DLP как краеугольный камень механизма расследования инцидентов

Михаил Аношин
Менеджер по развитию бизнеса компании “Инфосистемы Джет"

Посчитать утечку в цифрах – всегда ли это возможно?

В западных отчетах мы можем видеть более-менее реальные цифры убытков, понесенные компаниями в результате кражи или потери информации, которые в принципе легко вычисляются математически. Например, у компании украли базу данных, и она обнародовала этот факт (так как закон обязывает придавать публичной огласке подобные инциденты). В результате, во-первых, акции компании упали, а это так или иначе убыток. Во-вторых, компания потратила средства на закрытие "дыры", через которую утекли столь важные данные, а это снова убыток. В российских реалиях посчитать подобный ущерб затруднительно: если для гражданских исков по патентным вопросам или ноу-хау есть утвержденные законодательством штрафы (от 10 тыс. до 5 млн руб.), то практика по оценке, например, баз данных – задача практически невыполнимая.

Поэтому все попытки просчитать масштаб ущерба от утечек информации в России сводятся к формированию неких синтетических цифр, которые мало соотносятся с действительностью. По нашим собственным оценкам, реальные показатели как минимум в 10 раз выше по сравнению с опубликованными в различных официальных источниках и исследованиях. Причин тому много. В их числе и несовершенная законодательная база, и желание компаний скрыть реальные проблемы внутри компании, и самое главное – невозможность точно посчитать убытки по факту утечек конфиденциальной и коммерческой информации.

Приведу пример вполне реальной ситуации. Место действия – небольшая торговая компания. Время – день выдачи заработной платы. У сотрудника, ответственного за выдачу заработной платы, в день "Х" ломается единственный подключенный к его ПК принтер, и он, недолго думая, выкладывает ведомость с указанием реальных зарплатных сумм топ-менеджмента в папку общего доступа и распечатывает документы с помощью другого ПК. При этом забыв удалить файл из сетевого ресурса, где тот пролежал в открытом доступе целые сутки, прежде чем его обнаружили. Как перевести такую оплошность в реальные цифры возможного ущерба? Никак. Еще один пример из нашей практики: по итогам недельного пилотирования системы "Дозор-Джет" у одного из наших заказчиков выяснилось, что один из сотрудников с рабочего места регулярно публиковал в сети заявления экстремистского содержания. Как оценить последствия такого инцидента? Можно ли избрать критерием какие-то математические показатели? Каков их денежный эквивалент?

Из контролера утечек – в следователи

Самая частая ошибка заказчиков – восприятие DLP-решений, как ПО, способное самостоятельно, без каких бы то ни было усилий со стороны служб безопасности, бороться с утечками данных. Это в корне неверно. На самом деле, функционал DLP-систем в настоящее время интересен не только ИБ-специалистам, но и службам безопасности компаний в целом (в том числе в части экономической безопасности). И если со случайными утечками можно справиться, используя DLP-системы в комплексе с рядом других средств защиты (фаерволы, антивирусное ПО, комплексы контроля прав доступа и проч.), то борьба со злонамеренным инсайдерством требует серьезной консалтинговой составляющей в DLP-проектах на этапе подготовки, внедрения и сопровождения систем. А также – в ходе расследования инцидентов, значение которых нельзя недооценивать. В частности, на основе выводов, полученных в ходе проведенных расследований, можно формировать стратегию улучшения и совершенствования IT-систем предприятия, постепенно сокращая число случайных утечек и предупреждая намеренные путем правильно поставленного мониторинга. При этом простого перехвата трафика и складирования его в базу данных уже явно недостаточно.

Современные DLP-системы (и "Дозор-Джет" не исключение) – довольно сложные комплексы, предназначенные для ведения расследований по инцидентам информационной и экономической безопасности. Все они как минимум умеют эффективно снимать трафик в сети и/или на рабочих ПК сотрудников. Некоторые же из них грамотно блокируют нежелательную отправку писем или посещение нежелательных интернет-ресурсов. "Дозор-Джет", кроме всего указанного выше, предоставляет сотрудникам служб безопасности действительно хорошие инструменты для ведения расследований, которые позволяют даже без специальных знаний в области IT отвечать на такие вопросы бизнеса, как: кто нарушитель, что он сделал, когда это произошло и каковы возможные последствия. С точки зрения бизнеса этот функционал позволит оценить реальную пользу и отдачу от инвестиций в DLP-систему.