DLP-система — это программный или программно-аппаратный продукт, который входит в пакет инструментов компании по обеспечению информационной безопасности и целостности конфиденциальных данных. Задачей DLP-системы является защита данных от воздействия по любой из причин: утечка, инсайдерская атака, пользовательские ошибки и др. причины. Также DLP-системы используются для мониторинга продуктивности персонала, создания отчетности, управления материальными и нематериальными активами: компьютерами, ноутбуками, программным обеспечением и т. д. Большинство инструментов в контуре информационной безопасности предприятия платные, в том числе DLP. Предлагаем исследовать тему: «Стоимость DLP-системы: из чего состоит, как формируется, какие факторы влияют».
Информация на предприятии является не просто комплексом данных. Это ценный актив, который при попадании к конкурентам или мошенникам может нанести материальный и репутационный ущерб. Для обеспечения безопасности данных многие компании принимают меры защиты от внешних и внутренних угроз.
К внешним угрозам принято относить:
Защиту от внешних источников угроз безопасности могут обеспечить:
К внутренним угрозам относятся:
Методы защиты от внутренних угроз безопасности:
Как видно, информационная безопасность на предприятии состоит из комплекса аппаратных и программных решений. Итоговое количество используемых методов подбирается каждой компанией индивидуально. При этом DLP-система занимает одно из ключевых мест в защите информации от внутренних угроз, так как только этот инструмент обеспечивает полный мониторинг цифровых данных и пресечение их передачи сторонним пользователям.
Стоимость DLP-системы в общем комплексе затрат на информационную безопасность может варьироваться от 10 до 50% от всего объема. На итоговое число влияют следующие факторы:
Как видим, DLP-система входит в состав целого ряда инструментов по защите информации. Вместе со всеми объектами они составляют весь бюджет затрат на ИБ.
Процесс ценообразования программного обеспечения, в том числе DLP-системы, состоит из компромисса, в рамках которого необходимо учесть факторы:
Внешние факторы, такие как требования регуляторов, цена у конкурентов, цикл рынка, трудно поддаются регулированию со стороны вендора и учитываются при формировании цены продукта. Внутренние факторы: затраты на создание ПО, которые делятся на единовременные затраты (которые оплачиваются одномоментно и возмещаются в стоимости программного обеспечения долями, растянутыми на период) и постоянные (которые оплачиваются в периоде и постоянно включаются в цену).
К единовременным затратам относят:
К периодичным относятся затраты (аренда, оплата лицензий, страховые взносы, заработная плата сотрудников, налоги), стоимость разработки и тестирования (пул затрат, распределенный в периоде). Плюс в стоимость вместе или отдельным пакетом принято включать сопутствующую техническую поддержку программного обеспечения, услуги по установке и индивидуальной адаптации функционала к потребностям конкретной компании.
При формировании стоимости DLP-системы необходимо и учитывать и специфический для программных продуктов подход к формированию цены. Он зависит от типа продажи ПО, каким способом реализуется продукт компании.
Это продажа программного обеспечения третьей стороне по лицензионному соглашению, которое представляет собой форму договора о получении права использования объекта интеллектуальной собственности поставщика на заранее оговоренных условиях.
Как правило, в эти условия входит количество единиц устройств, на которые могут устанавливать ПО, стоимость продукта и ограниченный или неограниченный срок его использования. Затраты компания-производитель включает в стоимость лицензии, при этом часто отдельным пакетом предлагаются услуги по установке и техподдержке ПО, чтобы клиент мог решить, какими силами (собственными или компании-поставщика) управлять полученной системой.
Для примера, стоимость DLP-системы для компании-покупателя в этом случае составит стоимость покупки лицензии, умноженной на количество объектов-пользователей, срок лицензии и покупку пакета сопутствующих услуг по техподдержке.
Способ предоставления доступа к ПО, но не передача прав на установку. Подход к прайсингу скорее, как к составлению цены услуги (за доступ к сервису ПО).
Компания-производитель предоставляет услуги, базирующиеся на своем программном обеспечении. Нет соглашения прав передачи управления или подписки. Все действия осуществляются собственными силами. Цена формируется на услугу, а не получение доступа к продукту.
Компания-производитель может предоставлять доступ к своему программному продукту на безвозмездной основе в том случае, если оговорен иной способ возмещения затрат на производство (за счет рекламы, благотворительность).
