Полювання на відьом

В офісі компанії PWC (раніше називалася PriceWaterhouseCoopers) експерти з безпеки, точніше, по системам захисту від витоків даних, обговорювали нагальні проблеми: як переконати керівництво банку або підприємства в тому, що йому знадобиться система захисту від витоків? І як довести тим же самим банкірам, що куплена система працює, навіть якщо з її допомогою нікого зловити не вдається? З'ясувалося, що спосіб винайдений давно - «полювання на відьом».

Мала штучка червінчик, а ціна велика

Офіс PWC для зустрічі безпечники був обраний не випадково. Швидше за все, з тієї причини, що з 154 тис. Осіб, що працюють в офісах компанії, розташованих в 153 країнах світу, 500 співробітників (0,3% штату) є консультантами з безпеки. З них п'ятеро, тобто три тисячних відсотка штату, працюють в Росії. Тих, кого не вражають такі відсотки, міг переконати інший аргумент - офіс російського підрозділу PWC просторий і розташований в 10 метрах від виходу з метро.

До постачання DLP-рішень фірма PWC прямого відношення не має. Зате має непряме, оскільки проекти з впровадження DLP-систем нерідко пов'язані з дорогим консалтингом - аналізом і удосконаленням бізнес-процесів, каталогізацією даних і т. П.

Бій з тінню

Після дебатів, що тривали два з гаком години, консультанти, постачальники та користувачі DLP-систем прийшли до кількох важливих, хоча і не дуже втішних висновків.

Перший - від навмисної витоку даних система класу DLP не захищає. Навіть незважаючи на свою назву - Data Leak Prevention, тобто «система запобігання витоку даних».

Що ж виходить? Якщо від людини, який вирішив винести з компанії щось дійсно важливе, система не врятує, то хто ж тоді той самий «інсайдер», якого ловлять DLP-фільтри, які аналізують поштовий і інтернет-трафік?

Компанія Secure IT в ході одного з пілотних проектів виявила серед 2 тис. Співробітників однієї фірми двох інсайдерів-зловмисників. Вони в робочий час ... шукали роботу. Чи переконав саме цей аргумент потенційного (на той момент) замовника у правильності вибору DLP-системи - невідомо. З одного боку, було виявлено не бозна-яке злочин. Але, хто його знає, може, пошуком роботи займалися фінансовий директор і директор з продажу?

Не бійся я з тобою!

Цікаво, що «інсайдерів» якщо і вдається зловити, то, як правило, або в процесі пілотних проектів, або протягом перших місяців експлуатації системи. Після перших же показових екзекуцій інші співробітники перестають користуватися каналами передачі інформації, які контролює DLP-система, і переходять на інші. Наприклад, на Skype. Або відправляють інформацію з модних пристроїв від Apple - iPhone або iPad. Ось тут-то і починається часом «полювання на відьом». Співробітники, відповідальні за інформаційну безпеку, щоб показати власну значущість, все сильніше посилюють правила, щоб знаходити все нових і нових «порушників».

Здогадуючись про те, що страх сам по собі є найкращими ліками в боротьбі за чистоту трафіку, покупці DLP-рішень часом набувають мінімальна кількість ліцензій, підключають до системи незначну частину співробітників, компенсуючи це галасом на корпоративному переглядів. Наляканий штат на якийсь час стає більш дисциплінованим і не «пустує» в Мережі - не ходить на нерекомендовані сайти, які не розміщує де б то не було інформацію про роботодавця, яка може тому не сподобається, і так далі. В результаті компанія економить гроші на проект, який може запросто обійтися разом з консалтингом в кілька сотень тисяч доларів.

Ми за ціною не постоїмо

Однак є «реальні пацани», які платять за повноцінну систему, причому не торгуючись. До таких, на думку співробітників компанії «Інформзахист», відносяться деякі серйозні інвестиційні компанії, які за рахунок витоку даних можуть втратити за день сотні мільйонів доларів через стрибок котирувань.

За кордоном DLP-системи нерідко набувають для якнайшвидшого отримання того чи іншого сертифіката, який вимагає або міжнародна платіжна система, або законодавство. У Росії, за словами постачальників безпеки, деякі фінансові організації до сих пір вважають за краще отримання дорогого сертифіката мене витратний штраф, а закон про захист персональних даних (ФЗ № 152) мало того, що прописаний туманно і не містить конкретних рекомендацій з тих чи інших систем , так ще і невідомо, коли вступить в силу.

DLP для самих маленьких

Дорожнеча DLP-систем робить їх недоступними для переважної більшості середніх і невеликих компаній. Теоретично вихід є - покупка рішення по схемі Software as a Service. Але експерти з безпеки попереджають, що в цьому випадку система, встановлена ​​у провайдера, буде аналізувати поштовий і інтернет-трафік, а така важлива частина, як пошук по внутрішнім комп'ютерам і серверам, залишиться нереалізованою.

Казка для дорослих

Великим компаніям система, може бути, і потрібна і по кишені, але як пояснити керівникам її необхідність і ефективність - питання.

Євген Клімов, керівник служби безпеки компанії «Металоінвест», пояснив, що якщо озвучити керівництву суму в 500 тис. Доларів, яка потрібна для впровадження DLP-системи на одному підприємстві, то в акціонерів мимоволі можуть з'явитися нездорові думки. Тут можна спертися на керівників «старого гарту», ​​які вірять в силу «першого відділу» і грифа «секретно». Їх можна переконати в необхідності створення системи зберігання комерційної таємниці. Правда, для функціонування такої системи DLP-рішення буде потрібно серйозно «навчити» - зібрати базу даних документів, що містять комерційну таємницю. Після складання такого списку можна залучати співробітників за порушення закону про цю саму комерційну таємницю. Закону № 98, який на відміну від 152-го закону формально вже діє, але в реальності працює так само неефективно, що і не вступив в повну силу ФЗ № 152. Євген Клімов вважає, що разом DLP і закон про комерційну таємницю працюватимуть набагато ефективніше.

Леонід ЧУРИКОВ, Banki.ru