Что необходимо для успешного DLP-проекта

Наталья Зосимовская
ведущий специалист
департамента маркетинга
компании "Информзащита"

Проблема утечек конфиденциальной информации становится все более и более актуальной. Этому, несомненно, поспособствовали и громкие скандалы, в которых фигурировали названия крупных и уважаемых организаций, и отчеты аналитических компаний, демонстрирующие несовершенство защиты конфиденциальных данных, последующую цену их утечки и многое другое. Но нельзя отрицать тот факт, что большинство организаций, оперирующих информацией ограниченного доступа, являющейся их ценным активом, озабочены проблемой ее защиты

Почему стоит беспокоиться о защите своей информации

Если приводить примеры наиболее громких случаев кражи данных, то следует упомянуть двух несомненных лидеров: ретейлера TJX и Heartland Payment Systems (компания, предоставляющая услуги по обработке платежей). В первом случае злоумышленникам в течение 18 месяцев беспрепятственно удавалось воровать данные из центральной базы данных компании. В результате было скомпрометировано более 45 млн записей (данных кредитных карт и водительских   прав   клиентов), а финансовые затраты на устранение последствий этой утечки компании TJX составили более чем $250 млн.

А 20 января 2009 г. Heartland Payment Systems объявила о том, что ее система была взломана злоумышленниками, в результате чего было украдено более 130 млн записей платежных карт. Компания Heartland Payment Systems выплатила более $140 млн банкам за перевыпуск карт, а также штрафы платежным системам. При этом формально Heartland имела сертификат соответствия требованиям стандарта безопасности в индустрии платежных карт PCI DSS, что послужило дополнительным шоком для общественности.

Стоит отметить, что, помимо таких громких случаев, преданных гласности, существует огромное количество более мелких утечек, суммарное количество данных которых не меньше поражает воображение. Так, например, по результатам исследования компании Verizon (2010 Data Breach Investigations Report), использовавшей информацию о 141 случае утечек, выяснилось, что суммарно по этим случаям было скомпрометировано более 143 млн записей (в основном это была информация, украденная из финансовых компаний). При этом примерно в 50% случаев в утечках были виноваты сотрудники компаний. Но парадокс состоит в том, что инсайдерами из них традиционно бывают единицы. Просто хорошие сотрудники совершали плохие ошибки. Существует огромное количество примеров, когда сотрудники просто-напросто теряли флешки, ноутбуки, смартфоны, в которых в незащищенном виде хранились конфиденциальные данные компаний. Или пересылали их с помощью персональной электронной почты. Или выкладывали их на ресурсах типа GoogleDocs, LinkedIn и т.д. Также не стоит забывать о повсеместном распространении различных социальных сетей, которые используются не  только  сотрудниками  для общения, но и компаниями для пиара и продвижения своих товаров и услуг. При этом нужно понимать, что социальные сети являются отличной площадкой для распространения зловредного контента, применения методов социальной инженерии, сбора информации.

Защита от утечек

DLP-система представляет собой продукт, который на основе централизованных политик осуществляет идентификацию, мониторинг и защиту данных во время их использования, передачи и/или хранения. Традиционно системы DLP осуществляют следующие основные функции. Первая – это идентификация, то есть обнаружение конфиденциальной информации и мест ее хранения в сети компании. Помимо этого система может осуществлять анализ легитимности хранения обнаруженной информации в ее текущем местонахождении и при необходимости осуществлять перенос в защищенные хранилища. Следующая функция – это мониторинг, в рамках которого система отслеживает передаваемые данные и выявляет нарушения в соответствии с условиями, заданными в политиках. И третья функция – это защита. Данная функция может быть представлена различными действиями. Это может быть и рассылка оповещений о нарушении политик безопасности, и изоляция в карантин, и блокировка передачи данных.

По желанию заказчика система DLP может осуществлять контроль на двух уровнях – на уровне шлюзов и на уровне рабочих мест пользователей, контролируя основные каналы передачи данных (e-mail, Web, IM, принтеры и т.д.). Представленные на сегодняшний день на российском рынке системы DLP обладают примерно одинаковыми функциями. Различаются они требованиями к аппаратной части, логикой внутренней работы, сложностью настройки и эксплуатации, а также ценой и политикой лицензирования.

Таким образом, прежде чем выбрать конкретную систему, есть смысл протестировать и сравнить несколько вариантов. Тем более большинство вендоров предлагают бесплатные тестовые версии. Но стоит помнить, что перед приобретением и внедрением DLP-системы очень важно заранее сформулировать ожидания от нее. Нужно понимать, что система DLP не является 100%-ной гарантией того, что все утечки в организации будут выявлены и остановлены. Подобная система при грамотной настройке и использовании может значительно снизить риск утечки. И это принципиальный момент, характеризующий ее суть.

