Rambler's Top100
Статьи
Галина БОЛЬШОВА  13 ноября 2008

Дебютировала DLP Russia 2008

Но от этого их «положение» в рейтинге угроз ИБ никак не изменилось. Так, по данным аналитической лаборатории компании InfoWatch, только за 9 месяцев 2008 г. утечки информации затронули интересы более 100 миллионов человек.

Угрозы информационным системам тщательно изучаются и классифицируются специалистами по ИБ, иначе как можно было бы с ними бороться. Причем последнее время особое внимание гуру этого рынка уделяют внутренним угрозам -- саботаж, хищение данных, неосторожные действия сотрудников. И не случайно: около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации по этим причинам, причем утечки по неосторожности составляют 50% от этого объема.

Для борьбы с этой «напастью» создаются не только новые продукты (и термины, их определяющие), решения, политики безопасности. Возникают организации, объединяющие «борцов с утечками», ставящие перед собой методологические, технологические и просветительские задачи (разработка стандартов, методик и технологий борьбы с утечками, организация конференций и распространение опыта в этой области и т.п.). Одно из таких объединений – Российский экспертный союз по вопросам защиты корпоративной информации от внутренних угроз, созданный в начале 2008 г., стал организатором первой российской конференции по борьбе с утечками конфиденциальных данных «DLP Russia 2008».

 

Еще одна панацея?

DLP (Data Loss Prevention) – термин, утвердившийся на рынке ИБ в последние пару лет, сегодня определяет и одноименный рынок решений. Сегодня на этом рынке существует не менее 8 крупных производителей, чьи DLP-продукты – результат поглощений: PortAuthority и Onigma стали частью соответственно Websense и McAfee; Tablus – RSA (EMC), Vontu – Symantec, Orchestria – Raytheon, Provilla – Trend Micro, Consul – IBM, IronPort - Cisco. Особняком стоит продукт российской компании InfoWatch Enterprise Solution -- система контроля и аудита конфиденциальных данных компании, имеющая, в отличие от зарубежных конкурентов, все необходимые сертификаты ФСЭК и ФСБ.  DLP-решения компаний Websense, Symantec, Trend Micro и InfoWatch можно было опробовать на небольшой выставке, организованной в рамках конференции.

ГЌ. Êàñïåðñêàÿ: Ïîÿâèòñÿ ëè èíòåãðèðîâàííàÿ ñèñòåìà, ñî÷åòàþùàÿ Гў Г±ГҐГЎГҐ àíòèâèðóñíîå ГЏГЋ ГЁ çàùèòó îò èíñàéäåðîâ – ïîêàæåò âðåìÿОчевидно, что рынок производителей достаточно узкий, и, что характерно, его участники (в подавляющем большинстве) представляют известные бренды смежной ИБ-области – антивирусного ПО. На близость задач указывали практически все выступавшие. По мнению Н.Касперской, генерального директора InfoWatch, для обеих систем характерны и одни и те же защищаемые каналы, и централизованное управление и определение политик, и необходимость проактивной защиты. И хотя явный «идеологический» тренд на интеграцию двух систем есть, их задачи различаются. Методология, уже сложившаяся (несмотря на явную юность этого рынка), во многом отличается от подходов, используемых в антивирусном ПО. В первую очередь это связано с несущем угрозу объектом – инсайдером. Р.Могул: DLP-решение должно быть централизованным и обеспечивать контроль всех каналов ИС

Основы технологического построения DLP-решения, по свидетельству эксперта и аналитика Р.Могула, базируются на «трех китах»: каналы, классификация и идентификация конфиденциальных данных.

Для защиты от инсайдера недостаточно перекрыть внешний канал (как для защиты от вирусной атаки), внутренний нарушитель может воспользоваться другим. Но даже внедрение комплексного мониторинга всех каналов коммуникаций (электронная почта, мобильные накопители, веб-трафик, ресурсы печати) не решает проблему. Контролировать нужно все -- каналы, объекты и приложения. Однако чтобы делать это оптимально, следует понять, какие данные являются конфиденциальными, подлежат контролю. Это нелегкая задача, но без нее любые инвестиции в DLP-решения – пустая трата денег на «технологии для галочки». Эксперты считают, что несмотря на простоту внедрения, канальные решения создают эффект ложной защищённости.

