Рынок DLP: мнение экспертов

Александр Кузнецов

руководитель отдела безопасности информационных систем НТЦ "Вулкан"

1. Действительно, вопрос определения достоверных и качественных исходных данных для DLP-решений является одним из самых важных на стадии внедрения и в процессе дальнейшей эксплуатации, в части пополнения базы знаний. Наличие подобного источника значительно сократило бы время опытной (тестовой) эксплуатации DLP-систем с частично надуманными данными (стоит заметить, что на ряде объектов данный процесс затягивается далеко не на один месяц) и позволило бы повысить эффективность применения данных систем.

2. Нужно понимать, что защитить все информационные активы от всех угроз на сто процентов нельзя. Пытаясь обеспечить защиту всего, можно сделать саму систему защиты информации абсолютно экономически неэффективной. Оборотной стороной тотальной защиты также является усложнение работы пользователей с информационными ресурсами организации. В случае чересчур сильного "закручивания гаек" можно просто парализовать работу компании. Построение эффективной системы защиты информации должно носить комплексный характер, основываться на глубоком анализе возможных негативных последствий и следовать принципу разумной достаточности.

3. Сейчас существует тенденция к созданию универсальных многофункциональных ИБ-продуктов (например, UTM, Endpoint Protection и др.). Безусловно, расширение функционала DLP-решения позволит его производителям быть более привлекательными для владельцев защищаемой информации. За счет применения одного решения заказчики смогут "убивать N зайцев" и обеспечивать максимальную унификацию применяемых в их IT-инфраструктуре средств защиты информации. При этом хотелось бы, чтобы расширение функциональности "не взвинтило до небес" стоимость данных решений.

4. Сегодня ряд сервисов обеспечения безопасности информации уже мигрировал в облако (анализ защищенности, шифрование данных и др.). У DLP-решений есть возможность вынести в облако компонент идентификации конфиденциальных документов (data-at-rest), остальные же компоненты DLP-системы требуют перехода в облако и всей IT-инфраструктуры заказчика. Вопрос лишь в том, захочет ли владелец защищаемой информации делиться с облачным провайдером сокровенной информацией, такой как цифровые отпечатки, ключевые фразы и места расположения реальных конфиденциальных документов?

1. При внедрении DLP-системы на конкретном предприятии действительно одна из проблем - нечеткое и неформализованное понимание, что является конфиденциальной информацией и что необходимо защищать и контролировать в первую очередь. Решить данную задачу можно несколькими способами. Собственными силами, когда в компании создается специальный отдел для исследования и формирования коммерческой информации, или воспользоваться услугами внешних компаний-интеграторов, предоставляющих полный спектр услуг в сфере информационной безопасности, для проведения профессионального аудита и разработки стратегии ИБ.

2. Несмотря на присутствие в аббревиатуре DLP слова prevention, что означает "предотвращение", "предупреждение", сам режим защиты, а точнее режим блокировки, в DLP-системах используют лишь единицы компаний. При этом контролировать в оперативном режиме максимально возможные варианты каналов утечки информации действительно необходимо. А защиту оптимальнее обеспечивать традиционными методами ограничения доступа.

3. В настоящее время, для того чтобы занять ведущее место на рынке, компании-производителю DLP-решения необходимо сочетать в себе профессиональный отдел продаж, продуманную маркетинговую политику, качественную техническую поддержку, партнерскую сеть и качественный продукт. Богатый функционал решения, безусловно, послужит весомым дополнением к достижению лидирующих позиций на рынке.

Конечно, технически перенести в облако можно почти все, в том числе и DLP. Учитывая стремительный взлет данных технологий, в перспективе нас ожидают появление и развитие подобных решений. Ведь развертывание DLP-системы из облака позволит оптимизировать затраты компании-клиента и упростить ее использование. Однако сейчас есть ряд организационных и юридических вопросов, решение которых позволит клиентам относиться к DLP в облаке с большим доверием.

Дмитрий Кононов

руководитель группы внедре DLP'-решений компании "Инфосистемы Джет", к.т.н., доцент Высшей школы экономики

1. Современные DLP-решения позволяют успешно анализировать как структурированную, так и неструктурированную информацию. Поэтому главной проблемой можно считать именно отсутствие единого источника компетенции, определяющего, какие именно данные нужно защищать. Более того, на мой взгляд, формирование такого источника компетенции у заказчика является одним из основных результатов успешного проекта внедрения DLP в России.

2. Безусловно нет. Защищать следует узлы и каналы наиболее вероятных утечек. Для их выделения необходимо сформировать список конфиденциальных данных, их владельцев и бизнес-процессов их обработки.

