Инструмент для работы с людьми.

16 февраля 2015

Известно, что между «айтишниками» и «безопасниками» немало «спорных территорий», потенциально конфликтных ситуаций, и одна из таких областей — dlp-системы. Вот этот материал это подтверждает. Вы тоже наблюдаете такое положение дел?

Такое противостояние связано с разделением ответственности за вопросы, которые прежде были сосредоточены у одного человека. Инициатива внедрения DLP-системы, исходящая не от ИТ- директора, а от безопасников, дает ему повод думать, что следить собираются именно за ним. Поэтому, прежде всего, мы стараемся убедить ИТ-директоров в том, что DLP-системы направлены не против них. Я прекрасно понимаю, как это бывает: человек построил хорошую работающую систему, он тут хозяин, никого в свою информационную среду пускать не собирается и сам контролирует все, что считает нужным. С DLP-системой в информационной среде появляется какое-то инородное тело, которым ИТ-отдел не управляет, а оно видит больше, чем сам ИТ- директор. Такая ситуация не нравится, но это человеческий фактор, тут важно найти общий язык, все показать и убедить, что DLP – это не для надзора за администраторами.

Во-вторых, ИТ-специалисты с осторожностью относятся к любым изменениям. Многие боятся, что внедряемая DLP-система будет негативно влиять на ИТ-процессы. На самом деле это далеко не всегда так и зависит от качества самой системы и принципов ее внедрения.

Наиболее распространенная схема внедрения DLP – подключение системы в режиме мониторинга, что позволяет минимизировать влияние на инфраструктуру. Наша система «Гарда Предприятие» обычно внедряется именно в режиме мониторинга. Этот режим позволяет находить слабые места в безопасности компании – факты и источники утечек информации, и предотвращать подобные инциденты в будущем. Функционал блокировки обычно используется для ограниченного количества сценариев - блокировки usb-устройств, нежелательных процессов на рабочих станциях, облачных хранилищ информации и конкретных URLадресов. Для контроля шифрованного трафика у нас есть собственная разработка - модуль проксирования шифрованного трафика, и вот для его использования есть необходимость внедрения в разрыв. Для этого случая в системе есть bypass-модуль. Даже в случае физического выключения сервера разрыва канала связи не происходит.

Насколько полно российские компании оценивают внутренние угрозы, описывают их, разрабатывают ли политики безопасности?

По нашему опыту, довольно часто встречается ситуация, когда регламенты и процессы политик безопасности существуют только на бумаге либо отсутствуют. А по факту же, уровни конфиденциальности информации не определены, политики доступа к информации разных типов не соблюдаются. Их наличие - одно из требований к полноценному внедрению DLP.

Построение модели угроз и категоризация информации происходят уже в ходе внедрения, так же как и определение уровня доступа сотрудников, возможных путей движения информации - все эти описательные документы создаются при полноценном внедрении DLP. Иначе неясно, где и что ловить. Компаний, которые в принципе готовы такое сделать, становится все больше. Но жизнь все же сложнее всех политик и процедур, поэтому в некоторых случаях невозможно провести такую работу в полном объеме – не хватает специалистов, ограничены бюджеты, или вообще компания закрыта для внешнего аудита.

Даже в таких сложных случаях эффект от внедрения DLP может быть получен. Мы создаем и такие решения, которые работают сразу после инсталляции. Если возникает подозрение, что произошла утечка данных, то можно проверить – было такое или нет, даже если не была настроена соответствующая политика безопасности. Для этого ведется статистика по всему интересующему трафику, с возможностью записи и мгновенного поиска во всех интересующих потоках информации. Это дает возможность офицеру ИБ восстановить полную картину информационного обмена при проведении внутренних расследований. Другое преимущество подобного подхода – быстрое создание политик ИБ с минимальным количеством ложных срабатываний. Вы сразу видите результат срабатывания политики и можете её тут же скорректировать. Такой подход позволяет компаниям, знающим свои риски и желающим работать в этом направлении, все же находить утечки, определять их причины и источники и «закрывать» проблемные места.

