Эксперты рынка о внедрении DLP-систем

– С какими требованиями со стороны заказчиков вам чаще всего приходится сталкиваться при внедрении DLP-систем?

Традиционно, рассматривая возможность внедрения DLP-системы, прежде всего заказчик хочет быть уверен, что он сделал все для минимизации рисков утечки информации. Это может быть как преднамеренное хищение, так и потеря данных по неосторожности или в связи с некомпетентностью сотрудников компании.

Чаще всего заказчик настаивает на программном решении без всяких дополнительных аппаратных средств, которое при этом легко внедряется в существующую инфраструктуру без изменения архитектуры сети или нарушения уже налаженных бизнес-процессов. DLP-система должна гарантировать простоту установки и настройки, а также централизованное развертывание и управление всей системой из одной консоли.

Крупные корпоративные пользователи серьезно относятся к поддержке MS Exchange Server, на базе которого у многих организаций реализованы корпоративные почтовые системы, и разнообразных баз данных (например, MS SQL Server, Oracle и т.д.), в которых зачастую хранится личная или конфиденциальная информация.

Обычно заказчики DLP-систем выдвигают основным требованием саму суть DLP-систем – обеспечение защиты конфиденциальных и ценных данных на пользовательских компьютерах корпоративных ИС. Это связано с тем, что все больше и больше информации создается, хранится и используется работниками непосредственно на их рабочих местах. Кроме того, требуется обеспечить возможность блокировки не только локальных каналов утечки данных с пользовательских компьютеров (таких, как USB-флеш и принтеры), но и утечек через сеть: в частности, практически все наши клиенты сегодня хотят иметь возможность селективно блокировать доступ своих сотрудников к социальным сетям – например, Facebook, Twitter, "Одноклассники", "ВКонтакте". Очень высок спрос на блокировку непроизводственных почтовых коммуникаций на базе Gmail, Hotmail, Mail и пр., контроль передачи файлов по протоколу FTP. В последний год резко вырос интерес к фильтрации (контентному анализу) данных, копируемых на внешние устройства и передаваемых по сети (по электронной почте, в социальные сети и форумы и др.). В то же время важными для наших клиентов остаются функции полного событийного протоколирования с возможностью оперативного централизованного сбора и анализа протоколов, включая теневое копирование данных и полнотекстный поиск по их содержимому. Безусловным требованием практически всех корпоративных заказчиков является интеграция с платформой Microsoft Active Directory, включая возможность управления DLP-политиками непосредственно из штатных средств управления доменом.

Требования к DLP-системе у каждого заказчика уникальны, ведь каждый подходит к решению задачи защиты данных от утечек по-своему. Однако можно выделить несколько общих моментов. К основным защищаемым каналам утечки относятся электронная почта, Интернет, съемные носители, системы мгновенных сообщений и печать. Очень часто обязательным условием бывает способность поиска конфиденциальной информации в системах хранения (в базах данных, в архиве почты, в системах электронного документооборота, на файл-серверах). Также мы часто сталкиваемся с желанием заказчика внедрить себе некую стандартизованную систему защиты от утечек, что в принципе достаточно сложно, исходя из различия в требованиях и внутренних особенностей каждого.

Прежде всего заказчики выбирают решения, приемлемые по качеству и цене. Отсюда основные требования – ценовая доступность и легкость в установке и настройке системы.

Заказчики хотят иметь не только технологичную DLP-систему, но и надежный, удобный в использовании инструмент защиты своей информации. Важно, чтобы для DLP, как, например, для антивируса или файрвола, не требовалось каких-то особенных умений, и обычные сотрудники IТ- и ИБ-отделов могли легко с ними управиться. Помимо этого, много вопросов в стиле "а у вас точно контролируются ICQ, Mail.Ru Агент и Skype?", которые появляются после первого неудачного опыта внедрения DLP.

