Журнал "Директор по безопасности" Май 2020 | Page 28
ИНСТРУМЕНТЫ
БЕЗОПАСНОСТИ
10 вопросов
о DLP-системе:
зачем нужна,
что умеет,
а чего – нет
DLP-системы давно переросли
свое первоначальное назначение –
контроль утечек данных. Сейчас они
используются для решения гораздо
более широкого перечня задач
информационной, экономической,
кадровой безопасности. Данные
из системы можно применять
для оптимизации бизнес-
процессов, контроля и увеличения
производительности труда и даже
больше.
АЛЕКСЕЙ ДРОЗД,
начальник отдела информационной
безопасности «СёрчИнформ»
В этой статье мы решили ответить на
10 самых распространенных вопросов,
которые слышим от потенциальных
заказчиков о возможностях и
ограничениях DLP-систем и нашей
«СёрчИнформ КИБ» в частности.
1. Зачем нам ставить программу
контроля? Я доверяю своим со-
трудникам.
Доверие работает, когда вы знаете
каждого сотрудника лично. И даже в
этом случае, далеко не все работни-
ки его оправдывают. Когда в коллек-
тиве становится больше 50–100 че-
ловек, появляется место интригам и
махинациям, сливу информации или
множеству инцидентов по неосторож-
ности (рис. 1.).
Рис.1. Доля компаний, столкнувшихся
с инцидентами внутренней безопасности
ПОПЫТКИ ОТКАТОВ
30%
ПРОМЫШЛЕННЫЙ
ШПИОНАЖ/РАБОТА
В ПОЛЬЗУ
КОНКУРЕНТОВ
24%
САБОТАЖ
17%
СОЗДАНИЕ
ФИРМЫ-БОКОВИКА
11%
ДРУГОЕ
14%
На языке цифр: 95% ИБ-инциден-
тов начинается с человеческой ошибки
(исследование IBM Managed Security
Services); виновники 50% экономиче-
ских преступлений против российских
компаний – собственные сотрудники
(данные PwC). Наше исследование по-
казало, что только 9% компаний в
2019 году избежали инцидентов по
вине собственных сотрудников.
2. DLP – это дорого. Разве окупится,
если у нас нет страшных секретов?
Ситуация сильно зависит от конкрет-
ной DLP-системы и гибкости вендора.
Наше ПО имеет модульную структуру,
внедрение системы можно наращи-
вать по мере взросления бизнеса и
усложнения его задач. Решение в том
числе доступно в формате ИБ-аутсор-
синга для тех компаний, которые пока
не могут оценить целесообразность
покупки софта навсегда (бессрочные
лицензии) и найма ИБ-аналитика.
Когда бизнес созрел для покупки,
мы обеспечиваем гибкое лицензиро-
вание – цена зависит от объема за-
купки, количества контролируемых
каналов и т. д. Например, для 100 ПК
бессрочные лицензии для контроля
всех каналов обойдутся в чуть более
20 000 рублей за один ПК. В организа-
ции с 5000 ПК – чуть более 7000. Мы
обычно приводим пример, что на за-
щиту DLP-системой компания потра-
тит деньги, соразмерные стоимости
чая, кофе в офисе и новогоднего кор-
поратива. Если нужен более подроб-
ный разбор, вопрос возврата инвести-
ций мы однажды рассматривали на
вебинаре, вы сможете его найти у нас
на youtube-канале.
3. Как с помощью DLP контроли-
ровать компьютеры сотрудников,
которые работают вне офиса?
Если сотрудники работают из дома на
корпоративных устройствах, тогда про-
блем с организацией контроля не воз-
никает, требуются только донастройки
DLP и политик безопасности, которые
будут учитывать пропускную способ-
ность и загрузку каналов связи, а также
специфические «домашние» риски.
На установку программ контроля
на личные устройства есть законода-
тельные ограничения. Поэтому если
нет возможности снабдить сотрудни-
ков корпоративными устройствами,
личные компьютеры стоит использо-
вать только в качестве точки входа в
корпоративную инфраструктуру, по-
добно тонкому клиенту. Тогда агенты
DLP-системы могут устанавливаться
непосредственно на терминальный
сервер или «пробрасываться» в «зо-
лотой образ» в случае с VDI и кон-
тролировать работу пользователей во
всех сессиях.
4. Может ли DLP контролировать
мобильники?
Нет, не может. Контроль мобильников
с точки зрения DLP – нерешенная за-
дача, если рассматривать ее в контек-
сте переменных эффективность-не-
заметность-полноценность-закон-
ность-стоимость. Снизить риск утечки
информации через личные устрой-
ства можно с помощью комплекса тех-
нических и административных мер.
Самые популярные решения в зави-
симости от специфики бизнеса – это
полный запрет на использование гад-
жетов на работе, MDM/EMM решения
и установка камер видеонаблюдения.
DLP-системы в рамках этого ком-
плексного подхода применяются, что-
бы максимально усложнить задачу
кражи информации. Программа хо-
рошо закрывает возможность слива
информации с компьютера на теле-
фон по всем каналам, остается только
ситуация, когда экран монитора ба-
нально фотографируют. Чтобы не
фотографировали, помогают меры
т. н. «социального давления»: видео-
наблюдение в кабинетах, устранение
ситуаций, когда сотрудник оказывает-
ся в кабинете один и т. п.