Вы рассматриваете DLP-систему как продукт или как сервис?

Максимальный эффект от внедрения достигается, когда проекту внедрения DLP обеспечивается соответствующий сервис. В таком случае интеграторы берут на себя разработку политик информационной безопасности, составление карты рисков, систематизацию бизнес-процессов. Содействие и помощь специалистов позволяют реализовать проект быстрее и качественнее. При этом, конечно же, многим компаниям хотелось бы получить продукт с коротким периодом внедрения и минимальными затратами на обслуживание и поддержку.

Мы делали всероссийское роуд-шоу в 2013 году, и в каждом городе были слушатели, которые хотели «большую красную кнопку». Многие говорили, что большинство DLP-систем сложные, их требуется постоянно настраивать, а нужно, чтобы появилась проблема – лампочка загорелась, и все.

Совсем «одну кнопку» все же не сделать, но удобный интерфейс, автоматизирование рутинных процессов и интерактивные отчеты у нас есть. Уже на главном экране пользователь сразу видит, есть вообще причины беспокоиться или нет.

Что вам кажется наиболее важным в обеспечении внутренней безопасности?

Прежде всего – системный подход и работа с людьми. На предприятии должен быть внедрен целый комплекс мер по защите информации. У всех утечек есть свои причины, связанные с человеческим фактором. Кто-то не знает, что информация попадает под политику конфиденциальности, кто-то считает, что «ничего не будет», кто-то просто невнимательный. Сотрудники должны понимать, для чего все эти политики нужны, что безопасность компании – это в их интересах. Для этого нужно работать с людьми, обучать их, объяснять не только правила и последствия, но и причины применения этих правил.

Но для этого нужна совместная работа с HR, а это сложно.

Работать в команде всегда сложнее. Со своей стороны мы постарались максимально упростить возможности «взаимопонимания» - сделали такие интерфейсы, отчеты и графики, по которым даже непрофессионал будет понимать, что же происходит с безопасностью компании. Многие DLP-системы выглядят как пульт управления космическим кораблем. Причем для администраторов и офицеров ИБ она может быть одинаково непонятна.

Бизнес так не работает. И одна из наших задач – сделать внедрение и использование DLP максимально простым и эффективным. При этом мы понимаем, что если заниматься только контролем заранее описанных инцидентов и выявлением стандартных событий, то не получится оценить состояние информационного поля компании в целом и выявить новые и нестандартные риски и утечки. В каком-то смысле мы даже идем дальше возможностей стандартного DLP и делаем расширенные инструменты для работы со всеми интересующими данными.

Дорого обходится архивировать данные?

Под архив мы написали свою файловую систему и систему хранения. В итоге получилось решение дешевле и эффективнее, чем на Oracle или Hadoop. У нас была задача сделать масштабируемое до нескольких петабайт хранилище с очень быстрым поиском, при этом учесть специфику DLP. Нам надо было, чтобы наша система работала на одном сервере, и мы это сделали. Эта задача ранее никем не была решена. Полнотекстовый поиск - очень быстрый по неструктурированной информации, весь функционал DLP и все это сделано на стандартном «железе».

Вы можете оценивать экономическую отдачу DLP-решений?

Внедрение DLP-системы обычно начинается с пилотного проекта, и уже в ходе тестирования, как правило, выявляются инциденты, помогающие обосновать экономическую эффективность проекта.

В каждой компании экономическая эффективность будет совершенно уникальная и своя. Внедрив у себя решение, можно сказать, какие утечки в твоей компании происходят, а правильно подойдя к оценке информационных активов, какой ущерб они наносят. Одно и то же для разных компаний работать не будет.

Как сказал один из клиентов про лояльность: не важно, что сотрудник думает о компании, важно, что он говорит и пишет. С помощью DLP-системы он контролировал лояльность. И такой контроль вполне возможен. Если человек нелоялен, значит, в чем-то ему плохо, что-то ему не нравится в компании. Это не способ найти кандидатов на увольнение, это уже крайний случай. Это способ выяснить, что в компании идет не так, как надо.

5706
Поделиться
Предметная область
Отрасль
Управление