Как помешать торговле корпоративными секретами

Источник: Инвестгазета

Знаете ли вы, кто из ваших сотрудников торгует корпоративными секретами вашей фирмы? DLP-решения если и не дадут ответ на этот вопрос, то по крайней мере существенно усложнят жизнь информационных «кротов», пишет "Инвестгазета".

Клиенты одного крупного мобильного оператора получают уведомление о необходимости погасить имеющуюся у них задолженность. К письму-уведомлению, содержащему конфиденциальные данные, которые могли быть только в подписанном с мобильным оператором договоре, прилагается квитанция  на оплату. Настораживало то, что получателем средств, которые должны были оплатить должники, был не мобильный оператор, а никому не известная компания (как впоследствии выяснилось — подставная), назвавшаяся коллекторской. Расчет был прост: должников не смутит схема погашения задолженности. Ведь многие компании отдавали на откуп коллекторам «выбивание» средств из должников. Планируемая афера не сработала, сам же мобильный оператор обратился за консультацией к IT-разработчику, как обезопасить конфиденциальные данные. Ведь было абсолютно ясно, что, скорее всего, базу должников скопировал (равно — украл) кто-то из сотрудников с целью получения личной выгоды. 

Украинский пример далек от масштабных прецедентов, которые имеют место в мировом корпоративном секторе. Даже не обращаясь к примерам WikiLeaks, чисто корпоративных скандалов предостаточно. Один из недавних связан с именем компании Apple, которой утечка конфиденциальных данных стоила $2,3 млн. Как оказалось, Пол Девайн, бывший менеджер Apple, в течение трех лет передавал конфиденциальную информацию партнерам в Сингапуре. В распоряжении азиатских бизнесменов оказались данные о прогнозах продаж, ценовые ориентиры и неизданные технические характеристики продуктов. Обладая внутренней информацией Apple, они могли заключать сделки на более выгодных для себя условиях. В сфере интересов менеджера были только коммерческие данные: цены, объемы партий и сроки поставок. Конфиденциальную информацию зло­умышленник передавал по электронной почте, пользуясь аккаунтами в бесплатных системах типа Hotmail и Gmail. Причем прямо со своего служебного ноутбука. По тем пунктам обвинения, в которых сотрудник Apple признал себя виновным, максимальный тюремный срок для него может составить до 70 лет. Пол Девайн уже согласился на выплату около $2,3 млн. в рамках возмещения ущерба, нанесенного компании.

Цена конфиденциальности

Утечки/утери информации подрывают авторитет компаний и несут  огромные убытки. По данным аналитиков, в ближайшие годы мировой корпоративный сектор будет нести потери примерно в $1 трлн. ежегодно по причине утечки конфиденциальных данных. «Даже крупные и хорошо защищенные международные конгломераты могут пострадать от компьютерного шпионажа», — говорится в исследовании международной антивирусной интернет-компании McAfee. Сотрудник может умышленно либо по неосторожности распечатать конфиденциальную информацию, отправить ее на личный ящик электронной почты, форум, чат и т.д. Согласно докладу Borderless security: Ernst & Young’s 2010 Global Information Security Survey, 60% опрошенных компаний отметили повышение уровня рисков в связи с использованием соцсетей, cloud computing и портативных устройств. 64% опрошенных отметили распространение важных данных как один из топ-5 рисков и 74% включили в топ-5 рисков непрерывный доступ критически важных IT-ресурсов. В связи с этим 50% исследуемых компаний отметили, что намерены увеличить затраты на внедрение систем предотвращения утечки информации. Одной из эффективных мер по предотвращению утечки данных является использование DLP-решений (Data Loss/Leakage Prevention — предотвращение потерь/утечек данных).

Что такое DLP?

DLP (Data Loss/Leakage Prevention) — это IT-решение, которое предотвращает потери/утечку данных. Построено по принципу фильтрации по ключевым словам циркулирующей в компании информации на предмет ее конфиденциальности. Обеспечивает централизованный мониторинг и контроль пользователей и всего компьютерного парка. Внедрение таких решений  позволяет отслеживать и протоколировать действия пользователей, перемещение информации, блокировать несанкционированные операции. Осуществлять контроль съемных устройств, создавать архивные копии копируемых файлов, блокировать операции копирования в зависимости от уровня доступа; осуществлять полный контроль процесса печати.

Превентивные меры

Рынок DLP-решений очень молод. «Даже в развитых странах подобные решения появились сравнительно недавно. В Украине формирование этого рынка началось в 2008 году. Сейчас модулями DLP, как правило, снабжаются почти все современные комплексные решения IT-безопасности», — рассказывает Александр Хомутов, директор компании «ИТ Лэнд». Сервис по продаже и внедрению DLP-систем либо в виде отдельных решений, либо в комплексе с другими средствами защиты информации предлагает ряд компаний. Среди них «Инком», ISSP, Betta Security, «БМС Консалтинг», «ИТ Лэнд», «Бакотек», «Инфобезпека» и некоторые другие, которые предлагают такие продукты как Websense, Cisco, McAfee, RSA, Symantec и т.д. По словам представителей фирм-разработчиков, представленные на сегодняшний день DLP-решения обладают примерно одинаковыми функциями, различаясь лишь требованиями к аппаратной части, логикой внутренней работы, сложностью настройки и эксплуатации, а также ценой и политикой лицензирования. Как отмечают в «Инкоме», после затишья 2009-2010 годов (когда востребованы были только самые необходимые продукты и решения) рынок начал оживать и компании стали искать новые эффективные решения, снижающие риски и повышающие их информационную безопасность. «Период экономической рецессии заставил компании искать пути сохранения существующих клиентов, поэтому инциденты информационных утечек попали в фокус основного внимания владельцев бизнеса», — отмечает Роман Сологуб, генеральный менеджер компании ISSP. 

