По оценкам аналитического центра SECURIT Analytics российской ИБ-компании SECURIT, сегодня публичными становятся сведения не более чем о 0,1% реального числа происходящих утечек данных. Но даже исходя из этих сведений эксперты признают, что количество пострадавших от утечек и масштабы причиняемого ими урона превращают их в один из главных ИБ-рисков.
Ситуация усугубляется еще и тем, что в мире по-прежнему растёт количество утечек конфиденциальной информации. Об этом свидетельствуют только что опубликованные результаты исследований SECURIT Analytics за прошлый год. А согласно данным опроса Harris Interactive, опубликованным в августе 2010-го, конфиденциальную информацию крадет каждый пятый сотрудник предприятия.
В отчете SECURIT Analytics констатируется, что в основном теряются или похищаются персональные данные клиентов и сотрудников (64% в 2010 г. и 68% в 2009-м). Следом за ними идут медицинские сведения, доля которых в общей сумме утечек по сравнению с 2009 г. более чем удвоилась (с 9 до 20%).
Основными виновниками утечек оказались медицинские учреждения (28,8%), государственные организации (19,6%), финансовые структуры (14,4%), образовательные учреждения (14,1%) и торговые компании (12,5%). Главными каналами, по которым утекает информация, остаются потерянные или украденные ноутбуки (22,5%) и электронная почта (17,8%). Наряду с этим в прошлом году отмечен заметный (по сравнению с 2009-м) рост количества утечек через портативные съемные накопители (они продемонстрировали увеличение на 4,4%) и веб-сервисы (здесь увеличение произошло на 3,2%).
Нас может несколько успокоить то, что аналитики отмечают уменьшение ущерба, наносимого утечками. Так, согласно посчётам SECURIT Analytics, средний ущерб от одной утечки в 2010 г. составил 3,8 млн. долл., что примерно на 49% ниже показателей 2009-го. Возможно, организации стали тщательнее защищать наиболее ценные и чувствительные для бизнеса сведения.
Состояние рынка DLP в период выхода из экономического кризиса
Спрос на DLP в России. Своевременно выявлять несанкционированные действия с конфиденциальной информацией, пресекать их, а также помогать в сборе доказательств и расследовании ИБ-инцидентов позволяют DLP-системы, рынок которых, согласно прогнозу аналитиков из Gartner, в конце нынешнего — начале следующего года вступит в фазу зрелости.
Наблюдения наших экспертов за спросом на DLP в России согласуется с этим прогнозом. Они дружно отмечают его рост, расходясь только в количественной оценке. Так, если Александр Ковалев полагает, что к концу 2010-го спрос на DLP (всего лишь) вернулся к докризисному уровню, то Рустэм Хайретдинов регистрирует увеличение спроса в прошлом году по сравнению с кризисным 2009-м в несколько раз.
Такой рост эксперты объясняют рядом причин. Прежде всего в его основе, как считают Рустэм Хайретдинов и Александр Ковалев, лежит возникновение условий для отложенного на время кризиса спроса на функционал DLP-решений. Виктор Сердюк как стимул интереса к DLP отмечает произошедшие за год и связанные с кражей или утечкой информации ИТ-инциденты, нанесшие определенный ущерб, в результате чего компании стремятся минимизировать риски возникновения подобных инцидентов.
Постепенное осознание российскими компаниями важности защиты данных, которые составляют их интеллектуальную собственность и формируют конкурентное преимущество, и через это рост интереса к DLP отмечают Наталья Зосимовская и Михаил Чернышев. “Российское ИТ-общество стало готовым к открытому восприятию DLP-систем и к возможности использования их не только в аспекте соответствия законодательству, но и, наконец, к использованию для всесторонней защиты данных в самом широком смысле этого слова”, — так Михаил Чернышев прокомментировал сложившееся к настоящему времени отношение отечественных заказчиков к DLP.
Внимание к утечкам в последнее время со стороны СМИ, по мнению наших экспертов, тоже подогрело интерес к проблеме защиты. Прежде всего отмечается деятельность таких цифровых информационных ресурсов, как WikiLeaks и его последователи, среди которых есть и отечественные, например rospil.info, HimkiLeaks.
Единственный из наших экспертов, кто не констатировал изменение спроса на DLP в России в 2010-м, Вячеслав Медведев мотивирует свои выводы, во-первых, тем, что в конце прошлого года истекало время очередной отсрочки вступления в полную силу закона “О персональных данных”, средства большинства компаний были потрачены именно на то, чтобы успеть к назначенному госрегуляторами сроку и, надо думать, на DLP-проекты у них мало что осталось. “Во-вторых, и это главная причина, — говорит он, — использование DLP-систем в нашей стране до сих пор находится в “серой зоне”. Несмотря на актуальность и востребованность оно во многом противоречит Конституции России, одним из положений которой является свобода переписки. А переписка сотрудников, даже если они ведут ее с рабочего места, относится к категории личной, а не служебной информации”.