Виктор Сердюк: В первую очередь заказчики заинтересованы в том, чтобы система DLP имела возможность контролировать все возможные каналы утечки конфиденциальной информации. В число таких каналов входит электронная почта (включая Web-почту), локальная и сетевая печать, каналы instant messaging, Skype, протоколы FTP, HTTP и др. При этом система DLP должна максимально просто интегрироваться в существующую IТ-инфраструктуру заказчика, а также быть максимально удобной в эксплуатации. Еще одним требованием, которое часто возникает при выборе DLP-системы, является наличие функций сбора и анализа сетевого трафика, что позволяет иметь доказательную базу для расследования инцидентов. Средства защиты данного типа относятся к классу Network Forensic. Нужно также учитывать, что любой проект по внедрению DLP-системы заключается не только в поставке и внедрении определенного набора программного и аппаратного обеспечения, – необходимо разработать и внедрить целый ряд документов, направленных на определение порядка обработки и защиты конфиденциальной информации на предприятии. При этом процесс разработки, согласования и утверждения такого рода документов занимает не меньше времени, чем поставка и внедрение самого DLP-решения.

Часто заказчик хочет, чтобы мы вместе с ним или даже вместо него классифицировали и категоризировали информационные потоки. Заказчик редко может формально описать классы (финансовая, производственная, коммерческая информация) и категории (общедоступная, ДСП, коммерческая тайна и т.д.), поэтому мы используем для классификации и категоризации наш самообучающийся "движок", который начинает с предустановленных категорий, присущих данной отрасли, а затем обучается на ложных срабатываниях. После такой процедуры внедрять DLP-систему намного проще, поскольку она сама определяет уровень защиты документа независимо от того, был он проиндексирован в системе или нет.

– На рынке сейчас существует множество различных DLP-решений с большим количеством параметров, усложняющих выбор. На что в первую очередь заказчику следует обращать внимание при внедрении системы для защиты от утечек?

Александр Акимов: Большинство DLP-систем на данный момент в разной степени умеют перехватывать и сохранять информацию, идущую по многочисленным коммуникационным каналам. Однако данные мало просто перехватить, в компаниях с большим штатом за сутки проходит огромное количество информации, и найти в них что-то важное без специального инструмента крайне сложно.

Крупным компаниям советую обратить внимание на функционал, обеспечивающий надежную защиту от возможных утечек информации непосредственно из баз данных, чтобы без промежуточных операций контролировать содержимое хранилищ структурированной информации, которые обычно содержат конфиденциальные персональные данные, ценные контактные данные и другую коммерческую информацию. Это могут быть абонентские базы сотовых операторов, клиентские базы торговых компаний или, например, контакты партнеров. Потеря таких данных может нанести серьезный и даже непоправимый ущерб компании. Поэтому необходимо контролировать содержимое таких баз данных и предупреждать возможные утечки.

Также важно, чтобы внедряемая DLP-система не требовала какой-то специальной подготовки или наличия специфических знаний. Ведь эта особенность может обернуться немалыми временными и денежными затратами.

В современных компаниях многие сотрудники имеют доступ к конфиденциальным документам: будь то финансовые отчеты, маркетинговые планы или наработки, содержащие коммерческие тайны. Да и исключать варианты, что в компании работают нелояльные или нечистые на руку сотрудники, – непозволительная роскошь. Чем это грозит: шпионаж в пользу конкурентов, нелояльность сотрудника к компании, конфликтные ситуации в коллективе, ненадлежащее качество работы. Именно поэтому крайне важно контролировать деятельность сотрудников, подвергать мониторингу их сетевую активность, а также четко определять круг общения и выстраивать взаимосвязи между любыми его участниками. Важно иметь инструмент, позволяющий проанализировать полученные данные, и на их основании предотвратить утечку данных или, например, конфликтную ситуацию, что положительно отразится на деятельности компании в целом.

Все это позволит минимизировать трудозатраты по расследованию инцидентов утечки информации и повысить эффективность работы службы информационной безопасности за счет снижения процента ложных срабатываний.

