Часто руководители служб информационной безопасности не знают обо всех возможностях установленной DLP-системы или не имеют ресурсов для полноценной ее эксплуатации. Что сделать, чтобы DLP-система была эффективной? Что нужно знать об аутсорсинге DLP? Уникальный опыт автора поможет принять взвешенное решение.
- Введение
- Что же такое DLP?
- Аутсорсинг DLP: за или против?
- Преимущества MSSP
- Подводные камни аутсорсинга
- Выводы
Введение
Тема эксплуатации DLP-систем нескоро перестанет быть актуальной и обсуждаемой. Кто-то пророчит скорую смерть таким системам, кто-то кричит о том, что за ними будущее. А кто-то слушает или читает эти дискуссии и вообще не понимает, что эти системы собой представляют и как их использовать.
Я работаю в компании — сервис-провайдере «Инфосекьюрити» уже более шести лет. Наша компания от большинства интеграторов долгие годы отличалась тем, что почти все свои человеческие ресурсы использовала для оказания услуг сопровождения большого количества систем информационной безопасности одной группе компаний в финансовом секторе. Попросту говоря, занимались аутсорсингом информационной безопасности. За годы, которые мы «аутсорсили», определений нашей деятельности появилось большое количество. Например, MSSP — Managed Security Service Provider. Суть, правда, от этого не поменялась.
Система класса DLP была только одной из систем, сопровождение работы которых было нашей задачей. Однако для эксплуатации DLP с каждым годом нам требовалось все больше и больше человеческих и технических ресурсов. В результате чего мы собрали команду аналитиков и инженеров, обладающих уникальной компетенцией для работы с системами DLP.
Накопленный опыт и сформированное видение процессов, связанных с эксплуатацией DLP, дали возможность рассказать о своем опыте.
В этой статье я попробую обозначить основные преимущества передачи сопровождения DLP на аутсорсинг, а также осветить некоторые проблемы, которые могут возникнуть, если вы примете решение передать систему на аутсорсинг.
Что же такое DLP?
Начать следует с того, аббревиатуру DLP я использую здесь только как понятный и раскрученный термин для обозначения систем, которые давно вышли за рамки Data Loss Prevention, или даже не обладающих такой функциональностью.
DLP в классическом варианте, как многие знают, — это системы, позволяющие предотвращать утечку информации техническими средствами. Например, блокировкой отправки сообщения на почтовый ящик или запись файла на внешний носитель.
Зачастую такие системы перехватывают и пропускают через себя трафик только путем очень точно настроенных правил (триггеров). Информацию, на которую не среагировали триггеры, система может вовсе не идентифицировать и таким образом пропустить мимо. Это онлайн-мониторинг, в реальном времени.
Есть другие системы, которые позиционируют себя на рынке как DLP, однако могут даже не иметь опции блокировки событий, а значит, о техническом предотвращении здесь речи не идет.
Такие системы — это гибриды, в основном сочетающие в себе принцип работы и DLP (но не всегда), и SIEM, и UBA (User Behavior Analytics). Это, как правило, системы российского производства. Под российским производством я понимаю юрисдикцию компании — производителя системы.
Если коротко обозначить, чем для нас как для аутсорсеров эти типы различаются, то это, в первую очередь, сбор всех данных, а не только подходящих под условия перехвата.
Системы могут работать в двух режимах: перехватывать весь трафик, идущий по каналу связи, а также в режиме онлайн или офлайн классифицировать содержимое этого трафика по заданным триггерам.
Мы будем вести речь о системах, которые позволяют собирать весь подключенный трафик.
Итак, представим систему, которая перехватывает всю информацию по всем каналам связи. Например, всю корпоративную почту, все распечатки с принтеров, всю переписку в мессенджерах, весь интернет-трафик. Конечно, мы говорим только о корпоративных ресурсах компании, но даже с учетом того, что не все протоколы вам доступны, данных будет много.
Само собой, что в этом потоке информации будут и сведения конфиденциального характера. Особенно, если вы не используете закрытые сегменты сети для обработки таких данных. Мы говорим здесь о компаниях, подавляющее большинство из которых не обрабатывает сведения, составляющие государственную тайну, а следовательно, не ограниченных законом в части хранения и обработки информации, которая присутствует в компании.