Ключевые роли успешного DLP-проекта

Также не стоит забывать, что системы DLP ориентированы не только на безопасность, но в большей мере на бизнес-требования соответствующих подразделений. Это означает, что при принятии решения о приобретении и использовании системы в организации необходимо задействовать в обсуждении представителей всех подразделений, которых коснется ее работа. В систему должны быть транслированы не только общие политики безопасности, принятые в организации, но и в первую очередь информация от бизнеса, касающаяся их информационных активов и их ценности. Поэтому для успеха данного проекта должно быть выделено несколько ключевых ролей как от заказчика, так и от исполнителя. Если говорить о заказчике, то в его команду, во-первых, должен входить человек, имеющий возможность продвигать данный проект на уровне владельцев бизнеса или высшего руководства, которые смогут обеспечить необходимые ресурсы. Эта роль является ключевой в самом начале проекта по причине того, что без этого человека проекта может не случиться вовсе. После того как принципиальное решение о проекте будет принято, должен быть определен руководитель проекта, который будет координировать всю деятельность по проекту со стороны заказчика (техническая сторона, аналитика, управление изменениями и т.д.). Следующие участники – это владельцы активов и представители бизнес-подразделений, которые являются носителями информации, необходимой для создания политик в системе DLP. Необходимы специалисты, которые будут контролировать техническую сторону вопроса, и осуществлять необходимые переконфигурации устройств в сети. Также в процессе использования системы будут нужны ответственные, осуществляющие контроль над внесением необходимых изменений. В свою очередь, со стороны исполнителя должен быть руководитель проекта, координирующий работу по проекту со своей стороны. Консультант по DLP, который знает продукт и может давать рекомендации о том, как классифицировать конфиденциальную информацию и как транслировать эти данные в DLP-решение. И инженер, ответственный непосредственно за установку и базовую настройку системы DLP.

Основные стадии проекта

Для того чтобы система DLP эффективно заработала, необходимо пройти несколько основных стадий проекта. Первая стадия – сбор информации. Для сбора всей необходимой информации лучше организовать несколько встреч внутри компании с представителями различных подразделений, задействованных в проекте. Вопросы, которые необходимо задать, примерно такие: кто является пользователем системы, кто должен и кто не должен использовать те или иные данные и какие данные для вас конфиденциальные, где они находятся и какова их ценность, какие каналы коммуникаций используются, есть ли соответствующие политики ИБ по конфиденциальности и т.д. Вся эта информация необходима для того, чтобы создать и настроить политики, на основе которых будет осуществляться мониторинг и выявляться нарушения. Этот этап зачастую становится самым долгим, особенно в компаниях, где не существовало никаких  документов,  описывающих и классифицирующих конфиденциальную информацию. Для того чтобы облегчить задачу клиенту, можно ознакомить его с некоторыми общими категориями данных, относящимися к конфиденциальным независимо от типа бизнеса (данные по клиентам, по сотрудникам компании, данные по маркетингу и продажам, секретные документы, патенты). Вся эта информация и потребности в выявлении ее нелегитимной передачи должны быть переведены на язык политик системы. При создании политик нужно действовать постепенно и шаг за шагом, не пытаться создать сразу все политики, так как это не даст возможности адекватно разбирать оповещения и выявлять ложные срабатывания, а также докручивать именно те политики, которые дают сбои. Идеальный вариант работы системы, когда на 30–40 оповещений выявляется 2–3 ложных срабатывания. После этого принимается решение о применении ответных реакций на те или иные выявленные нарушения. Это может быть рассылка оповещений, блокировка действия и другие варианты, имеющиеся в арсенале используемой системы.

Очень важным моментом является работа с выявленными инцидентами. Компании необходимо определиться с тем, кто какие оповещения имеет право видеть, а также кто отвечает за их обработку. Будут это люди от IT и ИБ или же за это отвечают представители бизнес-подразделений. В любом случае сбор статистического материала о том, что происходит внутри организации с точки зрения работы с конфиденциальными документами, очень полезен и представляет собой ценный материал. Его анализ может помочь компаниям как выявить несовершенства в существующих процессах, так и обучить персонал тому, как правильно работать с информацией ограниченного доступа и избегать ошибок, которые в результате могут привести к абсолютно нежелательным последствиям.