Як не треба впроваджувати DLP

З усього пулу коштів забезпечення інформаційної безпеки DLP-системи привертають до себе особливу увагу, оскільки є очікування, що вони можуть стати вирішенням всіх проблем інформаційної безпеки. Однак некоректна практика використання підірвала репутацію подібних систем, і у частини компаній виникло переконання, що DLP – непотрібна.

Помилки у використанні

Деякі організації впроваджують DLP, не проводячи необхідного попереднього аналізу, що враховує специфіку компанії, а тому в результаті часто отримують паралізовані інформаційні потоки, підвисання обладнання, непотрібне додаткове завантаження офіцерів інформаційної безпеки.

Все це внаслідок початкового нерозуміння впливу системи на щоденні інформаційні процеси в компанії, до того ж відповідальні за впровадження співробітники не уявляють обсяги «порушень», які можуть виявити некоректно налаштовані правила політики безпеки. Природно, велика кількість таких повідомлень виявляються неправдивими. Проте в гонитві за примарою витрачаються час, сили і нерви аналітиків і, звичайно ж, ресурси компанії.

Причина полягає в тому, що на попередньому етапі імплементації системи залишається невирішеним ряд завдань:

•  не визначені конкретні цілі впровадження DLP-рішення (контроль несанкціонованого доступу, запобігання випадкової розсилки конфіденційних даних, дотримання вимог регуляторів щодо захисту персональних даних або посилення політики безпеки в цілому, а можливо необхідно було всього лише контролювати використання інтернету персоналом або зрозуміти, що зберігається на робочих станціях співробітників);

• не з'ясовано, чи достатньо потужності в обладнання компанії;

•  DLP, не пройшла перевірку в пілотному режимі в середовищі компанії;

• блокування вибрано як основний метод запобігання переміщення чутливих даних, в той час як, принаймні на перших етапах, варто вибрати опцію повідомлення співробітника безпеки. По-перше, це дозволить краще вивчити інформаційні потоки в компанії; по-друге, блокування може перешкодити співробітнику виконувати його робочі обов'язки.

Одні компанії вирішують проблеми, що виникають, наймаючи безліч аналітиків. В їх завдання входить зробити все можливе, щоб відшукати серед інформаційного шуму сраспрацювань інциденти, які мають під собою реальне підгрунтя, і зловити інсайдерів.

Інші налаштовують політики безпеки таким чином, щоб максимально не дати системі «перешкодити» вести бізнес. DLP встановлюється номінально і майже не функціонує. Тим самим знижується та ймовірна користь, яку організації можуть отримувати від цієї технології.  

Частина ж компаній просто не завершують контур безпеки, залишаючи деякі канали незахищеними (порти USB, електронну пошту і т. д.).  

Все наведене вище, вкупі з вартістю системи, породжує ставлення до DLP як дорогої іграшки, складної у використанні і малоефективної. В той час як DLP особливо добре працює у виявленні небезпечної політики поводження з даними в компанії (і її подальшого налаштування, відповідно), запобігання випадкових витоків, а також загальнопоширених способів розкрадання.

Чому потрібно впроваджувати з розумом

Інформаційна безпека компанії - складний процес, що вимагає певної уваги. І принцип «встановив – і забув» зовсім не доречний, коли мова йде про системи, які передбачають індивідуальне налаштування.

Найчастіше остаточне рішення про придбання DLP приймається в зв'язку з одним із ряду факторів.

Перший з них – дійсно серйозні події, пов'язані з інцидентами безпеки. Коли організація на власному досвіді відчуває наслідки витоку, будь-які доводи «проти» втрачають вагу. За великим рахунком в даний час всі компанії поділяються на ті, у яких поки не було витоків, і ті, які вже вживають захисних заходів.

Другий – зростання і ускладнення сфери інформаційних технологій. Виникла і поширилася практика використання хмарних додатків, мобільних систем і віддалених підключень. Зараз дані набагато менше сконцентровані в одному місці, ніж це було всього кілька років тому, коли хмарні і мобільні сервіси тільки починали набувати популярності.  

Нарешті, вирішальним моментом стало введення нормативних вимог, які містять в собі положення щодо захисту конфіденційних даних і накладають значні штрафи за їх недотримання.

Варто відзначити нещодавно вступив в силу регламент щодо захисту конфіденційних даних громадян Європейського союзу (GDPR), основна мета якого полягає в тому, щоб така інформація не була доступна неуповноваженим особам, особливо за межами «країн GDPR», а також встановлює штраф у розмірі до чотирьох відсотків річного доходу за недотримання цих вимог. Що стосується Росії, ми можемо згадати кілька нормативних актів, що містять приписи про охорону інформації, для дотримання яких знадобиться виключно DLP-система: федеральні закони «Про інформацію, інформаційні технології і про захист інформації» та «Про комерційну таємницю», накази ФСТЕК «Про затвердження складу та змісту організаційних і технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних »та« про затвердження вимог про захист інформації, яка не становить державної таємниці, що міститься в державних інформаційних системах» та ін.

Важливо відзначити, що сучасні DLP-технології розвиваються дуже швидкими темпами. Зросла здатність контролювати переміщення даних по численним каналам, таким як хмарні сервіси; збільшився діапазон охоплених форматів, наприклад, стали доступні для аналізу зображення і голосові повідомлення. Для оптимізації роботи з інцидентами безпеки SecureTower розробила модуль «Центр розслідувань», який спрощує роботу співробітників служби безпеки завдяки можливості не виходячи з системи розслідувати інциденти безпеки і формувати справи, в яких можна детально фіксувати їх хід, виявляти фігурантів і автоматично отримувати складені звіти.

Сукупність цих факторів, а також значний розвиток DLP і суміжних технологій свідчать про практичність і ефективність використання подібних рішень. У той же час переконаність в непродуктивності системи, швидше, свідчить про неправильне впровадження програмного комплексу.