Сергей Вахонин: В первую очередь мы рекомендуем корпоративным службам ИБ следовать принципу минимальной достаточности функциональных возможностей DLP-решения реальным требованиям по защите данных в организации. Хорошо сбалансированные технические требования, с одной стороны, позволят снизить полную стоимость владения (TCO) выбранным решением, а с другой – обеспечат надежное выполнение корпоративных требований по ИБ. Качественная оптимизация требований предполагает разработку профиля угроз, актуального для конкретной организации, разработку проектной и регламентирующей документации с последующим проецированием механизмов защиты решений-кандидатов на профильные угрозы. Наилучшим выбором, очевидно, будет решение с минимальным показателем ТСО среди всех прочих, функционал которых полностью покрывает профиль угроз. Во-вторых, DLP-решение должно хорошо масштабироваться при сохранении высоких показателей надежности. Во-вторых, важно понимание пользователями планов дальнейшего функционального развития решения. В сумме это обеспечит возможность беспроблемного использования DLP при наращивании размеров защищаемой корпоративной ИС и соответствие показателей решения будущим требованиям по защите данных в организации. В-третьих, сотрудникам российских компаний необходима поддержка русского языка в пользовательском интерфейсе DLP-решения, не говоря уже о безусловном наличии русскоязычной документации и русскоязычной технической поддержки. При этом очень важно оценить надежность, качество и оперативность предоставляемой производителями DLP-решений технической поддержки на отечественном рынке. Лучше, если производитель DLP-решения будет иметь многолетний опыт работы и хорошую репутацию на отечественном рынке. И наконец, имеет смысл тщательно проверить легальность применения конкретного DLP-решения в РФ. В частности, это относится к тем комплексным решениям, в которые встроены модули, основное назначение которых непосредственно связано с использованием криптографических алгоритмов (например, модули шифрования данных на съемных носителях (USB-флеш).

Олег Головенко: Разумеется, прежде чем приступать к выбору системы DLP, заказчику необходимо определиться со своими требованиями и теми задачами, которые должны быть решены. Сегодня на рынке представлено достаточное количество различных средств защиты от утечек, однако по-настоящему зрелых систем, способных решать реальные задачи защиты данных, можно пересчитать по пальцам одной руки. При выборе я советую обратить внимание на несколько основных моментов. В первую очередь это работа с русским языком, поскольку многие наиболее продвинутые DLP-системы на нашем рынке от западных вендоров не умеют корректно работать с русскими текстами. Желательно, чтобы русский язык был включен в список официально поддерживаемых. Во-вторых, важной характеристикой любого продукта по защите от утечек является покрытие максимального количества актуальных каналов утечки. Если продукт не умеет контролировать тот или иной технический канал утечки, стоит поискать решение у других производителей. Например, некоторые системы не имеют возможности сканирования систем хранения (файловые серверы, архивы почты, базы данных и т.д.) на наличие конфиденциальной информации, что, на мой взгляд, является крайне необходимой функцией DLP-системы. Многие вендоры также оставляют без внимания такие каналы, как сетевая печать, выгрузка файлов на сетевые ресурсы (общие папки) или, наоборот, сохранение из них на рабочую станцию, отправка файлов в сеть с помощью peer-to-peer-приложений, загрузка файлов на внешние устройства iPhone, iPod и др.

И наконец, важнейшим фактором, на мой взгляд, является способность системы обеспечить удобный и эффективный процесс реагирования и расследования возникающих инцидентов.

Например, при отображении подробной информации об инциденте продукт должен предоставлять корректную информацию о реальном владельце файла, нарушившем политику конфиденциальности. Администратору будет также полезно узнать, как часто этот файл используется в сети (а главное, кем). Любая другая дополнительная информация должна быть доступна в консоли без необходимости дополнительного поиска. Мы руководствуемся "Правилом пяти секунд". Это означает, что при первом взгляде на инцидент администратор должен иметь перед глазами всю необходимую информацию для принятия решения о дальнейшей судьбе инцидента в течение не более чем 5 секунд. Если он не успевает это сделать, значит информации на экране недостаточно и, следовательно, ему придется тратить больше времени на процесс реагирования.

Работа с инцидентом также должна быть удобна для пользователей (смена статуса, смена приоритета, переназначение другому администратору и т.д.). При необходимости нужна возможность интегрирования с внешними системами обработки заявок (ServiceDesk). На сегодняшний день обнаружить попытку утечки и даже заблокировать ее уже недостаточно. Важно наладить такой процесс, который позволит избежать подобных утечек в будущем. Это может быть достигнуто административными изменениями или дополнительными техническими мерами, однако насколько DLP-система может помочь в ускорении и автоматизации этого процесса – крайне важно.

