Докладчики IV Международной конференции DLP Russia 2011 отвечают на вопросы о рынке, законодательстве и своих ожиданиях.
Еще полгода назад бурное развитие сегмента DLP-решений большинство экспертов связывало с отложенным спросом периода посткризисного восстановления. Другие склонялись к мнению о том, что рынок не имеет потенциала роста, а тема защиты информации в контексте DLP — модная “утка”. Изменилось ли отношение и подходы компаний к защите данных? Насколько сегодня проблема утечек осознана бизнесом, и решается ли она эффективно? И стоит ли ожидать существенных перемен в законодательстве? На вопросы отвечают ведущие специалисты по информационной безопасности, участники Совета “DLP Эксперт” и докладчики конференции DLP Russia 2011.
Денис Безкоровайный, эксперт Ассоциации профессионалов в области информационной безопасности RISSPA
Многие организации рассматривают защиту данных исключительно как техническую задачу, хотя лишь техническими мерами проблема утечки данных, как правило, не решается. Большую часть рисков утечки можно снизить, если правильно выстроить организационные меры защиты, оптимизировать бизнес-процессы обработки конфиденциальных данных и наладить процедуры контроля.
Многие компании уделяют этим задачам недостаточно внимания, а защиту данных отдают на откуп техническим средствам защиты от утечек (системам DLP), пытаясь наложить их на существующие процессы и инфраструктуру. Для эффективной защиты данных важно, чтобы в организации работала не просто служба ИБ с ограниченными полномочиями, а функционировала полноценная система управления ИБ с активным вовлечением менеджеров компании, которые прислушиваются к мнению ИБ-руководителей.
Только зрелые организации проводят классификацию информационных ресурсов и данных, определяют их владельцев и имеют отлаженные процедуры реагирования на инциденты. Без этого защита данных, внедрение и использование систем DLP будут затруднены.
Тема обеспечения конфиденциальности данных все чаще обсуждается на разных уровнях, во многом благодаря публичным случаям утечек и усилению законодательства. Поэтому можно предположить, что в сознании ИБ-руководителей и владельцев бизнеса эти проблемы займут важное место, так как для повышения эффективности борьбы с утечками у большинства российских компаний есть еще множество неиспользованных методов.
Наталья Касперская, генеральный директор InfoWatch
Если всего несколько лет назад приходилось объяснять, что такое DLP, то сегодня ситуация в корне изменилась: аббревиатура стала настолько популярна, а вокруг темы так много шумихи, что зачастую разобраться в ней человеку, не близкому к ИБ-сообществу, бывает крайне сложно. Отсюда и почва для спекуляций в контексте “DLP за один день”, и особое отношение заказчиков к данному виду решений — компании до сих пор предпочитают тратить ИТ-бюджеты на что-то более ощутимое, например антивирусную защиту. По сути, российский рынок DLP ограничен парой сотен организаций и он практически весь распределен, поэтому ожидать взрывного роста не стоит.
Вместе с тем мы видим большой потенциал в расширении направлений применения DLP-технологий (управление рисками, структурирование информационных потоков организации и много другое), особенно при наличии хорошей технологической базы в портфеле разработчика. DLP сегодня — уже не только защита от утечек, и ИБ-сообществу еще только предстоит обсудить, насколько широк сегодня функциональный спектр подобных решений и какое влияние они могут оказать на успешное развитие бизнеса.
Кирилл Керценбаум, специалист по продажам решений по безопасности, IBM в России и СНГ
За годы развития DLP-рынка в России ответ остается неизменным: проблема осознана, но в разной степени. Характерной особенностью нашего рынка является не очень глубокая степень интеграции служб ИБ в бизнес: где-то службы информационной безопасности подменяются службами экономической безопасности и ИТ. Здесь возникает конфликт интересов: ИТ-службы не всегда заинтересованы в технологиях информационной безопасности, которые требуют изменений в системе ИТ. В службах ИБ эта потребность осознана, в бизнесе — не очень. Кроме того, если на Западе есть законодательные требования по внедрению DLP, то Россия до сих пор остается без подобной законодательной базы. Все это затрудняет проникновение DLP глубже на российский рынок.
Основным драйвером таких проектов в России могут и должны выступить именно государство и отраслевые сообщества, предъявляя более жесткие требования к ИБ, защите корпоративных данных и пр.
Хорошей традицией стало обсуждение в рамках конференции общих вопросов по ИБ — о тенденциях на рынке. Важно смотреть дальше, шире, в общее поле области информационной безопасности, поскольку все продукты ИБ находятся в интегрированном индустриальном пространстве.
Дмитрий Костров, директор по проектам ОАО “Мобильные ТелеСистемы”
Общеизвестно, что информация в настоящее время является самым мощным активом современного предприятия, претендующего на лидирующую роль в своей отрасли. Именно поэтому заметны два тренда — развертывание на собственных корпоративных системах подсистем защиты от утечек и пунктов контроля (DLP решения), а также переподчинение департаментов информационной безопасности непосредственно CIO или даже владельцу бизнеса.
Если говорить о законотворчестве, я бы отметил, что существующие законы и подзаконные акты не только не помогают, но и вносят сумятицу в головы акционеров. Если выполнять все “по-написанному” можно разориться и все равно даже 80% защиты не добьешься.
Интересным видится создание добровольной системы сертификации средств защиты и бизнес-процессов обработки конфиденциальной информации, например в рамках отраслевых СРО.
Рынок ИБ состоит (грубо) из двух частей — заказчики и исполнители. С одной стороны, исполнителям выгодно ужесточение закона/подзаконных актов и неразбериха с некоторыми их определениями, с другой — исполнитель при грамотном ТЗ может не выполнить возложенные на него работы полностью. Поэтому сами операторы ПД должны объединенными усилиями, с помощью Минсвязи, разработать и согласовать с ФСБ и ФСТЭК технические регламенты по обеспечению защиты ПД и не только.
Валерий Боронин, руководитель лаборатории защиты информации от внутренних угроз “Лаборатории Касперского”
Проблема осознана недостаточно. Безусловно, за последние годы ситуация с точки зрения информированности улучшилась — чему способствовали как сдвиги в области законодательства, так и громкие инциденты и многолетние усилия ИБ-специалистов. Недостаточно, потому что не видно широкого понимания и освещения того факта, что сейчас в ИБ мы платим за борьбу со следствием, а не за исправление проблем. Производителям средств защиты невыгодно об этом говорить, а законодательство и регуляторы хотя и двигаются в верном направлении, но не достаточно эффективно. Дело в том, что у тех, кто реально может и должен улучшать ситуацию — сейчас нет экономических стимулов для этого.
Если говорить о защите персональных данных (ПД), то реальных проблем тут даже две: во-первых, ПД легко украсть, во-вторых — будучи украденными, они имеют высокую ценность. Нужно думать не только о том, как не дать украсть и на кого повесить ответственность за утечки, но и о том, как сделать невыгодным использование украденного.
Например, индустрия кредитных карт давно пришла к пониманию того, что основные усилия следует прилагать при аутентификации транзакций. Это не избавит от проблем безопасности нашей персональной информации, но серьёзно снизит угрозу.
На DLP Russia 2011 можно было бы подискутировать на тему, как сделать сторону, которая может снизить риск, — ответственной за этот самый риск. Это означает, что в первую очередь производители ПО должны нести финансовую ответственность за некачественный или дырявый софт. Разумеется, речь идет не о 100%-ной ответственности — здесь множество участников: степень ответственности каждого будет определять суд.
СПЕЦПРОЕКТ