Информационный иммунитет: кому нужны DLP-системы?

Представьте себе больницу, оснащенную новейшим оборудованием для контроля здоровья своих пациентов. В режиме он-лайн главный врач следит за сердцебиением каждого больного, видит их уровень гемоглобина, их давление. Если у кого-то повышается температура, к нему тут же посылается медсестра с аспирином. Если снижается пульс - реаниматоры с электрошоком.

Таким же образом можно описать комплексную систему информационной безопасности в банке, где функцию контроля выполняет система DLP. С помощью DLP-системы служба безопасности отслеживает основные угрозы утечки информации и поддерживает "здоровье" всего предприятия в целом.

Инструмент, а не таблетка

Системы контроля над утечками информации - DLP (от англ. Data Loss Prevention), появились в России сравнительно недавно, но за последние годы успели стать незаменимым атрибутом банковской информационной безопасности.

Интерес к DLP-системам подстегнули и особые требования к финансовым организациям со стороны регуляторов, обязавших банки особо бдительно охранять персональные данные клиентов под страхом отзыва лицензии.

Однако перед приобретением DLP-системы следует помнить, что этот инструмент эффективно работает только в комплексе с продуманной политикой информационной безопасности. Для простоты представьте себе, что в той же больнице нет, к примеру, карточек пациентов. Казалось бы, такая мелочь. Но без истории лечения наша суперсистема не знает, что именно нужно мониторить - пульс и давление или активности головного мозга и перемещения пациента. Система не знает, какой уровень гемоглобина нормален для пациента, и может посылать тревожные сигналы, когда все в порядке, и не придавать значения действительно важным изменениям. Поэтому основная задача любой DLP-системы - минимизация рисков компании при реализации политики информационной безопасности. Любая, даже самая совершенная DLP - это не панацея от инсайдерских угроз, так как при желании можно найти способ обойти любую систему защиты (даже в Пентагоне утечки информации время от времени случаются). Тем не менее, чтобы незаметно "увести" какую-либо информацию из компании, защищенной DLP-системой, нужно очень хорошо подготовиться.

Для директора

Первый вопрос, который задают руководители, когда им презентуют проект внедрения DLP - зачем она нужна? Ведь все сотрудники подписали соглашение о неразглашении, Skype и файлообменники запрещены, а служба безопасности может просмотреть историю электронной переписки каждого сотрудника.

Чтобы избежать долгих объяснений, компания "МФИ Софт" бесплатно предоставляет тестовый доступ к своим решениям. Обычно после ознакомления с первыми результатами работы DLP-системы у руководителей отпадают подобные вопросы. Львиная доля утечек информации происходит не по злому умыслу, а из-за системных ошибок или безответственности сотрудников, несколько вольно трактующих понятие "коммерческая тайна".

Для ИБ-службы

Наиболее распространенные каналы утечек информации - это Интернет (файлы с конфиденциальными данными пересылаются в формате картинок или запароленных архивов, через шифрованные соединения, через Skype и интернет-пейджеры), периферийные устройства (флешки, мобильные телефоны, принтеры и т.д.) и телефоны. DLP-система - это единственный способ контролировать большое количество каналов, включая шифрованные соединения, Wi-Fi и VoIP-телефонию.

Помимо контроля над каналами коммуникаций DLP-системы необходимы для расследования уже случившихся инцидентов. С помощью DLP ведутся необходимые для формирования доказательной базы архивы используемых файлов и пересылаемых сообщений.

Кроме этого, если DLP-система работает в пассивном режиме контроля, она становится абсолютно незаметной для рядовых сотрудников, что позволяет не только найти виновного, но и использовать этот факт на пользу предприятию. Например, после того как служба безопасности одной белорусской компании после установки системы "Гарда Предприятие" от "МФИ Софт" выявила в рядах своих сотрудников инсайдера, пересылающего завтрашние прайс-листы конкурентам, руководители решили не подавать никакого вида, что рассекретили шпиона. Через инсайдера стала распространяться дезинформация, позволившая на некоторое время ввести конкурентов в заблуждение и наверстать упущенную выгоду.

Большим плюсом для работников ИБ-подразделений станет помощь в подготовке отчетов об эффективности их работы. С точки зрения руководителя отсутствие в компании нарушений политики безопасности означает одно из двух - либо служба ИБ работает очень хорошо и превентивные меры эффективны, либо она работает из рук вон плохо и не может никого поймать. DLP-системы многих производителей позволяют проводить многомерный анализ политики безопасности. Данные о предотвращенных опасностях можно выгрузить в наглядный отчет, удобный для предоставления топ-менеджменту.

Для HR-менеджера

Хотя DLP-системы обычно покупаются вовсе не по инициативе HR-специалистов, для них наличие такой системы является настоящим подарком. Контроль лояльности сотрудников и мониторинг их обращений к сайтам поиска работы позволяют снизить текучку кадров. Повышенное внимание к трафику работника на испытательном сроке позволяет уже в первые две недели сделать выводы о профпригодности новичка. Да и случаев выявления с помощью DLP-систем ненужной для компании "подковерной борьбы" случалось немало.

Кроме этого, бывают совсем удивительные открытия, когда ищут нарушителей, а находят трудоголиков. В частности, один банк после установки решения "МФИ Софт" для контроля обращений к базам данных обнаружил, что в отделе, вносящем заявки клиентов в базу данных, 80% обращений приходится на одного из пяти сотрудников. Оказалось, что старшие коллеги "делегировали" новичку свои обязанности, а сами тратили рабочее время на чай и "Одноклассники". Выявление этого факта существенно сказалось на распределении премиального фонда.

С ростом популярности DLP-систем продолжают развиваться и их возможности, новые релизы с новым функционалом выходят как минимум раз в квартал. В ближайшем будущем будут развиваться специализированные DLP-системы с узким отраслевым функционалом, а также появятся решения для компаний, работающих преимущественно с облачными хранилищами данных.