|
|
Обзор подготовлен
Информация, хранящаяся в базах данных госучреждений, продолжает находиться в зоне риска несанкционированной утечки в открытый доступ. Очевидно, что в ИТ-отделах различных ведомств знают о существовании средств, препятствующих подобным инцидентам, но, тем не менее, такие случаи происходят с завидной регулярностью. Но так ли нужна госпредприятиям защита от утечек?
Вендоры защитного ПО традиционно и по классической для себе схеме уверяют, что именно их портфельные решения позволяют если не раз и навсегда обезопасить покупателя от угроз потери информации, то хотя бы свести риск к минимуму. Подобная риторика остается актуальной для подавляющего числа компаний в отрасли, за исключением нескольких из них, которые имеют возможности реагировать на изменения в поведении пользователей и общую динамику развития ИТ в мире сразу же.
Для госсектора, который ранее был действительно довольно консервативным в плане выбора и замены тех или иных решений, маркетинговая активность поставщиков DLP-решений в 2011-2012 гг. оставалась прежней – в проспектах фигурировали переходящие из года в год формулировки о лучших в отрасли стандартах защиты и полностью прозрачной для ИТ-отдела работе программного обеспечения, которое показывало бы, какие операции с данными выполняет тот или иной пользователь и разрешало бы вмешиваться в этот процесс. Но, как показывает практика, и в госсекторе начинаются постепенные сдвиги в сторону консьюмеризации потребления ИТ, которые неминуемо приводят к тому, что классические модели “разбиваются вдребезги”.
“Изначально DLP-продукты были созданы для контроля защиты внутри периметра организации и предназначались в первую очередь для блокирования утечек информации из локальной сети, - объясняет Михаил Орешин, директор по развитию «Амрита Групп». – Сегодня же DLP вышли на новый уровень, и они должны защищать от утечек в организации, независимо от того, где они локализуются – внутри ее локальной сети или за ее пределами, когда сотрудник использует корпоративный ноутбук в командировке, например».
По обобщенным оценкам аналитических компаний, емкость мирового рынка DLP-решений за 2011-первую половину 2012 гг. составила порядка $500 млн. Из них до 1/3 оборота принес госсектор и еще около 40% публичные компании.
Несмотря на такую сегментацию, пространство для роста есть – тренды потребительского рынка систем защиты данных переходят на корпоративный и государственный уровень, и основным из них является BYOD – использование на рабочих местах устройств, которые сотрудники имеют в своем личном распоряжении. Это могут быть ноутбуки, планшеты, смартфоны, а также другое периферийное оборудование, которое приобретается вне ИТ-отдела организации и специальным образом не проверяется на соответствие политикам безопасности в организации.
К примеру, смартфон в рабочих целях может подключаться к закрытой корпоративной сети через Wi-Fi, и тогда сотрудник ИТ-службы может увидеть, какие данные проходят через него. Но если смартфон использует мобильный интернет оператора связи или вообще выступает в качестве Wi-Fi-хотспота, то недобросовестный сотрудник сможет отправить через такое соединение конфиденциальную информацию. Пример с Wi-Fi и смартфоном неслучаен – как рассказал CNews Теодор Шелл, член совета директоров «Энфорта», в развитых странах пользователи смартфонов и планшетов выходят в сеть через Wi-Fi чаще, чем через 3G/4G – в США, например, это соотношение сейчас выглядит как 60 к 40.
Формально на рынке существует достаточное количество предложений от вендоров, которые подходят для решения подобной проблемы с BYOD, что уменьшает по разным оценкам риск утечки на 70%-80%. Однако, как отмечают опрошенные CNews эксперты, одного их наличия мало – нужно, чтобы ИТ-специалисты имели возможность их полностью использовать и узнавать те или иные практики применения для предотвращения ИБ-инцидентов.
Основные проблемы внедрения DLP в госсекторе
Источник: CNews Analytics, 2012
В качестве оправдания ИТ-специалисты отмечают тот факт, что в ИТ-отделах госкомпаний работают сотрудники, которые не всегда имеют соответствующие знания, позволяющие им корректно оценить перспективы проекта по защите информации и выбрать из предлагаемых рынком (если дело не касается, конечно, исключительно сертифицированных для особых случаев, например, для работы с гостайной или армейскими стандартами) продуктов ту разработку, которая покроет большую часть задач. У многих вендоров под видом DLP-решения для госсектора поставляются модернизированные коммерческие продукты, в которых нет расширенных модулей мониторинга состояния сетей, нет инструментов для предотвращения утечки в режиме реального времени и нет средств для разрешения ситуаций, когда ИБ-инцидент уже произошел. Ситуация, когда DLP-продукт предоставляет набор готовых инструментов для эффективной защиты информации в сочетании с простым управлением, что должно в теории позволить освободить трудовые ресурсы квалифицированного персонала для решения других важных задач в рамках защиты информации, остается очень редкой.
«Формально подавляющее число DLP-продуктов представляют собой продукт-в-себе, который существует отдельно от других ИБ-систем и не позволяет из одной точки контролировать весь процесс защиты данных», - рассказывает пожелавший остаться неназванным представитель одной из компаний, предоставляющей услуги интеграции в России. По его словам, DLP-решение для госкомпании сегодня обязательно должно включать полный перечень модулей, контролирующих работу не только популярных каналов передачи информации через сменные накопители и электронную почту, но и через социальные сети, мессенджеры, использующие P2P-соединения, и разнообразные файлообменные сервисы, которые, в силу невысокого удобства существующих решений для управления контентом – ECM/СЭД и интранет-порталов, часто используются даже для передачи данных внутри одной и той же организации.
По каждому из возможных каналов утечки информации требуется детальное репортирование и управление политиками доступа и разрешения/запрета использования, включая, естественно, интеграцию с существующими политиками и правилами безопасности, применяемыми в организации и в других ИТ-системах, например, в ERP или СУБД. «Внедрение системы защиты информации от одного вендора значительно сокращает число итераций внутренних согласований, оформления, проверок и тестирования продуктов», - заключает специалист.
Если рассматривать DLP как масштабное решение в области ИТ-безопасности, то, как выясняется, госсектор не до конца готов к внедрению таких продуктов, хотя ИТ-дирекции понимают, что с помощью такого ПО они смогут решать до 65-70% вопросов, связанных с контролем доступа к информации. Причина состоит в том, что в существующих организациях в настоящее время слишком много регламентирующих документов (внутренних стандартов, требований регуляторов, различных нормативно-правовых актов), которые требуется адаптировать под такие продукты.
Тем не менее, в госсекторе появляется понимание того, что централизованное управление системой защиты, где DLP играет одну из первых ролей, позволяет сократить трудозатраты специалистов службы безопасности и АСУ, а возможность разделения функций между несколькими сотрудниками позволяет построить максимально гибкую систему защиты информации от внутренних угроз и снизить влияние человеческого фактора.
Михаил Демидов