Archive | August 2013

Эссе́ о DLP-системах на украинском рынке ИБ

Эссе́ о DLP-системах на украинском рынке ИБ

Ты должен сделать добро  из зла, потому что его больше не из чего сделать.

Р. П. Уоррен

Прежде всего подчеркну следующее: независимо от области бизнеса, объема прибыли и масштаба компании, толк от внедрения любых защитных мер (DLP, MDM, SIEM) будет лишь в том случае, если департамент ИБ планирует и осуществляет мероприятия по усилению безопасности совместно с руководством компании, исходя из ценности информации и того «value», которое ожидается от ИТ-процессов, нуждающихся в защите.

Почему так? Часто случается видеть картину, когда департаментам ИТ / ИБ приходится работать «вслепую», не имея четкого представления о рисках и стоимости информации. В этом случае даже при наличии достаточных бюджетов (что для наших реалий большая редкость), внедрение комплекса различных решений может не только не оправдать стоимость владения, но и банально не обеспечить защиту корпоративной тайны.

Участие в пилотных проектах и внедрениях демонстрирует: руководству компании и департаменту ИБ необходимо садиться за стол и обсуждать, планировать дальнейшие ходы вместе. Только при «командной игре» может быть достигнут переход от реактивного состояния ИБ до превентивного, а после до оптимизированного.

Зачастую внедрение DLP-систем рассматривается сотрудниками департамента ИБ фирм в Украине не как контрмера по упреждению утечек, а как инструмент контроля тех пользователей, которые пренебрегают политиками безопасности.

Пример из жизни: согласно политике ИБ, которая распространяется на всех сотрудников организации, доступ к корпоративной почте или иному внутреннему порталу с личных мобильных устройств запрещен. Однако существуют сотрудники, которым в силу занимаемых ими должностей предоставляется полный доступ. Со временем количество подобных пользователей увеличивается, в связи с несоответствием «написанного на бумаге» и реальной ситуации. Те структуры, которые подлежат периодическому аудиту, как правило, стремятся блокировать возникновение подобных ситуаций, но ведь есть масса других структур, чьи данные ценны по определению, однако ИБ под давлением допускает появление «дыр» в защите ИТ инфраструктуры. Без внедрения защитных механизмов такое “потакание” рано или поздно приведет к утечке. Выход возможен только при «командной игре», а именно – внедрение MDM-системы, согласованное и утвержденное руководством.

Об украинском рынке DLP-систем

За последние несколько лет наблюдаю значительный рост спроса на системы предотвращения утечек информации (далее по тексту DLP).

Ситуации, при которых  заказчики начинают интересоваться DLP-системами, можно разделить на несколько условных категорий:

  • Нанесен ущерб, вызванный случайной или умышленной утечкой информации;
  • Необходимо обеспечивать соответствие бизнес-процессов действующему законодательству;
  • Внедрение DLP является плановым шагом в модернизации / построении ИТ-инфраструктуры.

Категории перечислены  по мере спада интереса. Если проанализировать распределение факторов спроса, то можно прийти к определенным выводам. Например, принятие Закона «O защите персональных данных», бесспорно, внесло определенное оживление на рынок DLP-систем. Однако стимулирующее действие закона в большей мере сказывается на организациях финансового и государственного сектора. Несовершенство институтов права и формулировки нормативных актов приводят к тому, что зачастую системы информационной безопасности (будь то DLP либо защита конечных точек) внедряются, что называется, «для галочки». И если финансовый сектор заботится о должном уровне внедрения и эксплуатации таких систем (поскольку «цена ошибки» довольно высока – потеря доверия), то в некоторых государственных предприятиях внедряемые системы обеспечивают лишь 10-15% КПД либо вообще пребывают в неактивном состоянии.

Кроме того, не следует забывать, что  использование различных ИТ-решений в госсекторе сопряжено с обязательным наличием сертификации ДСТЗИ (Департамент специальных телекоммуникационных систем и технической защиты информации Службы безопасности Украины), что неблагоприятно сказывается на принятии решений. Иногда заказчику приходится выбирать не ту систему, которая в большей степени обеспечивает его потребности, а ту, которая обладает сертификатом.

