Менеджер, решившийся «пробивать» внедрение системы DLP, должен быть готов к тому, что столкнется с непониманием руководства компании или ее акционеров. Обычные для такого проекта доводы и словосочетания, наподобие «утечка информации», «инсайдеры», «провели пилот», «выявили случаи», и пр. не отвечают на обоснованный вопрос руководителя: «Почему так дорого?» Убедительных ответов на этот вопрос нет, а банальным «установившаяся рыночная цена» давно уже ни одного здравомыслящего руководителя не убедишь. А для инакомыслящего никакой DLP-функционал не нужен.
Убедить руководство в эффективности действующих инструментов DLP мешают и их очевидные изъяны. Например, современные решения по защите от утечек не позволяют контролировать и закрывать все имеющиеся в организации информационные каналы. Да, системы DLP контролируют корпоративную почту, использование веб-ресурсов, программы мгновенного обмена сообщениями, работу с внешними носителями, печать документов и содержимое жестких дисков. Но неподконтрольным для систем DLP остается, например, Skype. Пока только в Trend Micro успели заявить, что умеют контролировать работу этой коммуникационной программы. Остальные же разработчики обещают, что соответствующий функционал будет обеспечен в следующей версии их защитного ПО.
Но если Skype обещает открыть свои протоколы для разработчиков DLP, то другие решения, например Microsoft Collaboration Tools для организации совместной работы, остаются закрытыми для сторонних программистов. Как контролировать передачу информации по этому каналу? Между тем в современном мире получает развитие практика, когда специалисты удаленно объединяются в команды для работы над общим проектом и распадаются после его завершения.
Обеспечение защиты от утечек значительно усложняется растущей популярностью iPad и прочих мобильных устройств, ведь соответствующих DLP-клиентов пока нет. Кроме того, очень тяжело выявить утечку в случае применения криптографии или стеганографии. Заинтересованное лицо, чтобы обойти какой-то фильтр, всегда может обратиться за "лучшими практиками" в Интернет. То есть от организованной умышленной утечки DLP-средства защищают довольно плохо.
Внедрению DLP препятствует и сложность выбора подходящего решения, поскольку различные поставщики систем DLP исповедуют собственные подходы к организации защиты. У одних запатентованы алгоритмы анализа контента по ключевым словам, а кто-то предлагает метод цифровых отпечатков. Как в этих условиях выбрать оптимальный продукт? Что эффективнее? Ответить на эти вопросы очень сложно, так как внедрений систем DLP на сегодня крайне мало, а реальных практик их использования (на которые можно было бы полагаться) еще меньше. Но те проекты, которые все же были реализованы, показали, что более половины объема работ и бюджета в них составляет консалтинг, и это обычно вызывает большой скепсис у руководства. Кроме того, как правило, под требования DLP приходится перестраивать существующие бизнес-процессы предприятия, а на это организации идут с большим трудом.
Насколько внедрение DLP помогает соответствовать действующим требованиям регуляторов? На Западе внедрение DLP-систем мотивируют различные законы, стандарты, отраслевые требования и прочие нормативные акты. По мнению Евгения Климова, вице-президента ассоциации профессионалов в области информационной безопасности RISSPA (Russian Information Systems Security Professional Association), имеющиеся за рубежом четкие требования законодательства, методические указания по обеспечению этих требований являются реальным двигателем рынка DLP, так как внедрение специальных решений исключает претензии со стороны регуляторов. У нас в этой области положение совсем иное, и внедрение DLP-систем не помогает соответствовать законодательству.
Стимулом для внедрения и использования DLP в корпоративной среде может стать необходимость защитить коммерческие секреты компаний и выполнить требования федерального закона «О коммерческой тайне».
Почти на каждом предприятии приняты такие документы, как «Положение о коммерческой тайне» и «Перечень сведений, составляющих коммерческую тайну», и их требования следует выполнять. Существует мнение, что закон «О коммерческой тайне» (98-ФЗ) не работает, тем не менее руководители компаний хорошо осознают, что им важно и нужно защищать свои коммерческие секреты. Причем это осознание гораздо выше понимания важности закона «О персональных данных» (152-ФЗ), и любому руководителю намного проще объяснить необходимость внедрить конфиденциальный документооборот, чем рассказывать про защиту персональных данных.
Что мешает использовать DLP в процессах автоматизации защиты коммерческой тайны? По гражданскому кодексу РФ, для введения режима защиты коммерческой тайны необходимо лишь, чтобы информация обладала некой ценностью и была включена в соответствующий перечень. В этом случае обладатель такой информации по закону обязан принять меры к охране конфиденциальных сведений. Если раньше на предприятии можно было организовать хранение и учет документов с соответствующим грифом секретности, выделив для этого специальных сотрудников, то сейчас, когда основная часть документации циркулирует в электронном виде, прежний подход потерял свою актуальность.
Можно, конечно, подойти к решению проблемы точечно. Узнав, что какой-то сотрудник передает на сторону конфиденциальные данные, вовсе не обязательно покупать специализированное DLP-решение. Проще найти программные клиенты, которые устанавливаются на рабочем месте и протоколируют все действия злоумышленника. Но такой подход позволяет решить задачу выявления внутренних утечек только в том случае, если мы точно знаем, что нужно прорабатывать узкую группу людей.
Вместе с тем очевидно, что и DLP не сможет решить всех вопросов. В частности, прикрыть доступ к конфиденциальной информации третьим лицам. Но для этого существуют другие технологии. Многие современные DLP-решения умеют с ними интегрироваться. Тогда при выстраивании этой технологической цепочки может получиться работающая система защиты коммерческой тайны. Такая система будет более понятной для бизнеса и именно бизнес сможет выступить заказчиком системы защиты от утечек. Покупку DLP-решения будет проще обосновать, и после этого никто не усомнится в его ценности.
Впрочем, проект Wikileaks наглядно продемонстрировал: как бы мы ни защищали информацию, она все равно утекает. И те, кто имеют дело с государственной тайной, это могут подтвердить. Поэтому не стоит увлекаться и «кошмарить» бизнес страшилками, следует помнить о балансе интересов служб информационной безопасности и основных производственных подразделений.
Олег Седов (sedov@osp.ru) - обозреватель журнала "Директор информационной службы".