Таким образом, в нашей корпоративной почтовой переписке могут быть и данные, публичное распространение которых за пределами сети компании крайне нежелательно.
Сразу на первый план у нас выходит вопрос: хочу ли я, чтобы к таким моим данным имели доступ сотрудники внешней компании-аутсорсера?
Многие сразу скажут: «Нет! Ни за что и никогда».
Аутсорсинг DLP: за или против?
Давайте разберем — а почему, собственно, против? Что останавливает?
Здесь предлагаю рассмотреть некоторые варианты возможных ответов:
«Я не смогу контролировать, что эти люди будут делать».
Это заблуждение. Любой доступ в вашу внутреннюю инфраструктуру может контролироваться техническими средствами. К примеру, даже системы DLP дают возможность контроля и отслеживания того, что делают администраторы этих систем. Это вполне нормальная практика.
Если у вас будут сотрудники, работающие с DLP, как вы будете контролировать их действия в системе и отсутствие злоупотреблений с их стороны? Задайте себе этот вопрос. Ответив на него, вы поймете, что не будет никакой разницы в контроле вашего сотрудника или сотрудника-аутсорсера.
К тому же в вашей компании есть лица, наделенные широкими техническими полномочиями, например, всем известный сисадмин или ИТ-директор (и даже все его подчиненные). Наверняка вы задумывались, каким образом контролировать их действия.
«Они непременно будут сливать мою информацию».
Если компания на рынке предлагает услуги MSSP, в том числе DLP-систем, такая компания в первую очередь обязана заботиться о своей репутации на рынке. Достаточно одного инцидента с разглашением информации клиента, и компания может забыть о том, чтобы заниматься этим дальше. Это что-то вроде дисквалификации в законодательстве об административных правонарушениях. Уже не говоря о судебных исках, которые, вероятно, будет подавать пострадавший клиент.
Ниже я детально расскажу, какие меры предпринимаются нашей компанией для избегания подобных инцидентов.
Более того, подумайте над тем, сколько третьих лиц регулярно имеют доступ к вашей информации. Начиная с поставщиков товаров и услуг, контрагентов, партнеров и заканчивая персоналом обслуживающих компаний. При желании возможностей украсть у вас информацию так, что вы даже не узнаете об этом, большое множество.
Ну и, конечно, не стоит забывать, что с аутсорсинговой компанией вы подпишете соглашение о неразглашении (NDA) в таком объеме и с такой же детализацией, как вы бы подписали с вашими сотрудниками.
«А если что-то нарушат, как я потом будут с ними разбираться?»
А как вы разбираетесь со своими сотрудниками, которые что-то у вас нарушают? Масса вариантов. Вы можете им объявить замечание, выговор, лишить премии, уволить или даже подать на них заявление в правоохранительные или судебные органы.
Может, не все знают о том, насколько сложным является процесс привлечения сотрудников к ответственности. Самое опасное здесь — это то, что с сотрудником должны быть правильно оформлены все документы, устанавливающие ваши с ним отношения по схеме работодатель — работник.
Многое ли можно указать в трудовом договоре? Как оформить обязательство о неразглашении информации? Какие нужны документы для привлечения к ответственности?
Мы не будем разбирать процедуру привлечения к ответственности или увольнения сотрудника, но вы наверняка знаете обо всех сложностях этих процессов.
Не стоит забывать также о том, что в трудовых спорах в суде работодатель вообще, как правило, является слабой стороной.
Таким образом, если вы считаете трудовой договор с работником защитой своих прав и интересов, то, скорее всего, заблуждаетесь.
С компанией, предоставляющий MSSP, вы заключаете гражданско-правовой договор. Если мы берем гражданское право, то в нем нет слабых и сильных сторон, обе стороны договора одинаковы в своих правах и обязанностях.
По этой причине гражданский договор будет более свободным в плане формулировок и существенных условий. Вы можете зафиксировать договором все то, что имеет значение, и таким образом обезопасить себя.
И, как следствие, судебные споры по гражданскому праву не ставят какую-либо из сторон в слабое положение. Хотя здесь даже ситуация более благоприятная для компании-клиента, потому что ей будет проще доказать нарушение и получить возмещение, поскольку именно клиент (заказчик) будет платежной стороной в договоре.
