DLP-решения: Как помешать торговле корпоративными секретами

Клиенты одного крупного мобильного оператора получают уведомление о необходимости погасить имеющуюся у них задолженность. К письму-уведомлению, содержащему конфиденциальные данные, которые могли быть только в подписанном с мобильным оператором договоре, прилагается квитанция на оплату. Настораживало то, что получателем средств, которые должны были оплатить должники, был не мобильный оператор, а никому не известная компания (как впоследствии выяснилось — подставная), назвавшаяся коллекторской. Расчет был прост: должников не смутит схема погашения задолженности. Ведь многие компании отдавали на откуп коллекторам "выбивание" средств из должников. Планируемая афера не сработала, сам же мобильный оператор обратился за консультацией к IT-разработчику, как обезопасить конфиденциальные данные. Ведь было абсолютно ясно, что, скорее всего, базу должников скопировал (равно — украл) кто-то из сотрудников с целью получения личной выгоды.

Украинский пример далек от масштабных прецедентов, которые имеют место в мировом корпоративном секторе. Даже не обращаясь к примерам WikiLeaks, чисто корпоративных скандалов предостаточно. Один из недавних связан с именем компании Apple, которой утечка конфиденциальных данных стоила $2,3 млн. Как оказалось, Пол Девайн, бывший менеджер Apple, в течение трех лет передавал конфиденциальную информацию партнерам в Сингапуре. В распоряжении азиатских бизнесменов оказались данные о прогнозах продаж, ценовые ориентиры и неизданные технические характеристики продуктов. Обладая внутренней информацией Apple, они могли заключать сделки на более выгодных для себя условиях. В сфере интересов менеджера были только коммерческие данные: цены, объемы партий и сроки поставок. Конфиденциальную информацию зло­умышленник передавал по электронной почте, пользуясь аккаунтами в бесплатных системах типа Hotmail и Gmail. Причем прямо со своего служебного ноутбука. По тем пунктам обвинения, в которых сотрудник Apple признал себя виновным, максимальный тюремный срок для него может составить до 70 лет. Пол Девайн уже согласился на выплату около $2,3 млн. в рамках возмещения ущерба, нанесенного компании.

Цена конфиденциальности

Что такое DLP?

DLP (Data Loss/Leakage Prevention) — это IT-решение, которое предотвращает потери/утечку данных. Построено по принципу фильтрации по ключевым словам циркулирующей в компании информации на предмет ее конфиденциальности. Обеспечивает централизованный мониторинг и контроль пользователей и всего компьютерного парка. Внедрение таких решений позволяет отслеживать и протоколировать действия пользователей, перемещение информации, блокировать несанкционированные операции. Осуществлять контроль съемных устройств, создавать архивные копии копируемых файлов, блокировать операции копирования в зависимости от уровня доступа; осуществлять полный контроль процесса печати.

Превентивные меры

Заказчики решений, как правило, преследуют такие цели: мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам (email, web, ftp, интернет-пейджеры); контроль действий локальных пользователей (применительно к операциям, связанным с копированием и перемещением конфиденциальной информации на USB-накопитель, записью на CD-диски через локальные сетевые соединения или печать); сканирование корпоративной сети компании (в том числе файловые серверы, порталы, системы документооборота и пользовательские рабочие станции), а также отслеживание неупорядоченного хранения информации конфиденциального характера. В этой связи основными потребителями DLP-решений в нашей стране являются банки и телекоммуникационные компании с высокими информационными рисками. "Эти два типа компаний составляют более 60% рынка потребителей данных решений. Остальные компании, использующие продукты, — это в основном международные компании, которые имеют единую для группы политику информационной безопасности. Решения McAfee и Websense используют 80% из топ-20 банков Украины, практически все крупные телекоммуникационные компании, промышленные, энергетические предприятия, а также многие другие государственные и частные организации", — уточняет Роман Сологуб.

Украинские продавцы решений весьма неохотно называют имена своих клиентов, ведь большинство сотрудников фирм-заказчиков попросту не знают о том, что в компании работает подобная система. На просторах СНГ данные о заказчиках более публичны. Например, в российской прессе была обнародована информация о том, что компания Leta IT-company реализовала проект по внедрению в Банке ВТБ системы DLP на базе программного продукта Websense Data Security Suite. "Инвестгазета" обратилась с запросом к украинскому ВТБ Банку, однако нам рассказали, что пока подобные решения в Украине не внедрены. В "Киевстаре" ответили, что используют самые современные средства защиты конфиденциальной информации, при этом в целях этой самой конфиденциальности предпочли не раскрывать подробности.

Фактор спроса

В любом случае для внедрения DLP-решения, считают в "Инкоме", необходимо наличие сформированной инфраструктуры безопасности: технической базы, прописанной политики безопасности, четкого списка документов, подпадающих под гриф "секретно". "На сегодняшний день большинство компаний в Украине не имеют подготовленной организационно-технической базы для внедрения данного решения", — отмечает начальник отдела сетевых решений компании "Инком" Алексей Севонькин. Несмотря на то что во многих компаниях введено Положение о конфиденциальной информации, это не значит, что его всецело придерживаются. По мнению экспертов, построение критериев отнесения информации к разряду конфиденциальной — один из самых сложных моментов построения системы. Камнем преткновения также являются вопросы обслуживания данной системы в организации, ведь поступающие от системы сигналы кто-то должен обрабатывать, а также высокие цены на DLP-решения. Тем не менее это не значит, что нужно опускать руки и ничего не делать, считают в "Инкоме". Нужно максимально самостоятельно или же с привлечением профессионалов вести целенаправленную работу по устранению всех недочетов и проблем в области IT-безопасности.

"В первую очередь нужно думать о том, какой ущерб могут причинить утечки, а не о стоимости защиты, — комментирует Александр Хомутов. — Приведу пример. Мы предоставили одной компании DLP-продукт для тестирования, и благодаря ему в первые три дня отдел IT-безопасности выявил инциденты утечки информации, которые могли принести компании убытки на 3 млн. грн.". Однозначно назвать стоимость внедрения того или иного решения разработчики затрудняются, поскольку оно разрабатывается под конкретного заказчика с учетом его потребностей. "В зависимости от потребностей заказчика, количества необходимых компонентов защиты и масштабов внедрения стоимость на одного пользователя может составить от $80 до $250", — отметил Дмитрий Онищенко, консультант по информационной безопасности консультационно-сервисного департамента "БМС Консалтинг". При этом важно понимать, что DLP-решение — не панацея. Это всего лишь составная часть комплексной системы защиты информации, которая должна быть стратегическим направлением в работе компании.

Что должно предшествовать внедрению DLP?

Действия по обеспечению безопасности следует провести в такой последовательности:
1. Провести аудит документооборота.
2. Определить, какая информация обрабатывается в компании.
3. Определить степень конфиденциальности обрабатываемой информации.
4. Внедрить систему электронного документооборота.
5. Описать права сотрудников.
6. Обучить сотрудников проблемам конфиденциальности обрабатываемой информации и проставляемым грифам (если такие применяются).
7. Внедрить требования информационной безопасности в должностные инструкции.
8. Создать признаки конфиденциальности информации (правила для DLP).
9. Непосредственно внедрить DLP-систему.