За последний год стало заметно, что решениями, связанными с информационной безопасностью (ИБ), в частности, системами контроля за утечками, стал интересоваться топ-менеджмент компаний. Попробуем порассуждать, что именно стало причиной «повышения рейтинга» ИБ в глазах владельцев и руководителей бизнеса.
Управление предприятием осуществляется в терминах прибыли и рисков. Интерес для топ-менеджера представляют не только средства увеличения дохода, но и возможности уменьшения критичных рисков. Любой менеджер, независимо от зоны ответственности, стремится их измерить и оценить последствия. В данном случае нас интересуют риски, связанные с информационной безопасностью. На них и остановимся подробнее.
Взгляд «свыше»
Лавинообразный рост в нашей жизни социальных сетей и других средств коммуникации в Интернете настораживает многих, но, тем не менее, несет пользу для компаний. Социальные сети как рынок сбыта и маркетинговые инструменты используются всё чаще. Если раньше на них обращали внимание только новаторы, сейчас от этого уже никуда не деться. Нас же в данном вопросе, в первую очередь, интересует то, что теперь основные средства коммуникации переместились в Интернет и стали видимы, а значит, их можно контролировать.
Использование информационной системы (ИС), «наблюдающей» за какими-либо данными, имеет смысл, только если она обеспечивает поддержку организационных мер и регламентов, описывающих правила обращения с этими данными. В частности, контролирует исполнение этих регламентов. Результаты такого контроля, представленные в виде таблиц и графиков, становятся понятным топ-менеджменту и могут быть использованы при принятии решений. В простейшем случае можно измерить количество документов, перехваченных на границе сети документов, суммарное время, проведенное сотрудниками в социальных сетях и так далее. Изменение измеряемых параметров, к примеру, насколько меньше было замечено утечек конфиденциальных документов может быть оценено в деньгах как «сохранённая прибыль». «Цент сэкономленный – бакс заработанный» – можно услышать от наших заказчиков.
Вот что об этом говорят исследователи независимого информационно-аналитического центра «Anti-malware.ru»:
«Несмотря на кризис, суммарный объем DLP-рынка в России не только не уменьшился, но даже показал небольшой рост с $14,2 млн. в 2008 году до $15,3 млн. в 2009 году, темпы роста рынка составили около 8%.
Основные причины этого состоят в том, что в период кризиса многие компании стали уделять особое внимание минимизации затрат и бизнес-рисков, которые могут привести к прямым и косвенным финансовым потерям. Сокращения расходов на персонал напрямую ведут к снижению лояльности сотрудников и, как следствие, увеличиваются риски утечки конфиденциальной информации (интеллектуальная собственность, бизнес-планы, информация о клиентах, персональные данные и т.д.). Именно поэтому интерес компаний к решениям по информационной безопасности в целом и к решениям по защите от утечек, в частности, в период кризиса остается на высоком уровне и даже растет, несмотря на общее падение на рынке IT».
Второй немаловажный факт, который заметен топ-менеджменту наряду с результатами контроля, – это появление порядка, который неизбежно возникает в процессе внедрения ИБ-системы. Последовательный ответ на вопросы: «Кто владеет информацией YYY, которую Вы считаете конфиденциальной?», «Кто отвечает за информационную систему, в которой хранится YYY?», «Какая именно ответственность у человека, отвечающего за ИС, в которой хранится информация YYY?» приводит к появлению неожиданных «открытий». Например, работники столовой в военной части обладают информацией об оснащенности и боеспособности этой ВЧ. А в руках службы логистики оказывается практически готовая формула производимого предприятием вещества. Как следствие, после определения ответственности, немедленно появляются регламенты работы с документами и стандартные бланки с обязательным грифом «Конфиденциально».
Управление рисками
До появления Интернета не было разумной технической возможности контролировать коммуникации сотрудников: прослушать все телефонные разговоры или прочитать всю деловую переписку службе безопасности было весьма сложно. Еще труднее было получить измеримые показатели такой работы. Переход основного общения в Интернет – начиная от электронной почты, ставшей де-факто стандартом деловой переписки, и, заканчивая разнообразными социальными сетями, – позволяет использовать автоматические средства контроля. Служба ИБ может получить оперативную и актуальную информацию уже в обработанном виде и применять ее как для работы над конкретными инцидентами, так и для общей оценки рисков. К тому же расширяется спектр рисков, которыми можно управлять: это не только риски, связанные с утечкой информацией, но и относящиеся к вопросам кадров компании и лояльности персонала.
Еще меньше года назад исследователи говорили:
«Пока что для большинства российских компаний проблема защиты конфиденциальной информации от утечек остается чем-то непонятным и ненужным. Связано это с тем, что последствия утечки конфиденциальных данных не так очевидны, как в случае заражения корпоративной сети вредоносными программами или взлома. Например, успешная и незамеченная кража клиентской базы или интеллектуальной собственности лишь через какое-то время приведет к потерям дохода в пострадавшей компании, причем истинные причины этого в большинстве случаев так и останутся за кадром».
