Защита от утечек — с помощью DLP-систем и без них

На пленарном заседании состоявшейся в Москве конференции DLP-Russia '2013 интересы сообщества заказчиков представлял начальник отдела эксплуатации средств защиты информации компании “Северсталь” Алексей Волков — он оказался единственным выступающим из этой категории участников в основной части конференции.

После выступления Алексей Волков ответил на вопросы научного редактора еженедельника PC Week/RE Валерия Васильева, касающиеся практикуемых в российских компаниях походов к обеспечению защиты корпоративных данных от утечек и роли в этом процессе промышленных DLP-систем.

PC Week: Нужна ли корпоративным ИБ-службам защита информации от утечек?

Алексей Волков: Безусловно нужна, хотя бы потому, что сегодня количество предотвращенных утечек данных входит в число показателей эффективности деятельности большинства корпоративных ИБ-служб.

PC Week: Но ведь утечка — это чистый ИБ-риск, который для бизнеса должен трансформироваться в бизнес-риски. Разве может бизнес-руководство компании довольствоваться только таким показателем, как количество предотвращенных утечек?

А. В.: Здесь мы вторгаемся в область общего предназначения корпоративной ИБ. Если бизнес-руководство компании не понимает специфику функций службы ИБ, с ним проще разговаривать на языке, им уже усвоенном, например, общаться в терминах безопасности экономической, физической, финансовой…

Сегодня службы физической, экономической, финансовой (и т. д.) безопасности не могут обходиться без информационных технологий. И как только выполнение ими их прямых служебных обязанностей осложняется аспектами использования ИТ (например, в хищениях продукции со склада оказывается задействован функционал ERP-системы), именно эти службы выступают инициаторами внедрения специализированных ИТ- и ИБ-инструментов, которые могут им помочь и дальше эффективно выполнять свою работу. Поэтому пересчетом количества предотвращенных утечек данных в предотвращенные прямые и косвенные бизнес-убытки занимаются те корпоративные службы, которые в свое время выступили драйвером развертывания системы предотвращения утечек.

Нужно отметить, что далеко не всякая информация, обрабатываемая в компании, может быть оценена в деньгах, даже приблизительно. Категоризация данных, оценка их стоимости — предмет для широкого (и непростого) внутрикорпоративного обсуждения.

В компании, где я работаю, основные бизнес-риски связаны с потерями вследствие мошенничества с материальными активами, зачастую сопровождаемого утечками данных. Пересчитать их в украденные или недополученные рубли бывает несложно.

Если руководство воспринимает утечки информации как угрозу для бизнеса (что для российских компаний уже не редкость), развертывание специализированной системы предотвращения утечек данных (DLP) может заметно помочь ИБ-службе обосновывать свою полезность на регулярной основе.

PC Week: Решают ли задачи защиты информации от утечек современные DLP-системы?

А. В.: На этот вопрос, на мой взгляд, нет однозначного ответа. Утечки столь разнообразны по своей природе — по используемым технологиям, по должностному положению тех, кто виновен в инциденте, по их намерению в отношении использования последствий утечки и утекших данных… К тому же и сами технические решения, которые их разработчики позиционируют на рынке как DLP, очень сильно различаются по своим возможностям, и количество этих продуктов велико. Я, например, имею представление далеко не обо всех разработках, позиционируемых на рынке в качестве DLP-систем.

Если же говорить о тех DLP-системах, которые мне хорошо известны, то их эффективность зависит от того, насколько тесно они интегрированы с бизнес-процессами заказчика. Ведь система DLP — это только инструмент, как и все прочие ИТ- и ИБ-системы. Если у безопасника не категоризированы данные, плохо описаны ИБ-процедуры, не регламентированы действия по ИБ-инцидентам и т. д., то какой бы мощной ни была DLP-система, работать она не будет.

PC Week: Ну а если все те требования, которые вы перечислили (и имели в виду) корпоративным безопасником выполнены, можно ли в борьбе с утечками обойтись какими-то иными ИБ-средствами, кроме специально предназначенной для этого DLP-системы?

А. В.: Я считаю, что к помощи специализированной системы защиты от утечек следует прибегать только тогда, когда других вариантов для этого нет.

PC Week: Значит, все-таки в каких-то случаях DLP-ситема и не нужна. Можно как-то определить условия, позволяющие обойтись без неё?

А. В.: Сначала нужно определиться с тем, что в компании будет считаться утечкой. Часто утечкой считают выход информации определенной категории за пределы доверенной зоны. Возможность организовать процессы таким образом, что вся информация будет находиться только там, где ей предписано, есть всегда. Все зависит от безопасника — от того, насколько эффективны общие меры и средства обеспечения корпоративной ИБ.

Разработчики DLP-систем, например, утверждают, что их продукты эффективны в борьбе против утечек, связанных с невнимательностью, халатностью персонала по отношению к установленным ИБ-правилам, а также с избыточной строгостью самих этих правил. Но я считаю, что самыми лучшими мерами борьбы с этими причинами утечек является регулярное обучение персонала, оптимизация ИБ-требований к пользователям в целях исключения избыточных и — опять же через обучение — убеждение сотрудников в том, что ослабление некоторых жестких ИБ-требований может привести к тяжелым последствиям для компании.

Если руководитель ИБ-службы нерачителен, если ему лень организовать ИБ-обучение персонала и гармонизировать ИБ-требования, то внедрение DLP-системы может его выручить, но только в одном — в наличии “средства влияния” на сотрудников. И это самый худший вариант использования DLP.

PC Week: Реально ли сегодня защитить от утечек неструктурированные данные — статические изображения, видео и аудио (сегодня совокупность такой информации часто называют большими данными), которые преобладают в корпоративном трафике?