3. Сегодня наблюдается тенденция к унификации функционала DLP-решений класса Enterprise от разных производителей. В данном случае можно провести аналогию с автомобилями представительского класса. Выбирая между самыми различными марками, с технической точки зрения мы выбираем между одним и тем же. А на наш выбор влияют в большей степени вкусовые предпочтения, предыдущий опыт и т.д. Точно так же происходит и с DLP: технические новинки, если и позволяют вендорам выйти вперед, то на короткое время, так как очень скоро тот же функционал появляется и у конкурентов. Для того чтобы компания смогла занять ведущее положение на годы вперед, помимо широкого набора функциональных возможностей, она должна обладать компетентной командой, оперативной и качественной сервисной службой, грамотной лицензионной политикой, тонко чувствовать и оперативно реагировать на новые тенденции рынка. Причем соответствие рыночным тенденциям в данном случае зачастую заключается не в создании нового функционала, а в разработке новых методик и интеграции со сторонними продуктами. Опыт подсказывает, что часто выбор заказчиков в пользу того или иного DLP-решения основывается на созвучности идеологии, заложенной вендором при разработке продукта, с корпоративным подходом компании-заказчика к организации системы защиты информации от утечек.

4. Применительно к данному вопросу правильнее говорить не о возможности, а о неизбежности переноса DLP в облако. Ведь DLP-решения, являясь по своей сути зависимыми, следуют за конфиденциальными данными в места их обработки. То есть с учетом сегодняшних тенденций - в облако. С технической точки зрения это вполне возможно.

Алексей Раевский

генеральный директор компании Zecurion

1. Думаю, что основной проблемой внедрения DLP является неправильное отношение в компании к этой задаче. Для большинства пользователей DLP внедрение этой системы - обычная техническая задача для IT- или ИБ-отдела. Что-то вроде внедрения антивируса или апгрейда ОС. Для того чтобы внедрение DLP прошло успешно, необходимо отношение к этому процессу как к бизнес-задаче. То есть отношение, аналогичное, например, внедрению ERP. Это включает в себя анализ бизнес-процессов и связанных с ними информационных потоков, создание рабочей группы из специалистов всех заинтересованных подразделений, возможно с привлечением внешних консультантов, создание проекта, оценку существующих продуктов, внимательное проведение самого внедрения и настройки системы. Только в этом случае может быть определенная гарантия, что DLP-система будет окупать затраченные на нее деньги и усилия.

Конечно, это не относится к случаям, когда постановка задачи максимально упрощена, например "нам надо запретить использование всех флешек, но разрешить USB-сканеры", но в таких случаях и DLP это решение назвать можно с большой натяжкой, и каких-то серьезных проблем внедрения, как правило, не возникает.

2. Тотальный контроль - это, безусловно, наилучший вариант с точки зрения безопасности, но не всегда оптимальный в финансовом плане. Необходимо провести анализ потенциальных каналов утечки, оценить риски тех или иных видов утечки и потенциальный ущерб от них. И уже на базе этой информации принимать решение о том, какие каналы надо защищать, от кого и как.

3. Безусловно, широкий функционал - это один из основных козырей для производителя DLP-системы. Однако он далеко не единственный. При выборе DLP клиент смотрит на нужный ему функционал и на то, насколько удобно и качественно он реализован. Безусловно, производитель решения с более широким функционалом производит более солидное впечатление, и аргумент в пользу того, что если что-то из этого функционала не нужно сейчас, то может потребоваться в недалеком будущем, также довольно убедителен. Однако не менее важными факторами при выборе являются стоимость решения, удобство внедрения и управления, качество документации, доступность поддержки и т.д.

4. Возможно, и такие прецеденты уже есть, однако они не получили широкого распространения. Проблема заключается в том, что защита данных в облаке имеет свою специфику, и если просто перенести существующую систему DLP в облако, то для полноценной защиты данных от утечек этого будет недостаточно. В частности, в облаке на первый план выходят задачи по шифрованию данных в процессе передачи и хранения, которые в рамках традиционного подхода DLP не рассматриваются.

Сергей Вахонин

директор по информационным технологиям ЗАО "Смарт Лайн Инк"

1. Чаще всего да, отсутствие центров компетенции или их неразвитость является одной из основных проблем при внедрении. Многие заказчики затрудняются определить, что именно им надлежит защищать, от кого и как. Обычно это связано с тем, что функции и задачи обеспечения информационной безопасности возложены на IT-подразделения, не обладающие необходимыми знаниями в силу своей нормальной специфики. Также часто встречается отсутствие понимания смысла защиты информации у владельцев бизнеса. Тем не менее использование опыта аутсорсинговых компаний (вендоров или IT-интеграторов) позволяет в сотрудничестве с представителями заказчиков создавать такой центр компетенции.

2. Поскольку любой канал передачи или хранения информации - будь то устройство хранения данных, мобильное устройство, канал сетевых коммуникаций и т.п. - является потенциальной "дырой" в защите данных, конечно же, службы ИБ

должны иметь возможность контролировать их все без исключения.

3. Да, безусловно. Новые технологические решения всегда дают любому производителю шанс вырваться в лидеры, вопрос только в том, как производитель сумеет этим шансом воспользоваться и каково реальное качество заявленных новинок. Часто доводится слышать, что некий производитель выпускает некое новое решение, но на практике оно неработоспособно или нестабильно. Тем не менее очевидно, что спрос на DLP-системы неуклонно растет, что подтверждается явным интересом отечественных клиентов.

