DLP-системы помогают компаниям предотвратить инциденты информационной безопасности, в основном связанные с утечками информации. Это многим понятный и широко используемый инструмент. Но применение DLP-систем этим не ограничивается: их функции помогают решать и другие, не менее интересные задачи. Способны ли эти системы обеспечить эффективный контроль за всем многообразием коммуникаций в условиях постоянно изменяющихся технологий? От чего зависит эффективность применения DLP?
Что такое DLP-система и как она используется в корпоративной среде
Изначальная функция DLP систем – контроль утечек информации. В современном информационном ландшафте ни одна DLP-система не сможет закрыть все возможные каналы утечки информации, и более того, существует мнение, что сейчас DLP-системы могут поймать только сотрудников, не очень хорошо разбирающихся в информационных технологиях (тем самым воспитывая культуру осведомленности в организации через инциденты). При этом служба безопасности (и вся компания) должны четко понимать, какая информация является конфиденциальной, какая ограниченного доступа, коммерческой тайной, чтобы отслеживать и настраивать систему именно под нее.
Следует также иметь в виду, что если система включается в «разрыв», т. е. работает именно в режиме предотвращения утечек, необходимо будет изменить архитектуру сети, механизм работы приложений, возможно даже процессы в компании – все зависит от каналов утечки, вплоть до расшифровки трафика на периметре.
При этом установка «в разрыв» в принципе не всегда возможна – если каналов коммуникации много, технический потенциал сотрудников высокий – эти мероприятия потребуют слишком больших затрат или парализуют бизнес-процессы. В этому случае систему можно использовать для аналитики – определять инсайдеров и злоумышленников и работать с ними, чем пытаться закрыть все каналы утечки и считать, что всё контролируется.
Вторая задача DLP системы – формирование доказательной базы по судебным спорам, работе с правоохранительными органами, при условии того, что она правильно внедрена и грамотно легализована.
Третья, весьма немаловажная функция, стоящая на стыке информационной безопасности и бизнес-процессов – это составление цифрового профиля человека как сотрудника компании для выявления групп риска, а также использование DLP как системы низкого уровня для сбора информации о бизнес-процессах, точнее, об их коммуникационной составляющей, например, о том, как происходит обмен информацией между сотрудниками в ходе выполнения процесса. Это позволяет наблюдать, как хорошо «живет» бизнес-процесс и насколько его реальное исполнение отличается от порядка, закрепленного в регламенте. Это достаточно «взрослая», специфическая задача, но из этого можно извлечь много пользы.
На практике, однако, DLP системы часто используются как еще один СКУД – для учета рабочего времени (хотя это и не является задачей информационной безопасности), т. к. для решения серьезных задач система должна быть грамотно внедрена и настроена, что требует значительных усилий.
После 24 февраля стала актуальной задача отслеживания коммуникаций в коллективе, выявление деструктивных, протестных настроений, наблюдения за настроениями в коллективе и уровнем тревожности среди персонала. При этом как правило есть люди, резко реагирующие на любое изменение условий или события, и помочь в их определении может общение с коллективом или руководителями отделов. Здесь важным свойством DLP-системы является интеграция технологий прикладной психологии для анализа коммуникаций и составления психологических портретов сотрудников.
Кроме того, DLP-система является инструментом для повышения осведомленности службы безопасности компании по внутреннему контексту, выявлению «центров силы» и работе с ними. Следует отметить несколько важных моментов:
служба безопасности должна быть достаточно зрелой, чтобы работать с собираемой информацией в профессиональном поле, не привязываясь к ней эмоционально и избегать субъективизма;
DLP-системы позволяют сфокусироваться на определенных объектах и вопросах без необходимости следить за всем и за всеми. Однако эти объекты и вопросы необходимо по каким-то критериям определить;
от 70 до 80% задач, связанных с деятельностью служб безопасности через DLP, были связаны не с поиском «негодяев» и инсайдеров, а со снятием опасений руководства по поводу деятельности определенных лиц и снижением уровня оцениваемого риска.
При этом независимо от того, что намеренный злоумышленник или инсайдер имеет свойство скрывать свою деятельность, используя каналы коммуникации, не контролируемые DLP, всё равно системы предоставляют базовый контекст для работы службы ИБ за периметром компании: частые выходы в социальные сети, личная почта, сторонние коммуникаторы – одних фактов аномального поведения уже достаточно для формирования и проверки каких-либо гипотез.
Применение DLP-систем может быть очень широким, и наибольшей эффективности можно добиться, применяя ее в комплексе с другими мерами: повышением осведомленности, работой с персоналом, организационными мерами, техническими средствами (вроде SIEM).
На сегодняшний день на российском рынке представлены в основном отечественные производители DLP-систем: Infowatch, SearchInform, Solar Dozor, Zecurion, Киберпротект, StaffCop. В целом функционал систем достаточно схож, различия незначительны.
Как легализовать DLP-систему и можно ли избежать «острых углов» при этом?
Как правильно легализовать DLP-систему, чтобы избежать претензий со стороны регуляторов, исков сотрудников проблем с доказуемостью?