Выбор ценообразования DLP-системы как ПО ложится на плечи разработчика и зависит от бизнес-модели конкретной компании и стратегических планов. Однако чаще всего выбирается лицензирование, так как эта модель более органично вписывается в управление системами предотвращения утечки данных.
Таким образом, стоимость DLP-системы можно описать формулой:
СТОИМОСТЬ DLP-СИСТЕМЫ = ЕДИНОВРЕМЕННЫЕ ЗАТРАТЫ + ПОСТОЯННЫЕ ЗАТРАТЫ + ПАКЕТ СОПУТСТВУЮЩИХ УСЛУГ
Очевидно, что, как и все действия в рамках управления бизнесом, внедрение DLP-системы должно быть обосновано экономической эффективностью. Для начала необходимо произвести оценку прямых затрат на приобретение и использование системы и соотнести их с потенциальным ущербом от утечки информации.
Понятие ущерба от утечки информации очень изменчиво и зависит от многих факторов:
Вариантов негативного воздействия на экономическую стабильность компании очень много, и цена конфиденциальной информации в определенных случаях даже может равняться цене всей компании (если потеря данных приведет к закрытию, обнулению стоимости, непоправимым судебным и регуляторским издержкам). При этом стоимость DLP-систем даже для целого предприятия хоть и варьируется в зависимости от решения по продажам (лицензии и их комплектности, срокам использования), однако соизмеримо ниже, чем полная цена потери бизнеса или простой от ухода большой части клиентов. К тому же всегда существуют неизвестные риски, и с помощью комплекса правил безопасности в DLP-системе можно предупредить наступление таких рисков (в том случае, если они совпали с параметрами уже известных).
Экономическая эффективность от введения DLP-системы в таком случае оценивается по формуле:
ЭФФЕКТИВНОСТЬ = УЩЕРБ ОТ УТЕЧКИ ИНФОРМАЦИИ – ЗАТРАТЫ НА ПРИОБРЕТЕНИЕ И ИСПОЛЬЗОВАНИЕ ПО (ЕДИНОРАЗОВЫЕ ЗАТРАТЫ НА DLP-СИСТЕМУ + ПОСТОЯННЫЕ ЗАТРАТЫ)
Как оценить риск утечки информации, чтобы окончательно убедиться в необходимости обеспечения информационной безопасности? Существует принятая методика управления рисками.
BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3) — это стандартизированная методика анализа, классификации и обработки рисков в зависимости от принятого уровня угрозы, который ему соответствует. Если коротко, то, согласно этой методике, компания устанавливает угрозы безопасности, которым может быть подвергнута, классифицирует их и принимает решение о реагировании, запуске инструментов защиты или игнорировании этих рисков.
BSI-Standard определяет из частоты возможного осуществления (редко, средне, часто, очень часто) и степени ущерба (незначительный, ограниченный, средний, угроза предприятию) статус вероятного риска, выраженный в матрице, где:
Матрица рисков
Кроме того, эту классификацию можно применять и в настройках DLP-системы, когда устанавливается статус риска для инцидентов.
DLP-система обеспечивает надежную защиту информации. Но, кроме этого, она помогает соответствовать нормам регулирования в области использования и хранения информации, в том числе персональной, которая остается в контуре компании.
Компании, нарушившей нормы по использованию персональной информации, грозят штрафы либо иные меры ответственности.
Основные штрафы за нарушение законодательства о защите персональных данных определены в Кодексе Российской Федерации об административных правонарушениях (КоАП РФ) и в Федеральном законе «О персональных данных».
Вот подборка основных штрафов для компаний за разглашение персональной информации.
Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных.
Часть 1. Неправомерный сбор, хранение, использование или распространение персональных данных без согласия субъекта данных.
Штраф для должностных лиц: от 10 000 до 20 000 рублей.
Штраф для юридических лиц: от 60 000 до 100 000 рублей.
Часть 2. Невыполнение оператором обязанностей по обеспечению безопасности персональных данных.
Штраф для должностных лиц: от 6 000 до 10 000 рублей.
Штраф для юридических лиц: от 25 000 до 50 000 рублей.
Часть 3. Неправомерное предоставление или разглашение персональных данных, если это не влечет за собой уголовной ответственности.
Штраф для должностных лиц: от 5 000 до 10 000 рублей.
Штраф для юридических лиц: от 15 000 до 75 000 рублей.
Часть 4. Повторное совершение правонарушения.
Штраф для должностных лиц: от 10 000 до 20 000 рублей.
Штраф для юридических лиц: от 50 000 до 100 000 рублей.
