматически составленные отчеты.

Совокупность этих факторов, а также значительное развитие DLP и смежных технологий свидетельствуют о практичности и эффективности использования подобных решений. В то же время убежденность в непродуктивности системы, скорее говорят о неправильном внедрении программного комплекса.

DLP-система SecureTower

  • Защита от утечек данных по вине сотрудников
  • Контроль работы сотрудников на компьютерах
  • Выявление потенциально-опасных сотрудников
  • Ведение архива бизнес-коммуникации