В гражданском договоре мы вправе закрепить любые сроки реагирования на инциденты и обработку поступающей информации (SLA, или Service Level Agreement — соглашение об уровне обслуживания).
В отношениях с вашим работником то, что вы хотите от него в части исполнения конкретных функциональных обязанностей, вы можете прописать в должностной инструкции. Однако она бессмысленна с точки зрения трудовых споров. В соответствии с ТК РФ она не является частью трудового договора, а значит, ссылаться на нее как на документ, регулирующий отношения работодатель—работник, будет непросто.
«Это же так дорого!»
Давайте вспомним, как происходит зачастую внедрение систем DLP. К вам приходит вендор или интегратор (или вы к ним), и вас убеждают, что без системы DLP вы не сможете жить. С этим я соглашусь, конечно, но об этом ниже. Ни вендор, ни интегратор при этом не будет задумываться над тем, как вы будете использовать DLP-систему и есть ли у вас ресурсы на ее сопровождение. В лучшем случае вендор или интегратор систему вам развернет, первоначально что-то в ней настроит и, возможно, предложит техническую поддержку. Как правило, такая техническая поддержка будет представлять собой консультации специалистов и эскалацию проблем на вендора. По всем остальным вопросам себе помочь можете только вы.
Вспомним о том, что службы ИБ, на долю которых обычно приходится бремя эксплуатации таких систем, представляют собой совсем небольшой штат сотрудников, которые к тому же заняты огромным количеством других вопросов помимо эксплуатации DLP.
Какой объем трафика смогут проанализировать 1-2 человека, занятые другими обязанностями и сопровождающие еще ряд систем? Сколько инцидентов они смогут обработать и довести дело до полноценного внутреннего расследования? А здесь мы рассматриваем только один аспект работы с DLP.
Многие приходят к тому, что внедрение DLP автоматически влечет необходимость донабора сотрудников, которые будут отвечать за эксплуатацию системы DLP.
Если вы когда-то занимались поиском и подбором таких специалистов, наверняка знаете: 1) как сложно найти на рынке квалифицированных специалистов; 2) сколько они будут стоить.
Причем администратор, который будет отвечать за работоспособность системы, и аналитик, который будет с ней работать, совершенно разного типа специалисты, зачастую даже с разным образованием и опытом работы.
Будет несложно посчитать ФОТ (фонд оплаты труда) + накладные расходы для содержания таких сотрудников в год + премиальный фонд, если он не входит в оплату труда. Сумма, очевидно, получится немаленькой.
Услуги аутсорсинга, как правило, предполагают разные варианты обслуживания (пакеты услуг). Стоимость услуг будет варьироваться в зависимости от выбранного пакета.
Соответственно, всегда можно подобрать для своей компании подходящий вариант или скорректировать имеющийся по своим пожеланиям и зафиксировать в договоре.
Преимущества MSSP
Давайте для баланса разберем теперь преимущества MSSP.
Порядочность.
Как бы пафосно это ни звучало, здесь я бы хотела использовать именно эту величину измерения.
Написать «профессионализм», «компетентность», «опыт» и пр. я могу, но хочу немного рассказать о других аспектах.
Как вы проверяете сотрудников, которые устраиваются к вам на работу? Если ли у вас этап проверки службой безопасности? Какую анкету заполняют ваши кандидаты? Используете ли вы исследование на полиграфе и психологическое тестирование?
Уверена, что кто-то, конечно, использует все, что я перечислила.
Наша компания использует все. Более того, такие проверки (полиграф и психологические тестирования) для наших сотрудников являются регулярными. И проводят такие проверки сторонние высококвалифицированные специалисты с многолетним опытом работы, чья квалификация подтверждена сертификатами, дипломами, учеными степенями, а главное, практическим опытом. Независимые эксперты, в компетентности которых несложно убедиться.
На стадии первоначальной проверки мы ставим своей целью недопущение приема в штат людей непроверенных, ненадежных и склонных к зависти. Здесь не буду детализировать, думаю, всем понятно, о чем идет речь.
