DLP: синергия техники и психологии

 Изменение системы документооборота требует в буквальном смысле революции в сознании, но большинство организаций в нашей стране пока не являются настолько зрелыми, чтобы эту революцию осуществить.

DLP-система, поставленная не в разрыв сети, выполняет функцию Data Leak Prevention не напрямую – она не совершает никаких действий с выявленными событиями, лишь собирает информацию о них и производит первичную фильтрацию. Совершать действия должен человек – администратор безопасности, руководитель подразделения и т. д.

Вопрос – как человек должен реагировать, что делать с нарушителем? Чтобы предъявить ему формальную претензию, информации об инциденте нужно придать юридическую силу, а для этого выполнить ряд дополнительных процедур (например, непосредственно на рабочем месте сотрудника актом зафиксировать факт использования служебного компьютера для личной переписки). Человеку, уполномоченному принимать решения по инцидентам, должно быть понятно, какие нужны процедуры, как можно распорядиться информацией, полученной из DLP-системы, в рамках существующих законов и нормативов. Должны существовать регламенты реагирования, типовые сценарии. Люди задумываются об их выработке уже после внедрения DLP, и это следствие того, что DLP неправильно позиционируется на рынке.

DLP не следует рассматривать как самостоятельное законченное техническое решение. Этот инструмент должен быть частью комплексной системы обеспечения безопасности, включающей технические средства, организационные мероприятия, нормативное обоснование. Именно в таком виде DLP-решение должно предлагаться заказчикам.

Культура безопасности или DLP-модуль «Секретарша»

Итак, если DLP не занимается прямым предотвращением утечек, то для чего она нужна? Ответ: для того, чтобы дисциплинировать сотрудников.

Любой уважающий себя банк заботится о том, чтобы мотивировать сотрудников к соблюдению правил информационной безопасности с первых дней работы. В первую очередь проводится подробный инструктаж, после чего сотрудник подтверждает своей подписью знакомство с правилами безопасности. Но одного инструктажа недостаточно, сотрудников нужно постоянно держать в тонусе. В Банке Москвы, например, разработаны веб-курсы, посвященные правилам работы с информацией – их все сотрудники проходят ежегодно. Прохождение веб-курсов завершается зачетом, результаты которого учитываются при начислении годовой премии.

Но и регулярным обучением ограничиваться не стоит. Нужно создавать в организации атмосферу, способствующую развитию самоконтроля сотрудников. По статистике, 80% утечек конфиденциальной информации допускаются людьми случайно – по рассеянности, недомыслию и пр. Чтобы этого не происходило, в голове у человека должен быть «стоп-кран», который не позволит писать лишнего в соцсети или откровенничать не с теми людьми. «Стоп-кран» будет работать, если сотрудникам постоянно напоминать, что их действия находятся под контролем. В этом как раз и поможет DLP-система.

Во-первых, сотрудники должны знать, что DLP-система в организации есть – так же как и видеонаблюдение, и другие средства безопасности. Во-вторых, результаты ее работы должны периодически становиться известны коллективу. Для этого совершенно не обязательно доводить дело до увольнения провинившегося сотрудника, а тем более до судебного разбирательства: выговор с лишением премии действует на коллектив доходчивее. А вот как донести эту информацию до коллектива – вопрос изобретательности руководителя. Можно устроить виновнику инцидента публичную выволочку. А можно – шепнуть секретарше, что такого-то застукали за недозволенными действиями в сети и теперь лишают премии. Секретарский корпус – это своего рода сеть распространения неофициальной информации в организации. Так что можно быть уверенным, что информация о проступке и его последствиях вскоре будет известна всем сотрудникам. Психологический эффект получается очень хороший.

Критерии выбора

Рассматривая возможность покупки чего-нибудь, принято подсчитывать экономический эффект: когда и сколько будет прибыли/экономии на рубль затрат. Однако эффект от наличия системы безопасности определяется не рублями, а самим существованием этой системы. Есть вещи, без которых бизнес просто не может функционировать, информационная безопасность – одна из таких вещей для банка. Говорить об «экономике» того или иного DLP-решения бессмысленно. Безопасность – это стратегия и стиль работы организации, которые позволяют сотрудникам и руководству чувствовать себя уверенно. Хотя, возможно, экономически обосновать внедрение DLP могла бы организация, обладающая некими ноу-хау, утечка которых может свести на нет конкурентные преимущества.

Для DLP (как и для любого другого решения по информационной безопасности) критерием выбора является не стоимость, а степень удобства работы пользователей. Решение не должно им мешать! Важно, чтобы DLP-система не затрудняла выполнение сотрудниками штатных операций и не тормозило работу прикладного ПО. Если вам предлагают очень хорошую (отлично себя зарекомендовавшую) систему, которая рассчитана на современные рабочие станции и конкретные версии антивируса, а в вашей инфраструктуре «зоопарк», – не берите. Если предлагают недорогую («выгодно!») систему, которая заставляет сотрудника долго ждать загрузки рабочей программы, – ни в коем случае не берите. Не прямо, но косвенно удобство работы пользователей сказывается на общей эффективности работы организации.

Еще раз о практическом эффекте

Кто-то может спросить: а зачем вообще тратиться на DLP-систему? Может, просто заняться воспитанием сотрудников, повышением их лояльности? Или застраховать свои риски? Да и какую информацию можно увести у банка? Базу клиентов? А смысл? Если банк хорошо работает, клиенты все равно останутся с ним, если плохо – и так уйдут.

На это можно ответить, что в банке есть конфиденциальная информация, утечка которой, возможно, не нанесет прямого материального ущерба, но нанесет ущерб репутации. Очевидный пример – персональные данные. Контроль их отправки внешним адресатам – постоянный процесс.

Случаются попытки отправки конфиденциальных документов. В Банке Москвы такая попытка была выявлена вскоре после установки DLP-системы. Была реакция, и впредь попытки не повторялись.

Когда DLP работает в комплексе с другими системами, это дает синергетический эффект. В нашем случае комплексная система позволила обнаружить подложные письма, содержащие троян. Антивирус реагировал на них только после того, как получатель открывал письмо. Комплекс, включающий DLP, делал это раньше.

DLP-система будет тем эффективнее, чем лучше проработаны организационные вопросы – подготовлены и занесены в базу данных контентной фильтрации шаблоны документов, налажена регулярная подготовка отчетов, проработаны алгоритмы реакции на инциденты, организована обратная связь для администраторов системы. Совершенствование и адаптация DLP-системы – процесс постоянный и непрерывный.

Подведем итог

Опыт говорит о том, что DLP – система полезная, а для многих организаций даже обязательная. Но не стоит ожидать от нее чудес – технология сама по себе не решит за администратора/руководителя все проблемы. Это всего лишь инструмент, которым человек либо сумеет грамотно воспользоваться, либо нет. Извлечь максимум пользы из DLP поможет в первую очередь тщательная организационная проработка процессов, в которых система задействована. А также – творческий подход к использованию полученных результатов.