Заказчики решений, как правило, преследуют такие цели: мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам (email, web, ftp, интернет-пейджеры); контроль действий локальных пользователей (применительно к операциям, связанным с копированием и перемещением конфиденциальной информации на USB-накопитель, записью на CD-диски через локальные сетевые соединения или печать); сканирование корпоративной сети компании (в том числе файловые серверы, порталы, системы документооборота и пользовательские рабочие станции), а также отслеживание неупорядоченного хранения информации конфиденциального характера. В этой связи основными потребителями DLP-решений в нашей стране являются банки и телекоммуникационные компании с высокими информационными рисками. «Эти два типа компаний составляют более 60% рынка потребителей данных решений. Остальные компании, использующие продукты, — это в основном международные компании, которые имеют единую для группы политику информационной безопасности. Решения McAfee и Websense используют 80% из топ-20 банков Украины, практически все крупные телекоммуникационные компании, промышленные, энергетические предприятия, а также многие другие государственные и частные организации», — уточняет  Роман Сологуб.

Украинские продавцы решений весьма неохотно называют имена своих клиентов, ведь большинство сотрудников фирм-заказчиков попросту не знают о том, что в компании работает подобная система. На просторах СНГ данные о заказчиках более публичны. Например, в российской прессе была обнародована информация о том, что компания Leta IT-company реализовала проект по внедрению в Банке ВТБ системы DLP на базе программного продукта Websense Data Security Suite. «Инвестгазета» обратилась с запросом к украинскому ВТБ Банку, однако нам рассказали, что пока подобные решения в Украине не внедрены. В «Киевстаре» ответили, что используют самые современные средства защиты конфиденциальной информации, при этом в целях этой самой конфиденциальности предпочли не раскрывать подробности.

Фактор спроса

Анализируя природу спроса на DLP-решения, IT-разработчики склонны разделять природу финансирования в информационную безопасность на три категории. Первая —  хаотичное финансирование. Может быть в любой компании, где нет четко определенной политики информационной безопасности. Вторая категория — стратегическое финансирование. Обычно такой тип финансирования наблюдается в крупных зарубежных компаниях и/или банках. И третья категория — инвестиции в оптимизацию существующих процессов. Речь идет о внедрении новых подходов, которые позволяют оптимизировать операционную деятельность. 

В любом случае для внедрения DLP-решения, считают в «Инкоме», необходимо наличие сформированной инфраструктуры безопасности: технической базы, прописанной политики безопасности, четкого списка документов, подпадающих под гриф «секретно». «На сегодняшний день большинство компаний в Украине не имеют подготовленной организационно-технической базы для внедрения данного решения», — отмечает начальник отдела сетевых решений компании «Инком» Алексей Севонькин. Несмотря на то что во многих компаниях введено Положение о конфиденциальной информации, это не значит, что его всецело придерживаются. По мнению экспертов, построение критериев отнесения информации к разряду конфиденциальной — один из самых сложных моментов построения системы. Камнем преткновения также являются вопросы обслуживания данной системы в организации, ведь поступающие от системы сигналы кто-то должен обрабатывать, а также высокие цены на DLP-решения. Тем не менее это не значит, что нужно опускать руки и ничего не делать, считают в «Инкоме». Нужно максимально самостоятельно или же с привлечением профессионалов вести целенаправленную работу по устранению всех недочетов и проблем в области IT-безопасности.

«В первую очередь нужно думать о том, какой ущерб могут причинить утечки, а не о стоимости защиты, — комментирует Александр Хомутов. — Приведу пример. Мы предоставили одной компании DLP-продукт для тестирования, и благодаря ему в первые три дня отдел IT-безопасности выявил инциденты утечки информации, которые могли принести компании убытки на 3 млн. грн.». Однозначно назвать стоимость внедрения того или иного решения разработчики затрудняются, поскольку оно разрабатывается под конкретного заказчика с учетом его потребностей. «В зависимости от потребностей заказчика, количества необходимых компонентов защиты и масштабов внедрения стоимость на одного пользователя может составить от $80 до $250», — отметил Дмитрий Онищенко, консультант по информационной безопасности консультационно-сервисного департамента «БМС Консалтинг». При этом важно понимать, что DLP-решение — не панацея. Это всего лишь составная часть комплексной системы защиты информации, которая должна быть стратегическим направлением в работе компании. 

Что должно предшествовать внедрению DLP? 

Действия по обеспечению безопасности следует провести в такой последовательности:

1. Провести аудит документооборота.

2. Определить, какая информация обрабатывается в компании.

3. Определить степень конфиденциальности обрабатываемой информации.

4. Внедрить систему электронного документооборота.

5. Описать права сотрудников.

6. Обучить сотрудников проблемам конфиденциальности обрабатываемой информации и проставляемым грифам (если такие применяются).

7. Внедрить требования информационной безопасности в должностные инструкции.

8. Создать признаки конфиденциальности информации (правила для DLP).

9. Непосредственно внедрить DLP-систему.