среда, 16 октября 2013 г.

DLP: профилактика человеческого фактора


«Инсайдер потерял ноутбук с секретными данными», «утечка привела к компрометации миллионов паролей», «злоумышленники получили доступ к конфиденциальной информации», «убытки российских компаний от утечек превысили 1 млрд. долл.», «облачный провайдер потерял миллионы паролей»...

Страницы и сайты ИТ-изданий пестрят броскими заголовками, а описания инцидентов, связанных с утечками конфиденциальной информации или деятельностью корпоративных инсайдеров, читаются как сценарий голливудского блокбастера. И надо заметить, довольно далеки от повседневных реалий применения систем защиты информации в секторе малого и среднего бизнеса.


А между тем именно для СМБ защита ценной бизнес-информации очень важна. Намного важнее, чем для крупного предприятия. Транснациональная компания имеет солидный «запас прочности», даже крупная утечка для нее просто неприятность. Плохо, но, в конце концов, вполне преодолимо. Выплатив штрафы и компенсации, доработав регламенты и ИТ-системы, корпоративный «Энтерпрайз» снова будет бороздить океаны рынка. А для небольшой фирмы, у которой недобросовестный сотрудник «увел» базу клиентов или перехватил контракт, пользуясь похищенными деловыми документами, такой эпизод вполне может оказаться последним в деловой истории.

Чтобы оценить текущее состояние рынка систем защиты от инсайдеров именно в этих нишах, мы опросили около 2 тыс. компаний, получив 627 подтвержденных анкет от предприятий, имеющих «размерный индекс» в пределах 10-100, а индекс «ИТ-оснащенности» от 20 до 60. Задавались вопросы, ответы на которые позволяли оценить актуальность проблемы утечек и защиты от инсайдеров, уровень осведомленности о технологиях и конкретных решениях, а также используемые практики и подходы к решению проблемы.

Исторически сложилось так, что разработчики систем защиты от утечек информации долгое время ориентировались на интересы крупных корпоративных структур (конечно, речь о России). Технические особенности процедур организации контроля за каналами информации, способными стать брешью в периметре корпоративной ИС, требовали нестандартных подходов и оригинальных решений. А значит, специализированных проектов, часто с привлечением системных интеграторов и самих создателей программных комплексов. К тому же именно крупные структуры испытывали настоятельную потребность не только ограничить возможности распространения ценных данных, но и контролировать их обращение.

Пару лет назад ситуация начала меняться. Фокус внимания разработчиков DLP-систем сместился на сегмент СМБ, что опять-таки было вполне закономерно. Во-пер-вых, средних компаний намного больше, чем крупных, во-вторых, по мере развития каналов связи, облачных и мобильных решений, для них возросла актуальность задачи контроля: кто и куда передает бизнес-данные. Пусть СМБ — очень непростой рынок, со своей спецификой (о ней мы много писали в разделе «Инфраструктура»), но тенденция налицо.

Акцент именно на средние компании сделан неслучайно. Традиционная расшифровка аббревиатуры СМИ предполагает наличие еще и малых фирм, но с малыми предприятиями дело обстоит намного сложнее.

По итогам опроса легко заметить, что компании, соответствующие критериям «средних» и «малых», сильно различаются с точки зрения принятых там практик решения проблемы защиты от утечек. Их, безусловно, объединяет понимание важности этой задачи. Анализируя результаты, можно сделать вывод, что тему защиты от хищения конфиденциальных данных нельзя называть просто «острой», более точным будет определение «болезненная».

Ситуация изменилась буквально за пару лет: в 2011 г. в ходе аналогичного опроса интерес был заметно ниже. В то время были распространены стереотипы; мол, вся эта шумиха — дело рук разработчиков DLP-систем, которые просто пугают потенциальных клиентов, готовя их к переводу в состояние клиентов состоявшихся.

Сегодня же защита деловых данных уверенно занимает место в пятерке наиболее критичных для бизнеса ИТ-задач, по важности превосходя даже антивирусную защиту. Причиной, на наш взгляд, следует считать, во-первых, увеличивающуюся зависимость компаний от Интернета (облачных, коммуникационных и других служб.), а во-вторых, рост популярности мобильных устройств.

Средним компаниям решить задачу защиты проще, благо сегодня существует целый спектр систем, которые либо адаптированы с учетом их специфики, либо изначально созданы в расчете именно на такие фирмы. Разработчики и внедренцы предлагают отработанные методики развертывания и управления защитой от утечек, ценовая политика большинства программных пакетов допускает возможность постепенного наращивания мощности посредством закупки дополнительных модулей или клиентских лицензий по мере необходимости и т. д.

Когда речь идет о малых предприятиях... невероятно, но факт: как такового сегмента «защита от утечек для малого бизнеса», можно сказать, не существует. Есть компании, у которых имеется такая потребность и которые вынуждены решать ее иной раз буквально подручными средствами. Это могут быть административные меры («бумаги и флэшки из офиса не выносить!»), методы психологического воздействия, финансовые меры и т. д. Когда речь идет о технических средствах, то они зачастую сводятся к несложным утилитам, перехватывающим переписку или позволяющим дистанционно делать снимки экранов рабочих ПК. Эффективность (точнее, ее отсутствие) такого рода приемов вполне очевидна. Однако в этой нише успешно существует множество разработчиков бесплатного и полубесплатного ПО, выдающих свои разработки за эффективные решения.

