Как не надо внедрять DLP
DLP-системы из всего пула средств обеспечения информационной безопасности привлекают к себе особое внимание, поскольку ожидается, что они могут стать решением основных проблем информационной безопасности. Однако некорректная практика использования подорвала репутацию подобных систем, и у части компаний возникла убежденность, что DLP – бесполезна.
Ошибки в использовании DLP-систем
Некоторые организации внедряют DLP, не проводя необходимого предварительного анализа, который учитывает специфику компании, а поэтому в результате получают парализованные информационные потоки, «подвисание» оборудования, ненужную дополнительную загрузку офицеров информационной безопасности.
Все это вызвано изначальным непониманием воздействия системы на каждодневные информационные процессы в компании, к тому же ответственные за внедрение сотрудники не представляют объемы «нарушений», которые могут выявить некорректно настроенные правила политики безопасности. Естественно, многие из уведомлений оказываются ложными. В погоне за призраком тратятся время, силы и нервы аналитиков и, конечно, ресурсы компании.
Причина состоит в том, что на предварительном этапе имплементации системы не решены ряд задач:
- не определены конкретные цели внедрения DLP-решения (контроль несанкционированного доступа, предотвращение случайной рассылки конфиденциальных данных, соблюдение требований регуляторов по защите персональных данных или ужесточение политики безопасности в целом. А, возможно, необходимо было всего лишь контролировать использование интернета персоналом или понять, что хранится на рабочих станциях сотрудников);
- не выяснено, достаточно ли мощностей оборудования компании;
- DLP не тестировалась в пилотном режиме в среде компании;
- блокировка была выбрана в качестве основного метода предотвращения перемещения чувствительных данных, в то время как, по крайней мере на первых этапах, стоит выбрать опцию уведомления сотрудника безопасности. Во-первых, это позволит лучше изучить информационные потоки в компании; во-вторых, блокировка может помешать сотруднику выполнять его трудовые обязанности.
Одни компании решают возникшие проблемы, нанимая множество аналитиков. В их задачу входит сделать все возможное, чтобы отыскать среди информационного шума инциденты, имеющие под собой реальное основание, и поймать инсайдеров.
Другие настраивают политики безопасности таким образом, чтобы максимально не дать системе «помешать» вести бизнес. DLP устанавливается номинально и почти не функционирует. Тем самым снижается та вероятная польза, которую организации могут получать от технологии.
Часть же компаний попросту не завершают контур безопасности, оставляя некоторые каналы незащищенными (порты USB, электронную почту и т. д.).
Все вышеприведенное, вкупе со стоимостью системы, и порождает отношение к DLP как дорогостоящей игрушке, сложной в использовании или малоэффективной. В то время как DLP особенно хороша в выявлении небезопасной политики обращения с данными в компании (и последующей ее настройке, соответственно), предотвращении случайных утечек, а также общераспространенных способов хищения.
Почему нужно внедрять с умом
Информационная безопасность компании – сложный процесс, требующий внимательного подхода. И принцип «установил – и забыл» совершенно не уместен с системами, предполагающими индивидуальную подстройку.
Чаще всего окончательные решения о приобретении DLP принимаются в связи с одним из ряда факторов.
Первый из них – действительно серьезные происшествия, связанные с инцидентами безопасности. Когда организация на собственном опыте испытывает последствия утечки, любые доводы «против» теряют вес. По большему счету в настоящее время компании делятся на те, у которых пока не было утечек, и те, которые уже принимают защитные меры.
Второй – рост и усложнение области информационных технологий. Возникла и распространилась практика использования облачных приложений, мобильных систем и удаленных подключений. В настоящее время данные гораздо меньше сконцентрированы в одном месте, чем это было всего несколько лет назад, когда облачные и мобильные сервисы только начинали приобретать популярность.
Наконец, решающим моментом стало введение нормативных требований, которые содержат положения по защите конфиденциальных данных и накладывают значительные штрафы за их несоблюдение.
Стоит отметить недавно вступивший в силу регламент по защите конфиденциальных данных граждан Европейского союза (GDPR). Его основная цель состоит в том, чтобы такая информация не была доступна неуполномоченным лицам, особенно за пределами «стран GDPR». Новый регулятивный документ также устанавливает штраф в размере до четырех процентов годового дохода за его несоблюдение.
Касаемо России упомянем несколько нормативных актов, содержащих предписания об охране информации, для соблюдения которых потребуется исключительно DLP-система:
- федеральные законы «Об информации, информационных технологиях и о защите информации» и «О коммерческой тайне»;
- приказы ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и др.
Важно отметить, что современные DLP-технологи развиваются очень быстрыми темпами. Возросла способность контролировать перемещение данных по многочисленным каналам, таким как облачные сервисы, и увеличился диапазон охватываемых форматов, например, стали доступны для анализа изображения и голосовые сообщения. Для оптимизации работы с инцидентами безопасности SecureTower разработала модуль «Центр расследований», который упрощает работу сотрудников службы безопасности благодаря возможности расследовать инциденты безопасности и формировать дела, в которых можно подробно фиксировать их ход.
Совокупность этих факторов, а также значительное развитие DLP и смежных технологий свидетельствуют о практичности и эффективности использования подобных решений. В то же время убежденность в непродуктивности системы скорее говорит о неправильном внедрении программного комплекса.