Этот закон определяет правила сбора, обработки, хранения и передачи персональных данных, но штрафные санкции непосредственно в этом законе не прописаны. Однако нарушение его положений может привести к ответственности по КоАП РФ или даже к уголовной ответственности в случаях серьезных нарушений.
Статья 137. Нарушение неприкосновенности частной жизни. Незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.
Штраф: до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Другие меры наказания: принудительные работы на срок до пяти лет или лишение свободы на тот же срок.
Все штрафы направлены на обеспечение защиты прав граждан на неприкосновенность их персональных данных и стимулирование компаний к соблюдению законодательства в этой области. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) как основной орган, отвечающий за контроль и надзор за обработкой персональных данных, проводит регулярные проверки и может применять штрафные санкции в случае выявления нарушений.
Предусмотрено и повышение штрафов в зависимости от тяжести нарушения и его последствий, а также могут быть наложены дополнительные меры, такие как приостановление деятельности компании.
Применение DLP-систем сводит к минимуму вероятность утечки таких данных, а значит, и экономит компании сумму возможного штрафного взыскания, которое та будет вынуждена заплатить.
Рассмотрим другие затраты компании, которые можно минимизировать или вовсе предотвратить с помощью DLP-систем.
Это тип затрат на выявление, организацию защиты, устранение и последующее пресечение рисков информации. Как правило, сюда входят:
Введение DLP-системы позволяет снизить затраты на приведение контура защиты информации предприятия в соответствие с требованиями регуляторов (за счет увеличения эффективности защиты персональных данных, пресечения инсайдерской торговли), снизить нагрузку и сопутствующие затраты по расширению штата сотрудников отдела ИБ (т. к. многие функции мониторинга и пресечения инцидентов безопасности DLP-система автоматизирует).
Внедрение DLP-системы в контур безопасности предприятия обеспечивает более эффективное управление производительностью сотрудников и минимизацию потерь от:
Компенсационные выплаты — это денежная компенсация, которая выплачивается потерпевшей стороне из-за произошедшего инцидента, повлекшего за собой материальный или моральный ущерб. Для организации частым прецедентом является утечка персональных данных клиентов или сотрудников из-за ненадлежащей обработки и хранения информации либо умышленных (неумышленных) действий сотрудников.
Компенсационные выплаты при обнаружении утечки данных организация вправе установить сама, исходя из уровня угрозы, возникшей из-за инцидента, или они могут быть потребованы потерпевшей стороной. В этом случае размер компенсации устанавливается потерпевшим и утверждается через суд с обязательством выплаты.
Точно рассчитать сэкономленные средства компании за счет минимизации утечки данных невозможно, ведь при наступлении инцидента все зависит от типа данных (насколько персональная информация может быть использована в мошеннической деятельности), количества пострадавших (количества человек, чьи данные были утеряны), страны, в которой произошел инцидент (есть ли обязательство выплаты компенсации, какая юридическая практика принята в таких случаях).
Утечка информации негативно сказывается на конкурентоспособности компании как в краткосрочном периоде, так и в долгосрочных планах. Через утечку данных компания может потерять базу существующих и потенциальных клиентов. В краткосрочном периоде это отобразится на продажах, ведь конкуренты получат прямой выход на готовых покупать товар или услуги клиентов. А в средне- и дальнесрочных перспективах клиенты могут испытывать потребность в дополнительном утверждении безопасности данных и обратной связи от продавца.
Аналогично реагируют и партнеры бизнеса, которые не хотят терять свой рейтинг из-за проблем с безопасностью вашей компании.
Потеря конкурентоспособности — одно из самых ощутимых последствий для компании, так как напрямую влияет на эффективность работы и доход.
Давайте рассмотрим примерные потери компании от инцидента информационной безопасности — утечки персональных данных клиентов.
Дано: компания с численностью сотрудников в 120 человек (80 единиц ПК) допустила утечку персональных данных клиентов (100 000 строк информации), содержащей информацию о ФИО, номерах телефонов, e-mail, датах и суммах покупок. Всего пострадало 15 000 клиентов.
В результате утечки информации компания провела следующие действия.
Оставила сверхурочно 2-х сотрудников отдела безопасности на протяжении 3-х дней по 2 часа для выявления инцидента и получения полной информации об утерянных данных и пострадавших.
Привлекла стороннего аудитора информационной безопасности для поиска и обнаружения источника инцидента.
Оплатила услуги связи и телефонии для рассылки уведомлений пострадавшим об утечке персональных данных каждого, с уточнением типов утечек.