И неважно, что иной раз оно функционирует на грани хакерских техник или за DLP-решение выдается программный продукт, лишь условно пригодный для решения подобной задачи, поскольку когда-то создавался, например, как утилита архивации и индексации личных данных.

С технологической точки зрения DLP-система — это распределенная программа мониторинга передаваемой информации. Существует два основных подхода к организации такого контроля: установка специализированного модуля на шлюзе, через который организован доступ во внешний мир, и инсталляция программных агентов на ПК сотрудников. В большинстве пакетов используется сочетание этих методов. Но главная проблема создания эффективной системы защиты от инсайдеров сегодня — отнюдь не реализация каких-то отдельных технологий.

Основная задача, которую приходится решать создателю DLP, — объединение технологий в единый комплекс. Что еще хуже — с учетом человеческого фактора и массы нетехнических особенностей. Именно это обстоятельство осложняло на первых порах внедрение DLP в СМБ, где, как правило, нет ни времени, ни ресурсов на ведение подобных проектов. И именно поэтому многие компании начинали свой путь к построению защиты с утилит блокировки портов и внешних устройств.

Сами по себе технологии в общем-то давно известны, апробированы и отработаны. Разработчики по-раз-ному реализуют эти идеи, используя весь спектр современных технологий — от обычного сканирования до сложных семантических алгоритмов. Бывает даже, что факт использования только стандартных средств Windows (например, для криптозащиты) подчеркивается как достоинство пакета (ибо гарантирует максимально возможную совместимость с этой ОС). Какое-то время существовала проблема контроля голосовых коммуникаций и ПО, использующего шифрование каналов связи (усилия в этом направлении стимулировала популярность Skype), однако сегодня она в целом тоже решена.

Основные сложности возникают на стыке «человек — система». Таких мест у большинства DLP-решений на сегодня два: мобильные устройства и упрощение внедрения. Когда речь идет о тенденциях вроде набирающего силу движения «принеси-свое-устройство-и-работай-на-нем» (BYOD), в принципе сложно контролировать, что сотрудник делает с корпоративными документами, если они записаны на гаджете, а сам он — где-то вне офиса. Сегодня эта проблема — головная боль не только для создателей средств защиты от утечек, но и чуть ли не для всего корпоративного ИТ-рынка. Удовлетворительного решения пока не создано, хотя усилия предпринимаются немалые. Это и попытки превратить смартфоны и планшеты в «неинтеллектуальные» терминалы, подключенные к корпоративному сектору по защищенным каналам, и установка утилит, ограничивающих доступ к конкретным приложениям (например, требующих двухфакторной аутентификации на сервере компании; это дает возможность хотя бы зафиксировать факт: на смартфоне Ивана Ивановича в субботу в 12:20 был запущен модуль просмотра отчета по продажам), и решения вроде Samsung KNOX, когда память смартфона делится на «личную» и «корпоративную» области, никак не пересекающиеся.

Еще одна проблема современных DLP-систем связана с упрощением внедрения. Осознав, что у СМБ-компаний нет ресурсов на уникальные проекты, они пошли по пути создания типовых — и стали продавать их буквально как «коробочные». Эта схема отлично сработала в секторе средних компаний, но, как показывает практика, остается сложной и дорогой для малых. Когда в компании нет сервера или его роль исполняет особо мощный ПК, где запущено бухгалтерское ПО, говорить о DLP-проекте не приходится. А сегмент интересный: если средних компаний в России около 10 тыс. (по пессимистическим оценкам), то малых и микропредприятий — около 1 млн.

Напрашивается идея облачного решения. Как-никак возможность использовать наработки, когда-то созданные для крупных компаний, в деятельности малых традиционно считается чуть ли не классическим преимуществом облачной модели. На практике очень сильно сказывается специфика задачи. Компании СМБ и так-то весьма настороженно относятся к облакам, а если речь идет о безопасности... Не говоря уже о серьезном увеличении счетов за Интернет, неизбежном при использовании любой облачной системы, и полной зависимости компании от канала связи. Попытки создать такого рода web-службы известны, но большинство из них сегодня все еще на стадии стартапов, причем перспективы их неочевидны.

Человек не зря считается самым слабым звеном в любой системе безопасности, и DLP не исключение. Изобретательный злоумышленник всегда найдет способ обойти ограничения, если будет знать, как организована слежка. После инцидента с утечкой не имеет смысла наказывать виновных, тем более что в российских реалиях без соблюдения множества бюрократических тонкостей их не всегда можно даже уволить. Доверять сотруднику, виновному в утечке, компания уже никогда не сможет, но утрата доверия никак не компенсирует потери.

И в этой ситуации на первый план выходит профилактика нарушений, что подтверждается и итогами нашего опроса. Для многих компаний, использующих системы защиты от инсайдеров, технические средства играют роль не столько эффективного инструмента «обнаружения и пресечения», сколько профилактической меры. Как на автотрассах устанавливают муляжи камер наблюдения, вынуждающие водителей снижать скорость, так и сообщение о том, что в компании работает система защиты, заставляет сотрудников вести себя осмотрительнее.

(c) Сергей Петров