DLP для СМБ и корпоративного сегмента. Отмечая рост интереса к DLP-решениям, эксперты указывают на дифференциацию требований к ним, связанную с размерами бизнеса потенциальных заказчиков. Прежде всего они наблюдают, что спрос на DLP-решения со стороны малого и среднего бизнеса значительно ниже в сравнении со спросом крупных компаний.
“К средним и малым мы относим компании, у которых 50—250 компьютеров в сети. В их штатном расписании отсутствует должность офицера информационной безопасности. Интерес к DLP со стороны таких компаний называть спросом пока преждевременно: количество сделок в этом сегменте очень небольшое. Структура их спроса на средства защиты информации такова, что они хотели бы иметь полный функционал корпоративного DLP по цене антивируса. Поэтому рынок DLP для этого сегмента еще предстоит развить”, — говорит Рустэм Хайретдинов.
“В большинстве случаев, — делится своими наблюдениями Виктор Сердюк, — небольшим компаниям достаточно иметь средства для разграничения доступа к внешним портам компьютера, чтобы пользователи не могли бесконтрольно использовать USB-носители. А для этого часто бывает достаточно тех возможностей, которые встроены в корпоративное антивирусное ПО, и нет необходимости приобретать дополнительные средства защиты информации”.
В дополнение к упомянутым критериям выбора DLP-средств небольшими компаниями следует добавить отмеченную другими экспертами простоту решения в развертывании и эксплуатации.
Что же касается сегмента крупных заказчиков, то эксперты отмечают потребность в развитом функционале, позволяющем контролировать информационные потоки данных как на уровне рабочих станций пользователей, так и на уровне шлюзов, интегрированный с другими ИБ-средствами интерфейс управления, развитую систему отчетности, гибкость решения в отношении интеграции в существующую, подчас уникальную и территориально распределенную корпоративную инфраструктуру, масштабируемость, способность работать в режиме реального времени.
Из специфических требований к функционалу DLP у крупных компаний Наталья Зосимовская выделяет возможности поиска нелегитимно хранящихся документов ограниченного доступа. Дмитрий Михеев со своей стороны отмечает спрос на решения, в которых DLP интегрируются с системами управления правами доступа (Rights Management). Исходя из своего опыта он заключает, что тех, кто задумывается о покупке DLP, в первую очередь интересуют не технические аспекты, а методики и регламенты обращения персонала с информацией. “Можно с уверенностью сказать, что заказчики готовы вкладывать средства в обучение сотрудников и тем самым в закрытие потенциальных уязвимостей”, — считает г-н Михеев.
DLP и изменение парадигмы использования ИТ
Не успел бизнес как следует освоить Интернет, как специалисты начали активно предлагать для развития ИТ-обеспечения облачную платформу, параллельно переводя ИТ-среду в виртуальное состояние. Изменение парадигмы развития ИТ застало DLP-технологию, как было отмечено, на пороге вхождения в пору зрелости.
Виртуализация. Ситуация для DLP сейчас складывается непростая. Отсюда у наших экспертов и различия в оценках влияния облаков и виртуализации на состояние этого рынка. Так, Виктор Сердюк не видит каких-либо технических проблем, которые препятствовали бы использованию DLP-систем на облачных платформах или в виртуальных ИТ-средах. Представители же цеха DLP-разработчиков Рустэм Хайретдинов и Дмитрий Михеев усматривают сложности использования таких систем в виртуальных средах, связанные с падением производительности DLP. “В виртуальной среде производительность некоторых операций, например индексирования базы данных, падает в несколько раз, — сообщил Рустэм Хайретдинов. — Тем не менее компании постепенно мигрируют в эту среду, поэтому туда же мигрируют и DLP-решения”.
В то же время их коллега по цеху разработчиков Александр Ковалев солидарен с оптимистичной оценкой Виктора Сердюка. Михаил Чернышев, ссылаясь на опыт компании McAfee, тоже считает, что DLP-системы уже способны эффективно работать в виртуальном окружении. “Использование DLP-системы в виртуализованной среде закладывается в продукцию нашей компании на ранних этапах проектирования, и в ней нет никаких компромиссов между гибкостью и удобством виртуализации и полнотой защиты от утечки данных”, — заявляет он.
Сходную оценку дает и Вячеслав Медведев. Он считает, что по сути DLP в виртуальной среде представляет собой обычный сервер: “Особенности могли бы быть при размещении нескольких виртуальных DLP-систем на одном сервере, например на серверах провайдеров услуг. В этом случае выгодно проводить часть или все проверки на уровне гипервизора сервера, что существенно снижает нагрузку на сервер и позволяет более равномерно распределять нагрузку между виртуальными машинами”.
