Если инсайдер - чужой среди своих

     ЗАЩИТА ДАННЫХ

То, что базы данных воруют и продают, - факт известный. Не секрет также, что, несмотря на серьезные меры, предпринимаемые компаниями по защите своих информационных активов, утечка данных из корпоративных хранилищ зачастую дело рук инсайдеров, то есть своих же сотрудников. Делая основной упор на борьбу с внешними угрозами, внутренним предприятия долгое время не уделяли должного внимания. И до сих пор немногие рассматривают их всерьез, хотя потери в таких случаях измеряются не только в денежном исчислении, но и наносят ущерб репутации и конкурентоспособности организации.

Джеймс Беквит: “Существующие

 системы защиты корпоративных

 данных не охраняют от инсайдеров”

Фирма SoftBCom (www. softbcom.ru), дистрибьютор и реселлер решений Embarcadero Technologies (www.embarcadero.com) на российском рынке, представила продукт этого вендора DSAuditor v 3.6, предложив технологическую основу для борьбы с воровством корпоративных данных и несанкционированным их изменением сотрудниками компании. DSAuditor развивается уже семь лет и используется предприятиями США и Европы в основном для сбора информации и представления отчетов в соответствии с такими законодательными требованиями, как закон Сарбейнса - Оксли, Basel II, FISMA и др. Это программно-аппаратный комплекс, собирающий сведения о движении данных в сети и отслеживающий изменения в БД. Аудиту подлежат функции идентификации и аутентификации (включая успешные/неуспешные входы в БД, изменения паролей), авторизации (изменение прав, пользовательских ролей и пр.), связанные с данными и с БД события (в том числе изменения, производимые операторами insert/update/delete и select), а также метрики, характеризующие производительность и использование БД (запросы, исполняющиеся длительное время, неактивные данные, наиболее активные пользователи и пр.). Практика показывает, что 30% корпоративных хранилищ содержат уже не используемую информацию, и DSAuditor поможет определить такие слои для того, чтобы в дальнейшем избавиться от них. Система позволяет различать уровни критичности данных, отслеживать опасные комбинации событий, учитывать ролевые настройки пользователей. Возможен аудит сессий связи с БД и "захват" информации, включая идентификатор пользователя, приложение, IP-адрес и пр. Подозрительная или недопустимая активность в сети, определяемая конфигурируемыми порогами, вызывает немедленное оповещение о произошедшем событии, помогая предотвращать негативные последствия. Для создания детальных и консолидированных отчетов по контролируемым параметрам для разных служб возможен экспорт данных из репозитория DSAuditor в форматы PDF, HTML, CSV, RTF, XLS.

Основу решения составляет прибор, "прослушивающий" сети между пользователями и БД. Поддержка основных СУБД (IBM DB2 UDB, Informix, Microsoft SQL Server, Oracle, Sybase и Teradata) позволяет получить общую картину исторической и текущей активности, связанной с БД, исключая необходимость использования фрагментарных, встроенных в СУБД средств контроля безопасности, различных для разных производителей или написанных собственными программистами компании. Одно из преимуществ нового решения, считает разработчик, в том, что в отличие от средств аудита БД, основанных на ведении журнала (log based) и сильно "тормозящих" работу приложений, DSAuditor оказывает минимальное влияние на производительность проверяемой системы, позволяя тем самым вести непрерывный контроль и сбор сведений для репозитория. Продукт, как утверждают его создатели, способен осуществлять консолидированный (по нескольким различным БД) аудит доступа к данным в сложной кроссплатформенной среде, имеет высокую пропускную способность (до 40 тыс. запросов в секунду), легко масштабируется, прозрачен для приложений и БД, позволяет работать с различными устройствами и клиентскими программами.

"Корпоративные данные стали одним из самых важных активов, - отметил руководитель группы технических консультантов европейского отделения Embarcadero Europe Джеймс Беквит (James Beckwith), - поскольку на их основе строится оценка акций и в конечном счете определяется стоимость фирмы". Затраты американских компаний на приведение своей инфраструктуры в соответствие всем законодательным требованиям по информационной защите в 2005 г. составили 15,5 млрд. долл. Начинающему этот процесс бизнесу он обходится в миллионы долларов и приводит к приобретению средств, необходимых для проведения внешнего аудита, а не для обеспечения внутренней безопасности. Надо сказать, что в США закон требует сообщать акционерам об утечке данных, что серьезно стимулирует борьбу с такими явлениями.

В Европе, по мнению г-на Беквита, ситуация несколько иная. Большинство европейских компаний не разглашают подобные инциденты в целях сохранения репутации и такие законы, как Сарбейнса - Оксли и Basel II, не исполняются здесь полностью. Существующие системы защиты корпоративных данных, считает он, уязвимы для инсайдеров. Многие процессы по их аудиту не автоматизированы или отключены (поскольку тормозят работу), отсутствует непрерывность контроля.

Конечно, установка DSAuditor - это лишь первый шаг по обеспечению безопасности данных и предупреждению их утечки. Сам продукт не останавливает нерегламентированные процессы во избежание нарушения деятельности компании, но в режиме реального времени уведомляет о произошедшем событии. За принятие решения о незаконности последнего и последующих мер по предотвращению последствий ответственна компания. Поэтому DSAuditor должен быть интегрирован в бизнес-процессы фирмы, стать частью ее деловой активности. Как сообщил Джеймс Беквит, следующая версия продукта предусматривает интеграцию с BPM-системами основных вендоров, а также разделение функций по управлению (настройка, администрирование, безопасность) на базе серверного портала. "DSAuditor дополняет существующие в компаниях средства защиты и требует определенных организационных изменений, интеграции с другими приложениями (программой аутентификации, межсетевым экраном, антивирусным ПО и пр.), поэтому его внедрение предполагает участие экспертов в области информационной безопасности и системных интеграторов", - пояснил генеральный директор SoftBCom Владимир Дудченко.

Вопрос локализации DSAuditor остается пока открытым. Лицензируется его серверный компонент. Стоимость ПО составляет около 3 тыс. долл. на один физический процессор контролируемой БД, включая НДС и стоимость поддержки в течение первого года. Запланировано проведение сертификации продукта.