Владимир Денежкин: В первую очередь нужно обращать внимание на техническую поддержку со стороны вендора. Ни одна из систем в реальных "боевых" условиях не застрахована от проблем (это может касаться как недостаточно опытного оператора системы, для которого важно вовремя получить подсказку при выполнении тех или иных операций с системой, так и интегрирования системы в существующую сеть заказчика).

В любом случае выбор падает на того вендора, который способен построить партнерские взаимовыгодные отношения с заказчиком по совместному зарабатыванию денег и добыче информации, а также конвертировать достоинства системы в выгоды заказчика.

Александр Ковалев: В первую очередь стоит постараться определить, существуют ли в продукте заинтересовавшие и заявленные производителем возможности, ведь до недавнего времени некоторые товарищи на рынке любили приписывать себе огромный функционал, который еще даже не стали разрабатывать. Самих же функций действительно очень много, поэтому выбор DLP-решения стоит начинать с ответов на вопрос: что, от кого и в каких ситуациях мы будем защищать? Например, если не требуется контролировать популярный в России Mail.Ru Агент или нет необходимости проверять, правильно ли сработала DLP-система (например, не заблокировала ли письмо по ошибке), то можно спокойно смотреть и на западные решения, в которых поддерживаются далеко не все актуальные для нас интернет-пейджеры и отсутствует архив.

Виктор Сердюк: С нашей точки зрения, для эффективного выбора DLP-решения необходимо провести полнофункциональное тестирование в рамках автоматизированной системы заказчика. В этом случае у заказчика будет реальная возможность оценить преимущества и недостатки различных DLP-систем в условиях, максимально приближенных к "боевым". Перед началом тестирования необходимо составить программу и методику испытаний, которая должна включать в себя перечень тех функциональных возможностей, которые заказчик хочет проверить в процессе пилотного проекта. В процессе тестирования должны имитироваться действия по утечке конфиденциальной информации, которые должны фиксироваться системой. Еще одним вариантом тестирования является запуск DLP-системы в опытную эксплуатацию на реальной сети. В результате такой эксплуатации можно будет увидеть реальные инциденты, которые произошли в корпоративной сети компании.

По результатам тестирования обычно готовится отчет со сравнительным анализом различных систем. Как правило, для проведения тестирования привлекается сторонняя организация, обладающая опытом проведения такого рода работ.

При выборе продуктов и технологий для тестирования можно руководствоваться следующими критериями:

• зрелость технологии, то есть количество лет, в течение которых технология развивается на рынке информационной безопасности;
• наличие успешных внедрений в российских компаниях;
• результаты тестирования и сравнения независимых ассоциаций и исследовательских организаций, таких как Garner и IDC.

Рустэм Хайретдинов: DLP – модная тема, поэтому часто за этими словами скрываются решения различных классов: от действительно сложных DLP-систем до систем управления доступом к USB-портам, корпоративных поисковиков, систем слежения за действиями пользователя и контентных архивов. Пользователю нужно обращать внимание на функционал, адекватный его задачам. Для некоторых задач защиты информации достаточно просто закрыть USB-порты и ограничить доступ в Интернет. Если компания не считает утечку риском, а стремится только знать, кто и когда ее допустил, можно пользоваться архивом или корпоративным поисковиком. Если на первый план выходит не защита корпоративных секретов, а контроль за рабочим временем пользователя, имеет смысл выбирать соответствующие решения.

– Расскажите, пожалуйста, о рисках, связанных с утечкой корпоративной информации.

Александр Акимов: Это уже далеко не новость, что информация в современном мире – на вес золота. Любая современная компания обладает целым массивом такой ценной информации. Многочисленные базы данных, обширные хранилища документов, персональная информация сотрудников или личные данные клиентов, какие-то наукоемкие разработки или же финансовая документация… Продолжать перечислять можно еще долго – все это является весьма ценной информацией и может привести к судебным тяжбам, серьезным финансовым потерям, лишить конкурентных преимуществ и нанести непоправимый ущерб деловой репутации.

Репутационные и имиджевые потери могут еще годами после утечки определенных данных влиять на благополучие и стабильность компании, не давая ей нормально развиваться и прогрессировать, а лишение конкурентных преимуществ и революционных разработок может и вовсе привести к банкротству и последующей ликвидации компании.