Коммерческие структуры (в том числе учреждения банковского сектора), как правило, либо уже имеют в своем арсенале комплекс DLP, либо откладывают этот вопрос в «долгий ящик». Недооценка рисков и попытка сэкономить на внедрении DLP-системы приводят к тому, что, к сожалению, для большинства украинских компаний внедрение DLP-системы – это не превентивный шаг, а реактивная мера по устранению последствий. Другими словами, на данный момент львиную долю спроса генерируют те предприятия, которые уже столкнулись с последствиями утечки коммерческой тайны. Если же говорить о тех компаниях, которые заинтересованы во внедрении DLP-системы заранее, «до того как», то в подавляющем большинстве это коммерческие структуры с иностранным капиталом, т. е. те организации, которые строят ИТ инфраструктуру, учитывая международные стандарты политик безопасности и технологий (ISO 27001/27002, NIST, ISA/IEC и др.).

Современные тренды высоких технологий являются подчас агентами влияния более сильными, чем нормы действующего законодательства. Широкое использование сотрудниками мобильных устройств для обработки корпоративных данных (BYOD), частичная или полная миграция инфраструктуры компании в «облака» (Public/Private Cloud) приводят к необходимости переоценки рисков. Благодаря популяризации BYOD и «облаков» исчезает само понятие периметра ИТ-инфраструктуры и появляется новый тип сотрудников – «мобильные менеджеры», которые большую часть рабочего времени проводят за пределами офиса. Тем не менее, таким сотрудникам необходимо получать доступ к информационным ресурсам компании и обрабатывать корпоративную информацию. При таких условиях департаменту ИБ становится гораздо сложнее обеспечивать контроль доступа и соответствие оборудования таких сотрудников (ноутбуков, планшетов, смартфонов) корпоративным политикам безопасности. В связи с этим закономерно повышение спроса на DLP, MDM-решения и другие системы защиты информации, которые предназначены для использования в режиме off-line, т. е. когда политики применяются даже в том случае, если устройство длительное время находится вне локальной сети предприятия.

Существует отдельный класс решений, которые многие руководители ошибочно принимают за DLP-продукты по учету / контролю рабочего времени сотрудников. Такое программное обеспечение занимается журналированием операций, выполняемых персоналом компании на рабочих местах. Журналирование может включать в себя текстовые логи нажатых клавиш, списки запущенных процессов, снимки экрана, а в отдельных случаях и захват видео с «Рабочего стола» машины сотрудника. Однако системы учета рабочего времени ни в коей мере не могут обеспечить блокирование утечки. Более того, использование системы учета не отменяет необходимости внедрения DLP-системы.

Почему я акцентирую на этом внимание? Обычно, когда заказчик обращается к нам и речь заходит о демонстрации возможностей DLP-системы, возникает путаница, связанная с тем, что руководители предприятий твердо убеждены: DLP-системы – это системы учета рабочего времени. Однако это две разные категории решений, предназначенные для решения отдельных задач. Системы учета рабочего времени сотрудников не приспособлены для анализа контента и, как следствие, не способны не только заблокировать, но в отдельных случаях и обнаружить утечку информации по неявным каналам. DLP-системы, напротив, предназначены для мониторинга, анализа передаваемых данных и, по необходимости, блокирования утечек без остановки бизнес-процессов. Соответственно, DLP-системы не предназначены для слежки за действиями пользователей. Данный класс систем в первую очередь является обучаемым инструментом защиты компании от случайных и умышленных утечек. Кроме того, если говорить о DLP, традиционный подход, при котором политики задаются единоразово в момент развертывания не применим, поскольку любое изменение процесса обмена информацией неизбежно влечет за собой необходимость аудита и корректировки политик.

Если говорить о распределении потребителей DLP-систем по сферам бизнеса в Украине, то основными заказчиками являются представители финансового сектора, страховые компании, предприятия промышленного и энергетического комплексов, госучреждения. Заметный интерес также наблюдается со стороны предприятий пищевой промышленности, фармацевтических и строительных компаний.

Если говорить о количестве защищаемых рабочих мест, то этот показатель может варьироваться от 10-50 систем (внедрение DLP только в главном офисе) до 2-3 тысяч систем при защите всей распределенной инфраструктуры заказчика. В каждом конкретном случае количество защищаемых рабочих станций зависит от того, как построена работа с информацией. Так, например, если заказчик широко использует терминальные сервера в связке с тонкими клиентами, то в ряде случаев для выполнения технического задания заказчику достаточно внедрить модули DLP-системы на терминальных серверах и, если сотрудники активно используют мобильные устройства, – модули Network DLP. Все зависит от потоков информации, уровня доступа сотрудников и ценности самой информации.