По нашему мнению, переосмысление места информационной безопасности в бизнесе уже началось. Оценка рисков ИБ как значимых рисков и возможность ими управлять превращает DLP-решения из чего-то «непонятного и ненужного» в очевидно необходимый каждой компании инструмент. В свою очередь, это приведет к постепенному изменению функционала таких решений: появится их более тесная интеграция с бизнес-процессами, возможность организации групповой работы сотрудников – удобно и безопасно одновременно. По словам одного из клиентов нашей компании, активно и успешно развивающего инфраструктуру ИБ: «Безопасность у нас business-friendly».
Аудит существующих средств
В компанию «Инфосистемы Джет» в этом году начали приходить запросы на аудит и построение методик работы с уже существующими средствами контроля за утечками. Практика предыдущих лет заключалась в том, что основным назначением этих систем был технический контроль за утечками конфиденциальных документов. Отличить же конфиденциальный документ от обычного – очень сложно, если не было проведено предварительного исследования или система используется в отрыве от регламентов и методик. В подавляющем большинстве случаев при внедрении систем контроля за утечками методики и регламенты не создавались, поэтому системы нередко используются неэффективно, и доставляют сотрудникам службы ИБ много неудобств.
При возникновении новых задач перед информационной безопасностью, связанных с ростом компании или развитием средств связи в Интернете, первым порывом является приобретение нового технического устройства. Но расходы на поддержку всего парка решений и сложность обоснования дополнительного бюджета заставляют задуматься об оптимальном применении уже внедренных продуктов. Закономерным является желание привести существующую систему в норму. На наш взгляд, рынок услуг по аудиту и построению методик работы в ближайшее время будет расти, поскольку компании, внедрившие технические средства на заре появления DLP-систем, хотят увеличить эффективность их использования.
Что должны делать современные DLP-решения
И мы, как интегратор, и наши заказчики должны четко понимать, где проходят границы возможностей технических решений для контроля за утечками, и где начинается планомерная работа внутри организации: с информацией, с персоналом, с регламентами. Исследователи очень точно описали опыт рынка:
«Необходимо сразу же конкретизировать, что точно подразумевается под средствами защиты от утечек конфиденциальной информации (DLP-продуктами). Это очень важно, так как в настоящее время в России множество различных компаний пытается под этим соусом продвигать свои решения, которые иной раз кардинально отличаются по своему функционалу и назначению.
Существует множество определений этого рынка, большинство из которых или нечеткое или же сводится к набору присущих для «настоящего DLP-продукта» функций в угоду подходу и рыночной стратегии отдельных вендоров, что с нашей точки зрения неверно.
В данном исследовании под DLP мы будем понимать такие продукты, которые позволяют обнаружить и/или блокировать несанкционированную передачу (проще говоря – утечку) конфиденциальной информации по какому-либо каналу, используя информационную инфраструктуру предприятия.
Технически контролируемыми DLP-продуктом каналами могут выступать:
- электронная почта (трафик SMTP, POP3, IMAP);
- веб-ресурсы – публичные почтовые сервисы, социальные сети, форумы, блоги, чаты и т.п. (трафик по протоколам HTTP, HTTPS и FTP);
- программы для обмена мгновенными сообщениями и пиринговые клиенты (ICQ, Jabber, MSN, Skype, многочисленные клиенты для сетей P2P и т.п.);
- сетевая печать (SMB Printing, NCP Printing, LPD, IPP и т.д.);
- внешние устройства, подключенные к рабочим станциям или серверам (USB-диски, CD/DVD, локальные принтеры, несанкционированные передатчики WiFi, Bluetooth, IrDa, модемы и т.п.).
DLP-продукт должен не перекрывать все эти каналы полностью, а давать возможности обнаружения их случайного или умышленного несанкционированного использования сотрудниками компании. Кроме того, важнейшим критерием отнесения решения к классу DLP, с нашей точки зрения, является наличие возможностей автоматического или ручного анализа произошедших событий и передаваемой информации (в режиме реального времени или так называемого пост-анализа архива накопленной информации)».
Таким образом, технические средства должны стать всего лишь инструментами, позволяющими обеспечивать выполнение существующих регламентов информационной безопасности. Не стоит забывать, что большая часть работы лежит именно на взаимодействии с сотрудниками, на разъяснении им правил и порядков работы с информацией.
Выводы
Коротко повторю основные наблюдения, сделанные нами за прошедший год:
- информационная безопасность за счет развития практики управления рисками стала частью бизнеса, риски ИБ стали значимыми;
- коммуникации, в том числе социальные сети, позволяют больше зарабатывать, но также требуют внимания и контроля;
- прежде чем внедрять новые средства ИБ, имеет смысл начать эффективно использовать старые. Перед тем как защититься, придется определить, что защищаем.
Источники
При подготовке статьи использованы цитаты из документа «Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2008-2010», написанного первым в России независимым информационно-аналитическим центром «Anti-Malware.ru». Полный текст обзора доступен по ссылке.