DLP как сервис. Суть переноса ИТ в “облака” состоит в том, чтобы перевести потребителей ИТ из состояния технологического самообслуживания в состояние потребителей ИТ-сервисов, поставляемых извне. Это означает массовый переход на ИТ-обслуживание по схеме аутсорсинга.
Как считают Дмитрий Михеев и Рустэм Хайретдинов, технологически DLP-решения давно готовы к сервисному подходу, они уже успешно работают в частных облаках и трудностей с этим никаких не испытывают. В качестве примера Рустэм Хайретдинов сослался на продукты InfoWatch, которые работают у ИТ-провайдера “ЛУКОЙЛ-Информ”, обслуживающего по схеме инсорсинга корпорацию ЛУКОЙЛ и десяток ее дочерних предприятий. Что же касается идеи передачи конфиденциальной информации на обработку в неконтролируемые (публичные) облака, то по его наблюдениям она пока не нашла поддержки у заказчиков.
Павел Коростелев еще более категоричен в оценке использования DLP в публичных облаках. По его мнению без переосмысления всей концепции использования DLP в подобном варианте возможности этой технологии в общем-то неприменимы. В этом случае, как он считает, требования собственной политики безопасности и регуляторов должны выполняться за счет гарантий сохранности информации провайдером публичного облака (например, через заключение соглашения об уровне обслуживания SLA или лицензирование провайдеров).
С мнением, что вряд ли в ближайшее время DLP будут реализованы в виде услуг внешних провайдеров, солидарен и Виктор Сердюк. Причину он видит в том, что использование DLP напрямую связано с возможностью доступа к конфиденциальной информации и поэтому российские компании заинтересованы в администрировании и эксплуатации подобного рода систем собственными силами.
Ссылаясь на проблемы ментальные, психологические, наши эксперты единодушно разделяют это мнение об отношении к аутсорсингу DLP, ведь, как сказала Наталья Зосимовская, большинство российских компаний опасаются отдавать на сторону мониторинг и управление даже межсетевыми экранами и системами IDS/IPS. Так что же говорить о том, чтобы передать на аутсорсинг защиту от утечек своей конфиденциальной информации? Это, по ее мнению, большой вопрос доверия и конкретной реализации услуги провайдером.
Вячеслав Медведев и Дмитрий Михеев указывают и на более прозаические причины, стоящие на пути аутсорсинга DLP, а именно качество каналов связи в России. “DLP-системы используют эвристические механизмы и функции анализа текстовых и голосовых данных. Следовательно, передаваемый трафик будет весьма велик. И соответственно каналы доступа в Интернет должны быть достаточно широкими, а отклик самого облака достаточно быстрым. С учетом требований по защите канала доступа (во многих случаях существенно замедляющей процесс передачи) применение облачных вариантов DLP-систем становится малодоступным для многих регионов и компаний”, — пояснил Вячеслав Медведев.
Вместе с тем Рустэм Хайретдинов упомянул, что несколько партнеров InfoWatch уже предлагают такие сервисы, развернув их в своих коммерческих ЦОДах на базе DLP-решения его компании. По-видимому, им все-таки удается, пусть и для небольшого числа заказчиков, решать проблемы изоляции данных разных клиентов друг от друга и невысокого качества связи в стране, о которых в схеме DLP-аутсорсинга упомянул Дмитрий Михеев, а также дополнительных, порожденных этой схемой неконтролируемых рисков утечек, на что обратил внимание Александр Ковалев.
По мнению Михаила Чернышева в обозримом будущем использование DLP в виде облачных сервисов может быть принято лишь сегментом малых и средних компаний, с той лишь оговоркой, что вся конфиденциальная информация и факты утечек должны быть максимально абстрагированы от функционала, предоставляемого внешним провайдером и доступны только компании — потребителю услуг. Он полагает, что при таком подходе эта концепция будет иметь высокие шансы на успех у конечных потребителей. Однако, как считает Александр Ковалев, в ближайшие пару лет говорить о широком распространении облачных DLP не приходится.
DLP и регулирование рынка информбезопасности
В отчете центра SECURIT Analytics по исследованиям зарегистрированных утечек данных, произошедших в мире в 2010 г., явным лидером по количеству являются США: более 88%. Авторы исследования объясняют это действующим там законодательством, согласно которому любая структура при обнаружении утечки обязана немедленно уведомить всех пострадавших, а в ряде оговоренных законом случаев и компенсировать им реальные и даже потенциальные убытки.
В отличие от российских нормативно-правовых актов, регулирующих сферу защиты информации, в законодательстве США практически отсутствуют требования к техническим параметрам защиты: выбор инструментов остается за самой структурой, отвечающей и организующей защиту. Зато относительно утечек (и утаивания их фактов) установлены жесткие меры, включающие финансовую и уголовную ответственность должностных лиц, что, как показывает опыт этой страны, существенно повышает внимание со стороны руководства компаний к проблемам информационной безопасности, в том числе к защите от утечек.