Наши сотрудники абсолютно спокойно относятся к постоянному контролю за их работой. Обидчивых на такой контроль мы, как вы понимаете, тоже не держим.
Вот почему термин порядочность я употребляю здесь без малейшей тени сомнения.
Непредвзятость.
Представьте, вы наняли на работу сотрудника для сопровождения DLP. Он прошел все проверки и показал себя хорошим специалистом и вполне надежным человеком.
Ваш сотрудник приступил к своим обязанностям и неплохо с ними справляется.
Вроде бы ничего нас не должно насторожить. Но. Ваш сотрудник человек общительный и коммуникабельный и, само собой, подружился с кем-то из других подразделений вашей компании.
Хорошо это? Конечно. Но те, с кем он подружился, являются одновременно и объектами его контроля в рамках выполняемых обязанностей.
Психология и практика показывают, что каким бы профессиональным ваш сотрудник ни был, при регулярном неформальном общении с коллегами он будет сливать им служебную информацию. Начнется с вроде бы незначительных моментов, затем перейдет в обсуждение его руководства (т. е. вас), мер безопасности, принимаемых в компании, и т. д.
Это один аспект. Другой состоит в том, что сотрудник уже не будет абстрагирован от объектов своего контроля, и они станут для него реальными людьми, с которыми он общается, дружит, а может даже имеет более близкие отношения.
В случае выявления каких-то нарушений со стороны его друзей вы просто об этом не узнаете. А со временем ваш сотрудник начнет сам определять, какую информацию и в отношении кого ему доводить до вас, а в отношении кого — нет.
Наши сотрудники являются своего рода роботами в представлении сотрудников вашей компании. Наши и ваши сотрудники никогда не познакомятся и не станут друзьями.
Для наших сотрудников все сотрудники вашей компании абсолютно одинаковы. По большому счету ваши сотрудники для наших — это всего лишь картинки и текст на экране монитора. Мы не знаем их, они не знают нас.
Поэтому никаких различий, особого отношения и, конечно, сокрытия инцидентов здесь просто не будет. Это тоже проверено годами и опытом.
Наличие высококвалифицированных специалистов, умеющих работать с информацией.
Как мы обычно ищем специалистов для сопровождения DLP-системы? Мы смотрим на упоминание в резюме таких специалистов интересующих нас систем.
Представим, что вам попался кандидат, у которого, как он говорит, есть опыт работы с DLP. Даже, возможно, есть сертификат, подтверждающий это.
Будет ли это свидетельствовать о том, что кандидат умеет работать с информацией, особенно в большом объеме?
Сможет ли он профилировать людей, глядя только на их коммуникации? Сможет ли он быстро найти информацию, которая будет нужна вам среди огромного потока данных?
По своему опыту знаю, что чаще всего ответ на все эти вопросы — нет.
Допустим, кандидат действительно занимался поддержкой DLP, возможно, даже успел с ней поработать в плане настройки и разбора событий. Но как детально? Насколько он компетентен принимать решение о классификации какой-либо информации? Сможет ли он сопоставить пункт перечня сведений о коммерческой тайне с реальной информацией, которая будет перед ним на экране? Сможет ли он прогнозировать нарушения при наличии определенной фактуры, которую будет видеть перед собой? Попросту говоря, определять причинно-следственные связи.
Здесь нужен человек, умеющий воспринимать информацию и анализировать ее. Такие качества характера, если хотите, не в каждом человеке присутствуют. А если они и были заложены в него при рождении, то, возможно, он ими не пользовался, и они постепенно угасли.
Все мы понимаем, что люди обладают разным темпераментом. Иначе все бы люди могли делать одинаково одну и ту же работу.
Кто-то просто не способен просидеть целый день за компьютером, читая чужие письма (а это не всегда напоминает веселые и захватывающие посты раскрученных блогеров).
Кто-то просто не умеет держать язык за зубами. Но об этом уже шла речь выше.
Такие аспекты вы обязаны учитывать, если хотите найти хотя бы одного хорошего специалиста на обслуживание DLP.
Наши специалисты проверены и большим количеством информации и большим количеством разных систем DLP, которые есть в нашем арсенале. Далеко не все кандидаты, которых мы принимали на работу, выдерживали испытательный срок. Хотя люди совершенно были уверены (и мы с ними тоже), что это работа их мечты.