4. Появление в обозримом будущем (в ближайшие 3-4 года) новых технологических решений для облачных DLP неизбежно. В скором времени обязательно появятся DLP-решения, которые защищают от утечек корпоративные данные при использовании сотрудниками новых видов клиентских платформ корпоративных ИС, и в особенности со смартфонов и планшетных компьютеров на базе мобильных ОС Android и iOS. Это означает портирование DLP-агентов на эти операционные системы, а также некоторые более системные решения с использованием виртуализации в разных ее вариантах. Кроме того, основная часть любого DLP-решения на базе облачных вычислений должна быть и реализована на облачной инфраструктуре, что потребует существенной адаптации нынешних DLP-компонентов к специфике облаков, а это отсутствие физического разделения серверов и сетевой инфраструктуры, неопределенность местоположения хранимых корпоративных данных и их мобильность.

Рустэм Хайретдинов

заместитель генерального директора компании InfoWatch

1. Такая проблема была актуальна в начале "нулевых" в первых версиях DLP-npoдуктов для электронной почты. При низком уровне детектирования запрещенных к пересылке документов создавалась папка "карантин", в которую складывалась подозрительная пересылка. Сотрудник службы И Б читал содержимое карантина и решал, досылать письмо или нет. Ему, очевидно, не хватало квалификации для того, чтобы отличить конфиденциальный документ от публичного при отсутствии явно поставленного грифа на документе. Сейчас же, когда лучшие DLP-решения работают не с терминами, а со смысловыми категориями, этой проблемы нет - система сама обучается определять уровень конфиденциальности документа, основываясь на уже прокатегорированных документах. 

2. Идея защищать все от всех неконструктивна и дорога в реализации. Защита стоит денег, которые могут и не соответствовать ценности информации, перемещаемой по конкретному каналу. Компании, считающие свои деньги, оценивают риски использования разных каналов и принимают взвешенные решения, балансирующие между удобством доступа к информации, легкостью ее перемещения и ее конфиденциальностью. Возможно, стоит ограничить неконтролируемое использование некоторых каналов и устройств организационно и, принимая решения о продолжении использования, принимать или страховать эти риски.

3. Расширять функционал можно по-разному. Можно совершенствовать алгоритмы, позволяющие детектировать новые категории конфиденциальной информации. Увеличивать удобство пользования продуктом, разделять роли пользователей, чтобы эффективнее работать с инцидентами. Интегрировать DLP-решения с другими системами ИБ и IT, чтобы уменьшать эксплуатационные расходы заказчиков. Так и делает большинство лидеров рынка, но это довольно дорого и долго.

Поэтому новые и нишевые игроки иногда стремятся найти экзотический канал, написать для него перехватчик и гордиться тем, что они одни на рынке мониторят национальный монгольский пейджер. Поскольку ИБ - особенно внутренняя - категория экономическая, то нужно считать не абсолютную возможность сотрудника установить такой софт и слить информацию, а относительную, статистическую, а она, как правило, ничтожна. Можно развивать продукт в сторону "электронного вуайеризма" - подглядывания за перепиской сотрудников. Но ниша таких решений небольшая - параноики-кадровики, а клиент DLP все-таки сотрудник безопасности.

Но как бы ни совершенствовались продукты, обеспечить безопасность без смены отношения к жизненному циклу конфиденциальной информации внутри компании невозможно. Именно правильное соотношение технических, юридических и организационных мер, принятие всеми сотрудниками соответствующей идеологии позволяют таким системам приносить пользу бизнесу.

4. Технически все шлюзовые DLP уже находятся в частных облаках - крупнейшие клиенты уже давно перенесли производительные DLP-решения в виртуализированные дата-центры. Вопрос перехода таких решений в публичные облака скорее психологический, чем технологический. Также DLP-решения дополняют облачные сервисы для компаний, пользующихся облачными почтовыми сервисами и ассоциированными с ними антивирусом, антиспамом и архивированием почты. Пока, правда, успехи таких решений небольшие, прежде всего также по психологическим причинам.

Владимир Денежкин

генеральный директор ООО "Трафика"

1. На мой взгляд, основная проблема внедрения DLP-системы - неумение обосновать выгоду, которую получит бизнес при ее внедрении.

2. Мне как руководителю важно, чтобы была защищена критически важная для бизнеса информация, в нашем случае для компании-разработчика это бизнес-идеи и программный код. Для банка - своя критически важная информация, для туроператоров - своя.

3. Важнее расширение не функциональности, а возможности интеграции со смежными системами безопасности - возможности получить объединенное рабочее место оператора, а не несколько кое-как сшитых лоскутов.

4. Мы предоставляем возможность использования такой технологии. Технически - возможно. Организационно - возможно. Решение за клиентом: использовать ему облако или установить систему физически у себя в офисе.