Собираемая ИБ-экспертами статистика по количеству утечек и наносимому ими ущербу выглядит удручающе, даже несмотря на то, что публично рассказывать о таких случаях в настоящее время законы обязывают только в трех странах мира — в Великобритании, Германии и США.
Восемь лет наблюдая за утечками, происходящими по причине инсайда (а не из-за внешних атак), компания InfoWatch оценивает прямой ущерб от них, причиненный предприятиям в разных странах в 2010 г., более чем в 200 млн. долл.
Согласно данным InfoWatch, около 50% утечек имеют случайный характер, и доля их растет на фоне намеренных и не определенных (по источникам причин). Основным каналом утечек в 2010 г. были рабочие станции и серверы. За ними следуют утечки через бумажные документы, затем — через Интернет и интранет. На четвертом месте стоят утери и кражи данных вместе с мобильными устройствами. На пятом — утечки через сменные носители информации, а на шестом — утечки по электронной почте и факсу.
Именно эти каналы, как регистрируют в InfoWatch, дают в совокупности основную массу утечек. Уменьшение долей утечек по каналам электронной почты, Интернету и интранету с одной стороны, и рост долей утечек с мобильных устройств и принтеров эксперты этой компании объясняют принимаемыми мерами защиты перечисленных каналов и ростом популярности мобильных устройств: почту и сеть на предприятиях защищают в первую очередь, а до защиты печатающих устройств руки доходят в последнюю очередь.
Работающие в России вендоры DLP-продуктов считают, что в 2010 г. отечественный рынок DLP нагнал упущенные в 2009-м из-за кризиса возможности, сохранив при этом порядок расстановки производителей в списке лидеров. Директор отдела технических решений корпорации Symantec в России и СНГ Николай Починок отмечает подъем интереса к средствам борьбы с утечками данных, который подтверждается и реальными продажами DLP-систем. По его оценкам, объемы продаж таких продуктов в России в 2010-м в 1,5—2 раза превысили прогнозы IDC, сделанные в 2009 г. Что же касается самой Symantec, то ее продажи в нашей стране в 2010-м по сравнению с 2009-м возросли в 13 раз, в то время как российский рынок DLP в среднем, по ее оценкам, вырос за это время на 8%.
Как сообщил заместитель генерального директора InfoWatch Рустэм Хайретдинов, доля рынка возглавляемой им компании, ориентированной прежде всего на крупных заказчиков, (в денежном исчислении) в России в течение 2009 г. сократилась с 60 до 32%. Причиной этого он считает кризисное замораживание ИТ-бюджетов. Только в 2009-м компании удалось, по его словам, наверстать упущенное из-за отложенного спроса.
InfoWatch получает с российского рынка 95% своих доходов, хотя она представлена также в Германии, Индии, Индонезии, Испании, ОАЭ и Турции. Повышение общемирового спроса на DLP позволило компании совершить в 2010 г. первые продажи своих DLP-разработок за рубежом — в Азии и на Среднем Востоке, рынки которых, по мнению Рустэма Хайретдинова, похожи на российский из-за высокой централизации огосударствленного капитала в крупных компаниях.
Помимо послекризисного размораживания бюджетов эксперты усматривают и другие причины роста интереса к DLP-решениям. Так, в подзаконных актах к российскому закону “О персональных данных” отныне в типовой модели угроз присутствует понятие внутреннего нарушителя, что, как полагает Рустэм Хайретдинов, привлекает к DLP-системам внимание операторов персональных данных, несмотря на то что среди обязательных технических средств защиты, предписанных законом к использованию, их нет.
Прошлый год можно признать переломным в отношении бизнеса к расследованию компьютерных преступлений (РКП). Российские компании все громче заявляют о своем желании доводить результаты таких расследований до судов. В ответ на возникающие потребности начал формироваться отечественный рынок услуг по РКП .
На состоявшемся в начале марта семинаре “Компьютерные преступления, или Что делать, если это случилось в твоей компании”, который организовал комитет по информационной безопасности Российского Союза ИТ-директоров (СоДИТ), представители бизнеса, правоохранительных структур и законодателей единодушно признали необходимость доработки законодательства, регулирующего процесс РКП, в целях упрощения взаимодействия всех заинтересованных сторон. Как сообщил член правления СоДИТ Виктор Минин, выработанный по результатам обсуждений проблем РКП документ будет доступен для обсуждения ИТ-сообщством, а затем, после внесения возможных поправок, представлен в профильный комитет Госдумы. “У нас есть положительный опыт подготовки документов и на имя президента, и на имя руководителя правительства страны. Мы готовы работать таким же образом и с этим документом”, — сказал он.
Как сообщил главный консультант по информационной безопасности InfoWatch Вадим Здор, предприятия и организации все шире включают DLP в комплексы управления рисками. Нередко это происходит на регулятивной основе. Так, в 2008 г. Еврокомиссия обязала европейских телекомоператоров использовать DLP для контроля за утечками. Институт SANS (SysAdmin, Audit, Networking, Security), занимающийся разработкой методологий защиты информации (которые получают широкое распространение), включил DLP в список ключевых средств контроля состояния ИБ. Для тех компаний, акции которых котируются на биржах, DLP рассматривается как ключ к управляемости бизнесом через управление рисками и выполнение регулятивных требований (GRC).
Таким образом, нацеленность технологий DLP непосредственно на работу с информацией способна значительно расширить диапазон ее применения.