А. В.: Систем и внешних сервисов, которые позволяют сотрудникам работать с такими данными, сегодня много. Теоретически, внедрить в корпоративную среду, минуя ИТ- и ИБ-службы, можно любой из них, запустив на рабочем месте соответствующее клиентское программное приложение. Самым эффективным средством борьбы с ними я считаю системы предотвращения вторжений нового поколения — они в состоянии выявлять сигнатуры, характерные для подобных сервисов, и блокировать их.

PC Week: А как быть, если источником неструктурированных данных становятся системы, внедренные по распоряжению руководства, такие как видеоконференцсвязь, например?

А. В.: Для корпоративного безопасника это самая плохая ситуация. Если внедрение подобных систем инициировано сверху, он может действовать двумя путями. Первый — обратиться к руководству с официальным уведомлением о невозможности полноценного ИБ-контроля подобных систем. Это будет означать снятие с себя ответственности за вероятные ИБ-инциденты, связанные с их эксплуатацией.

И второй путь — найти подходящие инструменты контроля, в том числе и среди DLP-разработок. Однако практика показывает, что DLP-системы не в состоянии контролировать такой трафик, потому что вендоры не успевают разрабатывать необходимый для этого функционал в своих DLP-продуктах. В результате в корпоративном трафике создается огромная дыра, напрочь лишающая использование DLP-системы всякого смысла.

Подводя итог, могу сказать, что оперирование неструктурированными данными образует бреши в корпоративной ИБ, закрыть которые можно лишь отчасти и другими методами. Мне известны примеры, когда для борьбы со злонамеренным инсайдом компании используют полиграфы.

PC Week: Какие принципиальные сложности вы видите в защите информации от утечек при переходе на облачно-сервисную модель использования ИТ?

А. В.: Если компания решит перейти к облачно-сервисной модели, например, в использовании электронной почты, она должна быть готова к тому, что провайдер вряд ли согласится на интеграцию в свою ИТ-инфраструктуру средств защиты от утечек, развернутых на стороне клиента. Но он постарается выполнить требования клиента к защите от утечек своими средствами и убедить его в том, что сделает это в полном соответствии с этими требованиями.

Далеко не каждый клиент сегодня сумеет сформулировать требования к защите от утечек данных для случая облачно-сервисной модели использования электронной почты, а если и сумеет, то выполнение этих требований может поставить провайдера перед необходимостью разработки дополнительных ИБ-систем, что увеличит стоимость услуги (при условии, что провайдер все-таки согласится на доработку).

Решение в этой непростой ситуации должен принимать бизнес: что для него важнее — утечки данных по электронной почте или экономия расходов в результате перехода на электронную почту как облачный сервис. Если бизнес сильно завязан на электронную почту, я рекомендовал бы оставить ее обеспечение внутри компании. В противном случае резонно воспользоваться облачной услугой.

Вообще, проблемы защиты от утечек можно решить и при переходе к облачным услугам. Однако при этом важно исходить из специфики бизнес-процессов. Далеко не каждый из них нужно передавать в облако. Но если это все-таки делается, компания должна осознанно принять новые связанные с этим риски. Задача безопасника выявить эти риски и донести до руководства компании. А согласится с новыми рисками бизнес или нет — вопрос уже следующий.

И потом, нужно учитывать, что передача контроля ИТ-сервиса в облако лишает ИБ-службу некоторых традиционных обязанностей, что понижает ее значимость и статус в компании.

Конечно, у ИБ-службы появятся новые обязанности — контролировать не персонал предприятия, а провайдера, что потребует иной квалификации и новых навыков от ИБ-специалистов начиная с ИБ-руководителя, нужен будет иной штатный состав ИБ-службы. Не всякий руководитель на это пойдет.

PC Week: Что нужно сделать в компании, чтобы использование DLP-систем (в нынешнем их исполнении) было легитимным?

А. В.: Практика показывает, что сегодня российские компании нашли способы использовать DLP-системы, не нарушая прав сотрудников. Но поскольку законодательная база меняется в соответствии с реалиями жизни, могут возникнуть прецеденты, которые потребуют что-то поменять в условиях применения DLP-систем, с тем чтобы оно пришло в соответствие с новыми законодательными требованиями.

PC Week: А можно ли “рядовой” персонал сделать сторонником внедрения в компании DLP-системы?

А. В.: Нет, сторонниками их не сделать. Но ИБ-служба обязана организовать процесс использования DLP таким образом (через обучение, мотивацию), чтобы персонал сознательно относился к тому, что все его действия, совершаемые в информационных системах, контролируются

PC Week: Компании весьма настороженно относятся к функционированию DLP-систем в режиме предотвращения утечек, предпочитая режим обнаружения. Компенсируется ли это возможностью использовать данные DLP на стадии расследования инцидентов, связанных с утечкой информации, в том числе и в судебных разбирательствах?

А. В.: Очень трудно настроить DLP-систему на работу в режиме предотвращения утечек, особенно если компания большая, например, как наша. Это возможно разве что в отношении документов с хорошо известной жесткой структурой. Подавляющая же часть корпоративных данных к таковым не относится. Поэтому так важен функционал DLP-систем, нацеленный на поддержку расследования ИБ-инцидентов. Несмотря на недостаточную готовность следственно-судебной практики нашей страны, этот функционал становится все актуальнее не только для внутренних, но и для судебных разбирательств корпоративных ИБ-инцидентов.

PC Week: Внедрена ли DLP-система в “Северстали”?

А. В.: Неусыпно следящей за всеми без исключения DLP-системы, построенной по принципу “большого брата”, у нас нет — специфика бизнеса не требует ее наличия. Но там, где необходимо, мы используем отдельные функциональные DLP-элементы.

PC Week: Благодарю за беседу.