Как правило, большинство  заказчиков на украинском рынке начинают свой опыт общения с модулями DLP-систем, позволяющими производить мониторинг, анализ и блокирование информации, которую сотрудники могут скопировать / записать на внешние носители.  Флеш-накопители, внешние жесткие диски, mp3-проигрыватели и цифровые фотокамеры являются своеобразной «точкой входа» в DLP для некоторых компаний, но не всех. Так, помимо контроля внешних устройств заказчики также стремятся защитить DLP-системой каналы электронной почты и Web. В зависимости от строения ИТ-инфраструктуры, от аппаратных характеристик парка рабочих станций и от процентного соотношения «мобильных» пользователей, для этой задачи применяют либо клиентское ПО, функционирующее непосредственно под ОС, в которой сотрудник работает со своими приложениями, либо модули Network DLP, позволяющие производить анализ, мониторинг и блокирование передачи информации на сетевом уровне независимо от оборудования и ПО, которое инициировало передачу информации. Кроме уже названных задач, в техническом задании все чаще фигурируют требования мониторинга файловых хранилищ и баз данных на предмет наличия конфиденциальной информации. В техническом задании часто упоминают контроль информации, которая передается на печатающие устройства (принтера, МФУ).

С ростом интереса к криптографии появляются запросы по мониторингу и блокированию записи информации на разделах, зашифрованных популярным ПО TrueCrypt. И поскольку «облака» и виртуализация являются неотъемлемой частью прогресса вычислений для нужд бизнеса, то желание заказчиков обеспечить защитой от утечек терминальные сервера и VDI является закономерным. Не все из игроков рынка DLP способны обеспечить защиту VDI и терминальных серверов, а также для блокирование записи на шифрованные тома.

О сложностях, с которыми приходится сталкиваться потребителям DLP-систем

Несмотря на то что DLP-системы появились на рынке не вчера, для многих заказчиков основную сложность при их внедрении и по сей день составляет классификация конфиденциальной информации. Это означает, что все работы по идентификации коммерческой тайны ложатся на плечи компании-интегратора. С моей точки зрения, это не совсем правильно, т. к. для максимальной эффективности внедрения и эксплуатации DLP-системы компания-заказчик вынуждена обеспечить допуск внешних специалистов к самой ценной информации. Проблема не в том, что нужно показать сторонним специалистам коммерческую тайну, а в том, что некоторые заказчики не дают полного доступа к конфиденциальной информации. Как следствие, настроенные политики не обеспечивают должного уровня «просеивания» передаваемых данных.

По моему мнению, при составлении политик необходимо учитывать всю информацию, которую компания-заказчик стремится защитить. Если из-за ценности информации привлечение внешних специалистов нежелательно, я советую заказчику провести обучение его собственного ИТ / ИБ-персонала. Такой сценарий несет двойную выгоду: во-первых, устраняется проблема неполной классификации, во-вторых, упрощается сопровождение системы.

Далее по списку идут сложности, с которыми заказчик сталкивается на этапе эксплуатации. Важно понимать, что DLP – это не антивирусная система. Для гарантированного пресечения утечек информации внедренную систему и ее политики необходимо подвергать периодическому аудиту, ведь любое незначительное изменение бизнес-процессов может таить в себе потенциальный канал утечки информации.

Сложность интеграции модулей DLP-системы в существующую ИТ-инфраструктуру зависит от наличия централизованного управления. Заказчики, которые внедряют правильные решения, могут сфокусироваться на проведении классификации конфиденциальной информации и реагированию на инциденты.

Безусловно, у каждой компании своя архитектура бизнес-процессов  и свой подход к обеспечению коммерческой тайны, однако, как показывает практика, рано или поздно заказчики приходят к необходимости внедрения систем шифрования данных и DLP. Хочется верить, что в скором будущем внедрение этих систем будет превентивной мерой, осознанным шагом руководителей компаний, а выбор вектора развития защиты информации – согласованным решением руководства и департамента ИБ.

И помните, что ни одна система  безопасности не устоит против человеческой глупости.

Владислав Радецкий

* Изложенное в статье выражает личное мнение автора.