Таким образом, опытным путем мы сформировали штат сотрудников, способных противостоять нескончаемому потоку информации.
Ну и значимым также является уже накопленный опыт анализа информации заказчиков в очень большом объеме.
Работа в том формате реагирования, который нужен вам.
Мы уже обсудили выше, что вы можете зафиксировать все функциональные обязанности вашего сотрудника, который будет заниматься эксплуатацией DLP, в должностной инструкции.
Как правило, ничего о скорости работы в этих инструкциях не пишут. Да и как это написать? Даже если вы найдете возможность указать это в должностной инструкции, в случае невыполнения задач в установленные сроки вы можете сделать замечание сотруднику и так далее по тяжести наказаний. В конце концов все может закончиться тем, что вы уволите сотрудника, и придется искать другого на замену.
В случае с MSSP вы сами определяете модель взаимодействия с аутсорсинговой компанией и сроки выполнения тех или иных работ.
Аутсорсинговая компания совершенно на заинтересована нарушать сроки, обозначенные в договоре, и таким образом терять клиента. Такая мотивация работает гораздо эффективнее, чем страх сотрудника потерять одну работу и найти другую.
Тем более, ваш сотрудник всегда может сказать, что это вы его обидели и ставите перед ним невыполнимые задачи, а значит, и пожаловаться на вас в соответствующие органы защиты прав трудящихся. Может быть, вам даже придется выплачивать сотруднику компенсацию.
Как уже было сказано, с компанией-аутсорсером вы подписываете Service Level Agreement, где четко будут зафиксированы все имеющие значение сроки реагирования на инциденты и информирования о рисковых событиях.
Ограничения на просмотр определенной информации.
Допустим, вы не хотите, чтобы коммуникации топ-менеджмента вашей компании находились в поле зрения сотрудников компании-аутсорсера. Или любой другой группы ваших сотрудников, например службы безопасности.
И не надо! Любая DLP-система позволяет ограничивать права на просмотр активности конкретных пользователей или рабочих станций. Уже не говоря о том, что вы можете исключить из перехвата активность любого числа пользователей.
Так или иначе, компания-аутсорсер будет работать по вашим запросам и контролировать коммуникации только тех сотрудников, которые интересны вам. Или в тех границах, которых вы сами определите.
У компании-аутсорсера, в отличие от ваших привилегированных администраторов, не будет ни технической возможности, ни желания расширять без вашего ведома и согласия свои полномочия.
Опять же не забываем, что все необходимые ограничения можно указать в договоре.
Подводные камни аутсорсинга
Давайте теперь, как было заявлено в теме статьи, поговорим о подводных камнях. Чего опасаются те, кто сомневается — быть аутсорсингу или не быть?
На аутсорсинг можно «подсесть».
Можно. К хорошему быстро привыкаешь. Достаточно полгода-год посидеть на аутсорсинге, чтобы потом уже окончательно потерять желание самому заниматься эксплуатацией системы.
Однако если компания в какой-то момент примет решение об отказе от услуг аутсорсинга DLP, ничего страшного не произойдет. Компания-аутсорсер проведет необходимое погружение сотрудников заказчика в систему, передаст все необходимые инструкции и регламенты. Даже поможет с поиском и подбором сотрудников, которые будут заниматься обслуживанием системы дальше (если конечно у вас будет такое желание).
Система в любом случае ваша и останется у вас. Никто ничего из нее не удалит и передаст ее вам в рабочем состоянии.
Здесь важно полностью взять на контроль процесс передачи вам «начинки» системы. Допускаю, что случаи могут быть разные. Компания-аутсорсер не обязана передавать вам собственные разработки. Например, словари, по которым срабатывают триггеры. Или методику работы, которая также была разработана аутсорсером.
Без этого будет очень сложно продолжить эксплуатацию системы в уже привычном вам режиме. А научиться этому не так быстро и просто, как мы уже рассмотрели выше.
В этом, собственно, и заключается подводный камень. Если мы привыкаем, чтобы за нас что-то делали и так продолжается долгое время, сложно потом отвыкать и, главное, начать делать самому.
