На DLP-Russia искали внутреннего нарушителя

Согласно данным Ponemon Institute, более 70% финансовых потерь в 2008 году было вызвано нарушениями информационной безопасности внутри компаний и последующей утратой конфиденциальных данных. А результаты очередного Глобального исследования утечек конфиденциальной информации, проведенного компанией InfoWatch, таковы: за первое полугодие 2010 года в мире зарегистрировано 382 инцидента. При этом общее число скомпрометированных записей составляет более 539 миллионов или почти по три миллиона записей в день.

Специалисты InfoWatch полагают, что благодаря более активному внедрению в компаниях различных мер защиты информации и DLP-систем, будет постепенно снижаться доля случайных утечек, однако доля умышленных краж информации будет расти.

Поясним, DLP-системы основаны на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При выявлении в потоке конфиденциальной информации срабатывает защита, и передача сообщения (в том или ином виде) блокируется или отслеживается.

Представители Экспертного Совета «DLP-Эксперт» считают, что в реальности подавляющее большинство DLP-систем, предлагаемых сегодня на рынке, решают лишь отдельные проблемы, перекрывая один-два канала утечки информации из корпоративной сети, тогда как таких каналов намного больше. То есть, «налицо отсутствие комплексного подхода к решению данной проблемы».

На отечественном рынке не существует четкого понимания кто же такой внутренний нарушитель, можно ли с ним эффективно бороться, зачем и как правильно это делать. Отсутствует четкая терминология и классификация систем защиты от инсайдерских угроз.

Алексей Лукацкий, член Совета «DLP-Эксперт», менеджер по развитию бизнеса Cisco, отметил, что большинство сотрудников служб безопасности не знают, какую информацию нужно защищать. Зачастую только владелец компании знает степень закрытости данных, причем в каждой отрасли в этом вопросе своя специфика (например, в банке засекречивается информация о проведенных транзакциях, в нефтяной компании – информация о новых месторождениях и т.д.). А потому, без подсистемы автоматизированной классификации DLP неэффективна. DLP–вендор должен предложить клиенту хотя бы базовый классификатор информации

В числе проблем построения защиты информации в отечественных компаниях Алексей Лукацкий назвал проблему, связанную с наличием большого количества регуляторов. Сейчас их шесть – ФСТЭК, ФСО, СВР, ФСБ, МО, Минкомсвязи. Но это только основные. Имеются многочисленные отраслевые требования. Сложность в том, что регламентирующие документы разрабатывались в разное время, разными регуляторами, а потому зачастую не стыкуются между собой.

Технологические проблемы, затрудняющие защиту данных, связаны с тем, что всё большее число сотрудников, работая удаленно, пользуются мобильными устройствами, с которых получают доступ к корпоративным данным. Также растет доля мультимедиа-трафика (например, в Cisco он достигает 50% от общего трафика), используются унифицированные коммуникации. Всё это DLP фактически не контролирует.

Сложности контроля возникают в процессе синхронизации данных, резервирования, в том числе в «облаке». Эти моменты DLP также не контролирует.

Конечно, можно заблокировать все нежелательные каналы связи, однако это не выход, так как мешает бизнесу нормально функционировать. «Современные технологии нужно применять не для того, чтобы перекрывать доступ, но для того, чтобы развивать бизнес-коммуникации между компаниями», - подчеркнул Виктор Минин, представитель Межрегиональной Общественной Организации «Ассоциация Защиты Информации».

Системы DLP должны применяться для контроля и возможности провести, если потребуется, расследование по поводу утечек. К сожалению, сегодня DLP идут как наложенный продукт, а ИТ-системы не имеют соответствующего встроенного функционала. При этом вендору, предлагая DLP, приходится доказывать, что потеря конфиденциальной информации компании обойдется в много раз дороже, чем приобретение и внедрение DLP.

Виктор Минин отметил, что во многих компаниях руководство уделяет мало внимания лояльности своего персонала. Это очень критично, особенно в отношении системных администраторов. Потому что фактически именно сисадмины владеют важной информацией. А, как известно, кто владеет информацией, тот и управляет.

По словам Виктора Минина, сотрудничество бизнеса и государство возможно в таком русле: бизнес создает эффективные инструменты контроля, реализующие требования регуляторов, а государство разрабатывает механизмы сертификации этих инструментов.

Что касается самих DLP-систем, то они должны хорошо интегрироваться с остальным программным обеспечением, используемым в компаниях, с существующей ИТ-инфраструктурой. Нужно обеспечить прозрачность работы DLP для рядового пользователя, потому что DLP не должна требовать от пользователя менять свои привычки, то есть не должна мешать бизнесу. Необходимо единое средство управления системами безопасности.

Рустам Хайретдинов, член Совета «DLP-Эксперт», отметил, что регуляторы, разрабатывая список систем защиты, рекомендованных к применению, должны руководствоваться не столько соображениями известности продуктов на рынке, сколько их эффективностью. В частности, в таком списке непременно присутствует антивирус, и, к сожалению, отсутствует DLP.

Отечественные разработчики DLP-систем посетовали на узость этого сектора рынка и трудность финансирования соответствующих разработок.

На конференции также были развернуты дискуссии, посвященные правовым аспектам контроля конфиденциальной информации, защите информации в российских банках. Обсуждались новые технологии ИБ и борьбы с внутренними и внешними угрозами и другие вопросы. 

Ранее по этой теме:

1. 12.10.2010 Решения StoneGate Firewall/VPN полностью совместимы с Рутокен
2. 08.10.2010 Oracle анонсирует Oracle CRM On Demand Release 18
3. 07.10.2010 Zero Day Tracker от eEye — новый бесплатный ресурс для борьбы с сетевыми угрозами
4. 07.10.2010 Утекающее отставание