Самый простой способ – установление режима коммерческой тайны в соответствии с 98-ФЗ. Это позволяет компании применять технические средства мониторинга за утечками сведений, составляющих эту коммерческую тайну.
К этому вопросу необходимо подойти серьезно – определить максимально конкретно, что именно составляет коммерческую тайну, за что компания готова потом бороться в суде в случае утечки. В состав этих технических средств включается DLP, и те, кто допущен к коммерческой тайне, и это самое подписывают согласие на это.
Сведения конфиденциального характера могут быть достаточно широкими, и компания часто не готова на практике бороться за сохранность этих данных. Это определяет и отношение коллектива к вопросам защиты, и авторитет службы безопасности, которая что-то заставляет подписывать без реальных последствий за нарушение.
В дополнение к сведениям, составляющим коммерческую тайну, в юридическую «обвязку» можно включать сведения, связанные с результатами интеллектуальной деятельности сотрудников.
В качестве одного из доказательств в суде возможно использовать официальное описание функционала системы от вендора и снимки экрана с результатами. Однако судебная практика сильно разнится по регионам и однозначной гарантии или набора применимых доказательств нет.
Следует иметь в виду существование понятия неотчуждаемого права. Сотрудник может письменно согласиться с чем угодно (например, в силу слабой юридической грамотности), однако некоторых прав (например, конституционных) он сам себя лишить не в состоянии.
Примерный набор документов может выглядеть так:
уведомление сотрудников под подпись;
правила внутреннего трудового распорядка;
трудовой договор;
должностная инструкция;
приказ об установлении режима коммерческой тайны.
Следует, однако, внимательно отнестись к содержанию этих документов, чтобы избежать ситуации, когда в них происходит попытка отчуждения неотчуждаемых прав и документ превращается в инструмент успокоения руководства и неграмотных (в юридическом смысле) сотрудников.
Еще одной важно (и, пожалуй, самой сложной) проблемой является удаленная работа. В случае, если сотрудник уносит домой корпоративный ноутбук с DLP-системой, которая пишет звук и делает снимки с камеры, то при попадании в ее поле зрения посторонних людей (членов семьи сотрудника, например) вопрос очень легко переходит за рамки законности. Исходя из этого, технически внедрить DLP-систему гораздо проще, чем легализовать ее использование. Поэтому большую часть функций придется отключить при удаленной работе.
Есть еще один юридический момент, связанный с перепиской сотрудников: получатели сообщений (например, контрагенты) не подписывают информированного согласия на мониторинг переписки, и этот момент легализовать еще сложней.
По данным анонимной статистики, около 80% компаний используют DLP-системы нелегально. DLP-система – это не только удобный инструмент, но и опасная вещь: например, подвести законные основания под сбор и обработку персональных данных участников переписки, если они не являются сотрудниками, практически невозможно. Поэтому с точки зрения легализации имеет смысл только, пожалуй, схема с коммерческой тайной.
Со статистикой и информацией по привлечению к судам по тематике информационной безопасности можно ознакомиться в блоге Евгения Царева.
Какие технологии и функции могут появиться в DLP-системах в ближайшем будущем?
В короткой перспективе:
Автоматизация распознавания лингвистических паттернов, расширение возможностей анализа информационных потоков;
Блокировки на уровне внутреннего и внешнего периметра;
Стратегические направления развития:
объединение внутреннего контекста компании с внешним контекстом: например, мониторинг социальных сетей для объединения информации о внутренних действиях сотрудников с внешним поведением. Это на порядок повышает уровень информативности по действиям сотрудников и поведенческому анализу. Но следует помнить, что это всё находится пока в «серой» зоне законности.
разработка единого протокола взаимодействия средств защиты информации для облегчения их интеграции между собой, чтобы они общались «на одном языке» друг с другом.
(Можно обратить внимание на компанию MicroLaap и продукт EtherSensor, которая умеет в реальном времени разбирать сообщения по модели OSI, очищать их и передавать дальше во множестве разных форматах данных, например, собирать информацию из источников, не поддерживаемых DLP, преобразовывать ее в почтовые сообщения и подавать на вход DLP-системы для обработки, или прослушивать сообщения мессенджеров из канала связи, а не из агента)использование технологий машинного обучения для того, чтобы на конкретном контексте, конкретном информационном ландшафте компании обучать системы отличать сведения, составляющие, например, коммерческую тайну, несигнатурными методами.
Отдельно можно отметить тренд на снижение цен на DLP-системы. До недавнего времени DLP могли позволить себе немногие компании, однако переход в массовые сегменты рынка потребует снижения цен на продукты. Предпосылки к этому уже есть.
Возможно ли привлечение аутсорса при защите от внутренних угроз?
Главная проблема здесь заключается в том, что аутсорсеры не знают внутреннего контекста компании.
Еще одна сложность заключается в неготовности поставщиков услуг нести ответственность за свои ошибки при предоставлении сервиса.
Кроме того, DLP обрабатывает весьма «чувствительную» информацию, и отдавать ее сотрудникам посторонней компании может быть проблематично.
(Вопросам обеспечения информационной безопасности по сервисной модели посвящен отдельный выпуск ток-шоу Безопасная Среда)