Success story, или критерии успешности передачи DLP на аутсорсинг.
Здесь прежде всего нужно трезво оценить, что вы хотите увидеть в результате. Также надо отдавать себе отчет, что трафик в компании может быть вовсе не таким, как вы себе его представляли.
Например, вы ждали большого количества инцидентов, связанных с отправкой документов по корпоративной почте, а их оказалось не так много по факту.
Либо вы себе не представляли, что ваши сотрудники в огромных количествах с множеством копий распечатывают клиентские базы.
Нужно быть готовым ко всему. Инциденты даже не всегда могут быть на поверхности и представлять собой события, на которые сработали триггеры.
Чтобы найти по-настоящему значимую и ценную информацию, нужно хорошо и глубоко порыться в трафике внутренней почты или даже сугубо мессенджере, который не транслируется в интернет.
Первая и одна из самых важных задач, которые вы должны поставить перед компанией-аутсорсером — это формирование у вас понимания и четкого представления, что происходит в вашей компании, проще говоря, что делают ваши сотрудники за своими рабочими компьютерами и как это может негативно отразиться на прибыли и репутации вашей компании.
Опять же ваше видение и подход компании-аутсорсера может отличаться. Компания-аутсорсер основывается на накопленном опыте, вы же хорошо знаете свою компанию, ее ценности и цели существования, внутреннюю обстановку, людей.
Компания-аутсорсер может вам помочь и рассказать вам о вашей компании то, чего вы еще не знаете. Вы, в свою очередь, можете правильно сориентировать сотрудников аутсорсера и совместно добиться максимального успеха.
Может произойти рассинхронизация процессов. Такого допускать нельзя. Компания-аутсорсер выполняет только четко определенную для нее функцию — эксплуатацию DLP.
У внешней компании нет полномочий на проведение внутренних расследований и привлечение сотрудников к ответственности.
Таким образом, вы определяете вектор работы компании-аутсорсера. Только вы решаете вопросы привлечения ваших сотрудников к ответственности. Компания-аутсорсер точно не будет вашим конкурентом, а только помощником. Поэтому для успешности совместной работы должна быть прежде всего совместная работа. Вот такая тавтологическая истина.
У каждой компании должна быть своя цель, которой надо добиться после внедрения DLP. Для кого-то это карательный инструмент, для кого-то — «окно в чужую спальню», для кого-то — инструмент предотвращения потенциального ущерба.
В любом из перечисленных и неперечисленных направлений аутсорсер может вам помочь. Но работа всегда должна быть в тандеме и никак иначе.
Занятость ваших сотрудников ИБ и СБ служб после привлечения компании-аутсорсера.
Об этом уже немного выше шла речь. Перетягивания одеяла и деления шкуры медведя, мне кажется, в рассматриваемом случае вообще никак не может быть.
Каждый делает сугубо свою работу: компания-аутсорсер обрабатывает информацию и отдает вам «сухой остаток», вы проводите работу по разбору инцидента с привлечением к ответу сотрудника-нарушителя, его начальника и т. д. Это только на примере направления по выявлению инцидентов.
Что касается поиска и анализа информации по вашим запросам или мониторинг отдельно взятых персоналий, то здесь тем более конкуренции быть не может, потому что аутсорсер работает исключительно по вашим задачам, т. е. вы определяете, что будет делать аутсорсер.
Для координации работы с аутсорсинговой компанией в любом случае должен быть выделен сотрудник ИБ или СБ. Для фильтрации поступающей информации от аутсорсера и постановки задач аутсорсеру как минимум. А это уже огромный объем работы, поверьте.
Выводы
Подводя итоги, хочется зафиксировать несколько значимых, с моей точки зрения, моментов:
- Не нужно бояться передачи полного сопровождения DLP на аутсорсинг. Для этого нет причин.
- Сопровождение обойдется вам не в такие бешеные деньги, как вы думаете.
- Вопросы конфиденциальности легко решить в юридической плоскости.
- Позвольте аутсорсеру открыть для вас возможности DLP, о которых вы даже не догадывались.
- К счастью, в сфере услуг ИБ множество грамотных и даже талантливых людей. Главное, найти своих.