Провела внутрикорпоративное собрание для обсуждения и принятия плана действий по устранению негатива от инцидента.
Принято решение провести комплексный анализ уязвимостей ИБ с помощью уже привлеченной компании и сотрудников, а также составлена политика безопасности, которая уточняет правила пресечения инцидентов в будущем. Принята структура аппаратных и программных средств защиты, закуплены брандмауэры и DLP-система. Одобрена юридическая помощь для общения и получения обратной связи от потерпевших, правовом сопровождении выплаты компенсации. Использованы СМИ и дополнительные инструменты маркетинга.
Принят и выплачен штраф от регулятора в размере 200 000 руб. Сформирован и выплачен пул возмещений ущерба пострадавшим по их обращению (обратилось 15 % пострадавших, принят размер компенсации в объеме 5000 руб. на чел.).
Оплата лицензий и техподдержки. Подробнее о цене всех операций смотрите в таблице.
В результате подсчетов видно, что все затраты по устранению последствий составили 3 254 000 руб., из них затраты на установку и дальнейшую поддержку технического состояния аппаратных и программных средств обеспечения ИБ — 540 000 руб. Таким образом, прямые затраты от инцидента безопасности составили 2 714 000 руб. Как видим, установка и применение систем защиты от утечки данных могли бы сэкономить компании значительную сумму и сохранить репутацию, ущерб которой оценить трудно.
Кроме этих затрат могут быть и другие: дополнительные затраты на устранение последствий ущерба, повышенный тариф для штрафов, интерес пострадавших клиентов к возмещению ущерба и так далее.
Инфраструктура современного бизнеса и расширение способов обращения с конфиденциальной информацией значительно расширила возможности для мошенников. Сейчас большая часть данных о бизнесе (начиная от оперативного учета, заканчивая самим продуктом) оцифрована, что позволяет получить доступ к этим данным через сеть. Основные факторы роста угроз информационной безопасности:
Цифровизация экономики.
Появилось множество цифровых продуктов, которые несут существенную ценность для организаций. Да и сами организации сегодня могут предоставлять услугу или продукт в цифровом виде. Плюс к этому, большинство операций также происходит в цифровой среде, фиксируется рост информационного обмена, а значит, и доступность данных повысилась.
Рост инструментов для мошенничества.
Кроме роста количества источников информации в цифровой среде, растет и количество вариантов несанкционированного доступа к ней. Мошенники расширили свои возможности с помощью использования инструментов фишинга, социальной инженерии, цифровых аватаров, атак вредоносного ПО и многими другими вариантами несанкционированного доступа.
Недостаток образованности и навыков обращения с цифровыми данными.
Одним из пунктов, над которыми многочисленные организации сейчас работают, это повышение осведомленности сотрудников в вопросах информационной безопасности. До сих пор многие не знают элементарных правил цифровой гигиены и защиты от внешних угроз, халатно относятся к обращению с конфиденциальными данными и допускают утечки информации.
Возросло количество таргетированных атак.
Цифровая среда используется для таргетированных атак со стороны мошенников и очень часто — со стороны конкурентов. Нечестные пути продвижения товаров/услуг — популярный сервис, который также должен учитываться при создании контура безопасности предприятия.
Идеологические и политические мотивы.
Фиксируется рост внедрения в информационную безопасность предприятий по причине идеологического или политического несогласия с принятой моделью поведения этого предприятия. Поводом может послужить непринятие типа выпускаемой продукции, потенциальный ущерб окружающей среды от производства или продукции, несогласие с внешней политикой руководства, рынками сбыта, ценой. Любое недовольство может перерасти в атаку.
В информационной безопасности есть такое понятие — затраты на предотвращенный ущерб. Это объем средств, который затратила бы компания на нивелирование ущерба от инцидента ИБ. Пунктов, по которым может пострадать компания из-за ущерба безопасности информации, очень много. Достаточно взглянуть на наш пример (см. таблицу выше), где утечка элементарных персональных данных привела к многомиллионному ущербу и потере репутации. И это только примерный расчет. В действительности последствия могут быть гораздо серьезнее, как в краткосрочном периоде, так и в дальнесрочном для компании.
Необходимость использования инструментов защиты — это потребность для бизнеса, стабильность безопасности и сохранности критичной информации для компании. Особенно использование DLP-систем, которые и являются инструментом защиты внутреннего контура компании. Затраты на нейтрализацию последствий инцидента безопасности всегда будут выше, чем заранее продуманная система защиты.