Законодательство нашей страны не требует от организаций в обязательном порядке уведомлять о случившихся у них утечках данных, и тем не менее в России, согласно данным исследований SECURIT Analytics, в прошедшем году было публично зафиксировано 37 инцидентов, связанных с утечками информации, что на 61% больше, чем в 2009-м.
По наблюдениям Виктора Сердюка российские компании, не дожидаясь каких-либо рекомендующих или обязывающих указаний со стороны ИБ-регуляторов в отношении технологии DLP, уже рассматривают DLP-решения (наряду с оговоренными в законе “О персональных данных” технологиями защиты информации) как одно из средств для выполнения требований законодательства по защите персональных данных, полагаясь на их функции регистрации, учета и разграничения доступа к категоризированной информации. Кстати, он полагает, что именно эффективность DLP для решения этих задач стала одной из причин роста спроса на DLP в прошедшем году.
Наши эксперты связывают этот рост еще и с тем, что данная технология оптимальным образом способствует достижению соответствия требованиям отраслевых регуляторов к защите конфиденциальных данных, таких, например, как требования стандарта защиты информации в индустрии платёжных карт PCI DSS.
Сегодня использование DLP-систем уже регламентируется (помимо международного стандарта PCI DSS) стандартами Банка России, кодексом корпоративного поведения Федеральной службы по финансовым рынкам России, актами SOX и Basel II и некоторыми другими. Однако у наших экспертов нет единого мнения по вопросу включения DLP-решений в перечень обязательных сертифицируемых технических средств защиты персональных данных наряду с межсетевыми экранами и антивирусами и по поводу того, следует ли рекомендовать их для включения в отраслевые типизированные системы обработки персональных данных (СПДн) — медицинские, страховые, промышленные, банковские и т. д.
Рустэм Хайретдинов напоминает, что DLP относятся к системам информационной безопасности и подлежат обязательной сертификации для использования при обработке определенных типов данных, в том числе и персональных данных. Однако тотальная обязательная сертификация DLP, по его мнению, только ограничит выбор для клиентов при защите других типов данных. “Такие ИБ-технологии, как антивирусы, межсетевые экраны, криптозащита и т. п., защищают не сами данные, а инфраструктуру: места их хранения и каналы передачи. DLP-системы способны детектировать персональные данные, и потому только они могут защитить непосредственно данные, — отмечает он. — Но сегодня DLP включены не во все типовые отраслевые решения. Скорее всего это сделано по экономическим соображениям: эти системы стоят столько, сколько остальные решения по безопасности вместе взятые. Но там, где экономика оправдывает внедрение DLP, например у сотовых операторов, обязательное использование DLP-систем в типовых решениях предусмотрено”.
Виктор Сердюк считает, что включать DLP-решения в перечень обязательных сертифицируемых средств защиты персональных данных нет необходимости. Он указывает на то, что необходимость использования DLP должна исходить не от регуляторов, а из модели угроз безопасности организации. “Например, если система обработки персональных данных состоит из небольшого количества компьютеров, отключенных от Интернета, то в этом случае защита от утечки конфиденциальной информации может быть обеспечена и штатными средствами операционных систем, а также организационными мерами без применения систем класса DLP”, — говорит он.
По мнению же Александра Ковалева, DLP целесообразно включать как обязательные для защиты персональных данных и рекомендовать их для отраслевых типизированных систем обработки персональных данных. “Многие наши заказчики включают в свои модели угроз требования к защите от инсайдеров, и DLP внедряются у них в рамках комплексных проектов по выполнению требований закона “О персональных данных”. Правда, непонятно, кто будет писать технические требования [по сертификации] для такого довольно сложного класса продуктов”, — говорит он.
В поддержку обязательности использования DLP при защите персональных данных высказался и Михаил Чернышев, ссылаясь на тяжесть последствий для субъектов персональных данных от возможных утечек, таких, например, как истории болезней, состояния банковских счетов и истории платежей. “Новые реалии не просто рекомендуют, а настоятельно диктуют нам это как необходимость”, — считает он.
Павел Коростелев тоже видит в этом целесообразность, поскольку DLP, по его оценкам, одна из немногих технологий, которая ориентирована непосредственно на защиту данных, и благодаря рекомендации подобных систем (не только собственно DLP-продуктов, но и типовых политик применения DLP) на уровне отраслевых стандартов можно будет достичь довольно высокой степени защиты персональных данных. Однако и он усматривает возможные проблемы при формулировке требований к подобным системам со стороны регуляторов и при определении критериев, по которым конкретное предприятие будет обязано внедрять DLP.