5. Нас не засудят сотрудники, если
узнают, что мы за ними следим?
Нет, не засудят. Чтобы обезопасить
себя с точки зрения закона, закрыть
вопрос этики и иметь возможность
использовать данные из DLP в каче-
стве доказательств в суде, работода-
тель должен письменно оформлять
факт контроля и получать согласие от
сотрудника. По запросу мы делимся с
заказчиками образцами документов.
Отношения работник-работодатель
регулируются Трудовым кодексом, где
однозначно говорится, что сотрудник
в рабочее время обязан трудиться
(ст. 91); что работодатель имеет право
требовать исполнения трудовых обя-
занностей (ст. 22); что если вы органи-
зуете условия труда, то можете распо-
ряжаться собственным имуществом по
своему усмотрению (ст. 209). А еще по
закону вы еще и обязаны контролиро-
вать сотрудников, чтобы защитить ПДн
клиентов, банковскую и комтайну, ин-
формацию в государственных инфор-
мационных системах, а также данные
в АСУ на объектах КИИ.
6. Но если сотрудники знают о
контроле, есть ли в нем смысл?
Да, есть. Закон не обязывает работо-
дателя в явном виде афишировать,
какие конкретно меры он принимает
для защиты информации. Опыт наших
клиентов говорит, что если ИБ-служба
не поднимает шум из-за каждого ин-
цидента, сотрудники очень быстро пе-
рестают фиксировать свое внимание
на контроле и возвращаются к при-
вычному поведению.
Да, злостные нарушители будут
осторожнее и начнут выискивать воз-
можности обойти систему. Но сама
жизнь показывает, что и самые опыт-
ные преступники прокалываются на
ерунде. Вспоминается история, как
«неуловимый» хакер оказался в поле
зрения полиции, потому что рассла-
бился и, заказав пиццу, указал свою
конспиративную электронку.
7. На работу с DLP нужно сажать
отдельного человека? Сколько
времени будет тратить мой сотруд-
ник на работу с вашей системой?
Специалиста выделить желательно. У
продвинутых DLP-систем очень широ-
кий функционал, просто «поставить и
забыть» – это значит закопать деньги
и разочароваться в софте.
Но уровень автоматизации у
DLP-систем разный, в случае с нашей
«СёрчИнформ КИБ» один специалист
может полноценно контролировать
1500 человек. Для этого у него на ру-
ках уже на старте будет пакет из уста-
новленных политик безопасности. А
отдел внедрения поможет с дальней-
шей тонкой настройкой, чтобы сни-
зить уровень ложно-положительных
сработок практически до нуля, при
этом не потеряв в качестве аналитики
(рис. 2).
Рисунок 2.
Напомню также, что если в ком-
пании не хватает «рук», есть вариант
воспользоваться ИБ-аутсорсингом. Та-
кой подход оказывается востребован-
ным и у крупных компаний, которые
хотят усилить свои штаты.
8. Какую нагрузку дает на
сеть и ПК?
Нагрузка зависит от того, где DLP-си-
стема обрабатывает и анализиру-
ет информацию: прямо на рабочей
станции или на сервере. Некоторые
DLP-системы в этом плане неповорот-
ливы и возлагают «тяжелую» работу
только на клиентскую часть софта.
«СёрчИнформ КИБ» может на-
страиваться гибко. В зависимости от
задачи можно максимально снизить
нагрузку на ПК, тогда даже на маши-
не с 512mb RAM и 2ghz CPU работа
агентов будет практически незаметна.
Если нужно разгрузить сеть, можно
настроить ограничение по ширине ка-
нала, используемого агентами. В этом
случае агент формирует очередь из
данных на рабочей станции (в скры-
том и зашифрованном хранилище) и
постепенно передает ее на сервер.
9. А где гарантии, что никто не
получит доступ к нашей инфор-
мации?
Наше ПО не имеет скрытых возмож-
ностей или шпионских модулей и не
передает информацию за пределы
сети компании-заказчика. Это под-
тверждается наличием сертифика-
та ФСТЭК (сертификаты и лицензии
выложены на нашем сайте). Но еще
важнее документов – репутационные
риски. Сейчас у нас больше 3000 кли-
ентов, среди которых «ОАК», группа
«Открытие», «Эр-Телеком», «Дикси» и
др. Доверием каждого мы дорожим,
потому играть в какие-то «шпионские
игры» себе дороже.
10. Чем вы лучше других подоб-
ных программ?
Хвалиться приятно, но что бы мы
сами ни говорили, надо тестировать
программу в условиях конкретной
компании, давать на софт максималь-
ную нагрузку и лучше запускать «пи-
лоты» DLP-систем нескольких вендо-
ров. Что касается нашей системы, она
доступна для теста в полном функци-
онале бесплатно. Так же можно проте-
стировать и ИБ-аутсорсинг, достаточ-
но оставить заявку у нас на сайте.