Именно поэтому обеспечение эффективной защиты интеллектуальной собственности и коммерческой информации является жизненно важным для любой компании.

Сергей Вахонин: Рисков много, и рассказывать о них нужно в отдельных статьях или книгах. Важно, что риски эти в любой момент могут обернуться утечкой ключевых данных и повлечь за собой масштабные коммерческие и имиджевые последствия. Наиболее характерным с этой точки зрения является уже ставший знаменитым пример утечки американских дипломатических корреспонденций через Wikileaks: политические и коммерческие последствия этой утечки пока даже трудно оценить, но для некоторых "жертв" этого инцидента они могут быть по-настоящему катастрофичны.

Олег Головенко: Перечислить основные риски достаточно просто. Во-первых, это риски, связанные с прямыми убытками для компании после инцидента утечки. Например, для банка это будут расходы на перевыпуск банковских карт в случае утери базы данных с информацией об этих картах. Также к прямым убыткам можно отнести штрафы контролирующих органов, затраты на устранение последствий, судебные разбирательства. Однако, по статистике, основные потери для компании несут не прямые убытки, а косвенные. Это могут быть потери, связанные с падением лояльности клиентов, миграцией клиентской базы к конкуренту, потеря доверия партнеров, снижение стоимости бренда, ухудшение имиджа компании, утрата технологических секретов или конкурентных преимуществ. Приоритезировать эти риски достаточно сложно, так как в основном все они действуют в комплексе, и общий ущерб для компании после инцидента утечки складывается из многих факторов и может быть сильно растянут по времени.

Владимир Денежкин: В последнее время на первый план выходят так называемые репутационные риски, а также риски, связанные с утечкой ресурсов компании, где ключевые носители репутации и ресурсы – персонал компании. Именно сотрудники, исполняя свои обязанности, постоянно общаются с клиентами, поставщиками, партнерами. Они обсуждают работу и компанию со своими друзьями и близкими. Часто обиженный или неудовлетворенный сотрудник транслирует свою неудовлетворенность на клиента, что приводит к прямым потерям.

Александр Ковалев: Проблем от утечки на самом деле может быть очень много – начиная от невольного извещения конкурента обо всех своих планах и заканчивая повышением внимания со стороны СМИ и государственных структур.

Особо стоить выделить и вроде бы напрямую не связанные с утечками информации риски, которые тем не менее можно существенно минимизировать с помощью DLP. Например, DLP-система позволяет вовремя обнаружить и пресечь попытки переманивания ключевых сотрудников хедхантерами или отследить нелояльных сотрудников, которые нелицеприятно высказываются о работодателе в социальных сетях, блогах, на форумах или сайтах а-ля blackjob.net.

Виктор Сердюк: Риск от утечки конфиденциальных данных, как и любой другой риск информационной безопасности определяется на основе вероятности реализации данной угрозы и последствий, к которым она может привести. Последствия такого рода угроз могут приводить к прямым финансовым потерям, оттоку клиентов, ущербу репутации компании и т.д. Также необходимо отметить, что утечка персональных данных приведет к прямому нарушению требований Федерального закона "О персональных данных" № 152, который был принят еще в 2006 г.

Рустэм Хайретдинов: Есть риски, порождаемые контролем определенных типов информации со стороны регуляторов. Например, утечка персональных данных, банковской или врачебной тайны, данных платежных карт может стоить компании серьезных штрафов, санкций против ее руководителей или вообще запрещения заниматься определенной деятельностью.

Есть риски коммерческие. Утечка информации о продукте, еще не выпущенном на рынок, себестоимости коммерческих операций, условий сотрудничества и т.д. могут стоить компании лидерства на рынке.

Отдельно хочется выделить риски утечки интеллектуальной собственности, особенно еще не запатентованной. Десятки утечек дорогостоящих технологических разработок от космоса до микроэлектроники стоили компаниям-разработчикам миллиарды долларов.

И еще один тип риска – репутационный. Компания, не умеющая хранить свои и тем более чужие секреты рано или поздно получит репутацию ненадежной и столкнется с критическим отношением профессионального сообщества. За этим последует отток клиентов, высокая текучесть кадров, проверки регуляторов и другие последствия плохой репутации.