Сегодня определились стандартные подходы к идентификации конфиденциальных данных. В DLP-системах используются три метода идентификации: вероятностный, детерминистский и комбинированный. Системы первого поколения по большей части базировались на различных лингвистических методах и «цифровых отпечатках» данных. Эти системы просты в реализации, но недостаточно эффективны и характеризуются высоким уровнем ложных срабатываний. Второе поколение использовало детерминированный подход (метки файлов), что обеспечивает высокую надёжность, но по сути своей данное решение страдает недостаточной гибкостью. Третье поколение сочетает оба метода с аудитом среды хранения и обработки данных, что дает возможность достичь оптимального (по критерию цена\качество) решения проблемы защиты конфиденциальности информации.

Кажется, с появлением DLP-систем найден способ борьбы с инсайдерами. Но увы, тотальный контроль, который предполагает использование DLP-решения, должен учитывать национальные законодательства по охране прав граждан. К тому же, как и любой другой продукт, DLP-система не может гарантировать 100% защиты, однако с ее помощью можно понять состояние информационных активов и проанализировать причины потери данных.

 

Юридические казусы

Одна из главных проблем использования DLP-систем в компании – неизбежный конфликт между соблюдением законов (т.е. ненарушением гражданских прав сотрудников) и защитой конфиденциальной информации. Здесь важнейшую роль играют административные меры, включающие в первую очередь повышение осведомленности сотрудников об основных требованиях к ИТ и ИБ и воспитания культуры работы с документами.

По словам Р.Хайретдинова, зГђ. Õàéðåòäèíîâ: Ïðîñìîòð ýëåêòðîííîé ïåðåïèñêè ГЁ äîñòóï ГЄ èíôîðìàöèè Г­Г  ðàáî÷åé ñòàíöèè – ГЅГІГ® íàðóøåíèå êîíñòèòóöèîííûõ ïðàâ Г­Г  òàéíó ïåðåïèñêè ГЁ íåïðèêîñíîâåííîñòü ÷àñòíîé æèçíèаместителя гендиректора InfoWatch, в любом государстве просмотр почтовых  сообщений и содержимого рабочей станции возможен только с санкции суда или согласия пользователя. Поэтому юридические аспекты использования DLP-решений подразумевают согласие работников на контроль их действий и, в случае нанесения ущерба, предоставления реальных доказательств этого ущерба. С другой стороны, офицер безопасности, получивший доступ к личной информации сотрудника, может понести и уголовное наказание, несмотря на пункты в трудовом договоре и подпись сотрудника, удостоверяющая его согласие на просмотр почты.

Однако компании широко практикуют подписание трудовых договоров, где оговаривается согласие сотрудника на подобную тотальную слежку за его действиями. Иногда в таких договорах оговаривается и размер ущерба в случае разглашения (утери) данных, классифицированных в компании как конфиденциальных или относящихся к коммерческой тайне. Судя по выступлениям аналитиков законность такой практики не всегда может быть доказана в суде.

В нашей стране, по свидетельству представителя юридического агентства «АлРуд», пока представить такие доказательства никому не удалось (распечатки отчетов DLP-систем не являются доказательством в суде). Поэтому чаще всего по результатам анализа инцидентов у нас проштрафившегося сотрудника увольняют по любой другой причине.

Есть и совсем радикальные пожелания к разработчикам DLP-систем. Так, представитель «Газпром трансгаз», справедливо полагая, что слабое звено в данной угрозе – человек, предлагает включить в систему средства анализа этого объекта (возможно, по типу полиграфа), чтобы система могла сама настроиться на проверки конкретного пользователя. Легитимность таких средств выглядит сомнительно.

Понимая все юридические сложности, в европейских странах выработались особые требования к DLP-системам: они должны уметь получить максимальное количество информации об инциденте, не получая доступа к контенту пользователя, т.е. не затрагивая его гражданских прав. Однако по этой информации виновник инцидента должен быть однозначно определен.

 

* * *

Действительно, обезопасить компанию от действий инсайдеров такая система помогает. Об этом свидетельствовали представители пользователей таких систем -- « Вымпелком» и «Газпром трансгаз». Однако затраты на внедрение и эксплуатацию, по тем же свидетельствам, достаточно велики. Вместе с тем, по мнению аналитиков, реальная окупаемость решений – не больше двух лет, данных по российскому рынку представлено не было. Однако пользователи DLP-систем считают, что только использование автоматизированной обработки и аналитико-статистических отчетов для анализа инцидентов дает выигрыш не только во времени реакции на инцидент (а здесь время, как никогда – деньги), но и в затратах на целый штат аналитиков для обработки лог-файлов.

size="3">

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!