Рынок DLP-систем – ничто не стоит на месте

Согласно данным МВД России, за 2000 год в стране было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999 годом эта цифра выросла более чем в 1,6 раза. Данные Управления по борьбе с преступлениями в сфере высоких технологий МВД РФ показывают, что больше всего преступлений – 584 – относились к неправомерному доступу к информации, кроме того, 258 случаев – это причинение имущественного ущерба с использованием компьютерных средств, 210 – мошенничество с применением компьютерных и телекоммуникационных сетей.

Особняком при этом стояли решения, предназначенные для контроля подключаемых к компьютеру устройств – съемных носителей. Они устанавливались на каждую рабочую станцию и работали как программные агенты. Постепенно эти 2 мира – средства контроля информационных потоков компании и используемых периферийных устройств – стали сближаться. И в определенный момент – в середине 2000-х – системы класса DLP объединили в себе принципы работы этих 2 типов решений.

По мере роста общего уровня информатизации российского корпоративного сектора компании стали принимать во внимание разнообразные возможности утечек, в том числе критичной для бизнеса информации. Соответственно, производители наращивали и в настоящее время продолжают увеличивать функционал DLP-систем для контроля все большего числа информационных потоков – социальных сетей, онлайн-мессенджеров (в том числе Skype) и т.д.

Больше чем DLP

Хотелось бы сказать несколько слов о различиях в современных подходах к проблеме утечек информации у нас и за рубежом. В США, например, компании прежде всего нацелены на снижение рисков утечки данных. Внедрение DLP-системы – это масштабный и долгий процесс, который нередко влечет за собой изменение регламентов компании, проведение обучения сотрудников для формирования у них понимания того, как жить дальше в условиях новых требований со стороны безопасности.

У нас же в большинстве своем другой подход: руководству в первую очередь важен результат расследования конкретного инцидента ИБ. Виновен ли тот или иной сотрудник в утечке, и какие факты доказывают это. Работа по мониторингу и анализу – прежде всего разговоры о снижении рисков – обычно отходит на второй план. Российским компаниям важно, чтобы DLP-решение своевременно проинформировало офицера ИБ/руководителя соответствующего подразделения об утечке и сделало это в рамках существующего бизнес-процесса. Также должна быть возможность post factum (например, через 1–2 года) поднять нужные данные из системы хранения: в нашей стране существуют прецеденты, когда судебные дела по фактам утечек возбуждались в отношении сотрудников, которые к тому моменту уже не работали в компании.

Как следствие, DLP на нашем рынке – это больше, чем DLP в его стандартном понимании. Если службе ИБ необходимо в кратчайшие сроки проводить расследования инцидентов, ей нужен корректный доступ к максимальному количеству систем-источников информации. Иначе говоря, люди, работающие с информацией, хотят находить нужные данные быстро и удобным для них способом. При этом важен контекст, в котором была произнесена определенная фраза или то или иное сообщение отправлено за периметр контролируемого информационного поля: какую должность в компании занимает автор письма, с кем он общается по работе и т.д. Именно от контекста зависит, чем являются эти факты – обычным выполнением сотрудником своих должностных обязанностей или запланированной утечкой.

Во главе угла – люди

Таким образом, формируется целый набор идентификаторов – параметров, которые определяют сотрудника в цифровом мире. В этом смысле киберпространство в бизнес-среде существует уже несколько лет. Людям интересно работать с людьми, а не с безликими, не создающими целостный образ буквами, цифрами или фразами. И по нашему мнению, разработчики DLP-систем должны это учитывать.

Конечно, есть и приверженцы стандартного подхода – первичности обезличенной информации. То есть для начала нужно понять, какие именно данные передавались, насколько была разрешена их пересылка, ну а кто и в каких условиях это сделал, не так уж важно. Но представьте себе довольно распространенную ситуацию: сегодня 2 компании совместно реализуют один проект и являются партнерами, а завтра вступили в конкурентную борьбу друг с другом за право стать исполнителем другого проекта. Как в таком случае обойтись без анализа контекста при расследовании инцидентов? В нашей практике также были случаи, когда компании-конкуренты заказывали полиграфические материалы в одной и той же типографии или маркетинговые исследования у одного аналитического агентства. Как говорится, от ежедневной работы до утечки – один клик.

Когда мы около 3 лет назад начали говорить о контроле лояльности персонала, не все нас услышали. И лишь через некоторое время пришло понимание, что лояльный сотрудник очень ценен для компании, поскольку она может доверять ему больше, чем другим. Любые действия, которые производит компания в отношении своего персонала, можно сравнить с камнем, который кидаешь в воду, – они вызывают определенные всплески. Решение, подобное комплексу «Дозор-Джет», позволяет увидеть эти «волнения на поверхности» и понять, кто отреагировал на них наиболее чувствительно.

«Очеловечивание» DLP-систем связано не только с необходимостью реализации нового функционала, связанного с анализом контекста, но и с новыми требованиями к визуализации. Офицерам безопасности нужен удобный, интуитивно понятный интерфейс DLP-решения. Например, в последней версии «Дозор-Джет» – 5.0 – стало возможным быстро сравнивать результаты нескольких запросов и оценивать состояние всего комплекса в режиме онлайн. Управление распределенными системами комплекса осуществляется из единой точки. При этом обеспечиваются постоянный мониторинг работоспособности всех сервисов и, по необходимости, их автоматический перезапуск. Это существенно сокращает время, необходимое для обслуживания системы, и повышает её управляемость и надежность (о других возможностях новой версии комплекса читайте в статье «5.0 – стоила ли игра свеч?»

Кроме того, все чаще деятельностью и результатами работы служб ИБ интересуются топ-менеджеры компаний, которым по требованию нужно предоставлять информативные и наглядные отчеты. В распоряжении офицера ИБ должна быть аналитическая система, позволяющая создавать такую отчетность за приемлемое время – минуты, а не часы или даже дни. Мы считаем, что в ближайшее время эта потребность бизнеса станет одним из двигателей DLP-тематики на российском рынке.

К нашему огромному сожалению, большое количество компаний задумываются о внедрении DLP-решения только после того, как «слив» не только произошел, но и стал известен. Все, что мы можем сделать во избежание подобных неприятностей, – показать «вживую» текущее состояние информационного обмена в компании, установив систему на определенное время. Подобные пилотные проекты, аудиты, тестирования становятся все более распространенными на нашем рынке. Службы ИБ заинтересованы в том, чтобы DLP входил в состав работ по аудиту безопасности.

Мы уверены в том, что российский рынок DLP ждет интересное и насыщенное будущее. Мы возьмем лучшее от западного подхода к задаче, добавим свою уникальную специфику и получим решения, наиболее полно и адекватно отвечающие требованиям наших, российских компаний.