Эксперты считают, что ИБ-технологии, объединенные под зонтиком DLP-решений, занимают среди средств обеспечения информационной безопасности особое место, защищая непосредственно информацию, в то время как подавляющая часть других ИБ-средств защищает объекты ИТ-инфраструкутры.
Как полагает менеджер по исследованиям и консалтингу в области ИБ в Западной Европе подразделения EMEA Software Group компании IDC Эрик Домаж, главными современными тенденциями в области ИТ, с которыми обязаны считаться разработчики DLP-продуктов, являются мобильность и консьюмеризация устройств доступа к данным, виртуализация и облачная архитектура, возрастание объемов информации, нашедшее отражение в специальном термине Big Data, который все чаще используется для обозначения направлений, связанных с хранением, обработкой, администрированием и защитой больших массивов данных.
Однако, похоже, что для российского DLP-рынке эти вызовы насущными сегодня пока не стали. Во всяком случае, на двух прошедших осенью этого года конференциях, посвященных защите от утечек данных, — DLP-Russia 2011 и Zecurion DLP Forum`11 — эти темы в контексте борьбы с утечками не были главными. Как отметил управляющий партнер отечественной аналитической компании Anti-Malware.ru Илья Шабанов, DLP-рынок пока не предлагает решения этих проблем — в данном направлении делаются только первые шаги.
Состояние рынка DLP
Эксперты IDC считают объем мирового рынка DLP равным примерно 300 млн. долл. В оценках российского рынка DLP чаще всего ссылаются на данные компании Anti-Malware.ru, согласно которым в прошлом году его объем составлял около 23 млн. долл. с прогнозом в 30 млн. долл. на текущий год. При этом, по словам г-на Шабанова, нужно делать поправки на непрозрачность области защиты от утечек, затрудняющих аналитическую работу в ней.
Географически мировой рынок DLP, как отметила генеральный директор InfoWatch Наталья Касперская, отталкиваясь от опыта своей компании, существенно неоднороден. Так, в Европе, по ее словам, практически нет инсталлированных полнофункциональных DLP-систем — только средства защиты от утечек по некоторым отдельным каналам. Основную причину этого она видит в действующем в большинстве европейских стран законодательстве, защищающем тайну личной жизни (в том числе частной переписки), которое оказывает доминирующее влияние на использование данных внутри государственных структур и частных компаний. В результате в таких странах, как, например, Германия и Франция, априори считается, что DLP-средства потенциально могут нарушать частные права граждан во время исполнения ими служебных обязанностей, а значит, внедрять их не стоит. Противниками DLP выступают и профсоюзы этих стран.
В то же время в англоговорящих странах, например в Великобритании и США, где нет подобных законов, столь категорично защищающих тайну частной жизни, DLP-средства используются активно. Согласно данным InfoWatch, большой интерес к DLP начали проявлять страны Ближнего Востока. Бурно развивается рынок DLP в Индии, правда, как отметила г-жа Касперская, тамошние пользователи соглашаются только на предложения, меньшие по цене по сравнению с европейскими и американскими раз в десять. И тем не менее вендоры идут навстречу этим заказчикам в надежде получить упущенную выгоду впоследствии.
Г-жа Касперская, ссылаясь на статистику, отмечает, что рост утечек остановить не удается, это касается как преднамеренных, так и случайных утечек (для борьбы с которыми прежде всего и предназначены DLP-системы). Из этого она заключает, что DLP-систем установлено все еще недостаточно, а те, что установлены, эксплуатируются неправильно.
Специалисты компании Anti-Malware.ru оценивают нынешнее состояние рынка DLP как высококонкурентное. По словам г-жи Касперской, согласной с такой оценкой, практически все лидирующие антивирусные вендоры расширили к настоящему времени функционал своих основных продуктов защитой от утечек. Однако при продвижении обновленных продуктов, по ее мнению, они не учитывают специфику внедрения и поддержки DLP-функционала, использование которого в значительной степени подразумевает не разовую инсталляцию, а постоянный процесс, начинающийся с практически обязательного предпроектного консалтинга и требующий большой организационной работы от компании-заказчика.
Заказчики хотят, чтобы защита от утечек работала у них, как антивирус, который бывает достаточно установить и практически забыть (если автоматизирован процесс обновлений, что, как правило, обеспечивают все лидирующие разработчики) о его сопровождении. Однако развернуть DLP-решение даже в пилотном варианте без плотного участия заказчика невозможно, поскольку достоверно определить, какая именно информация на данном конкретном предприятии является ценной и подлежит защите от утечек, не сможет ни один интегратор и консультант. “Увы, компании не слышат этих слов DLP-вендоров. Им симпатичнее предложения, обещающие быстрые и дешевые инсталляции DLP-функционала”, — заметила г-жа Касперская.
Эксперты компании Anti-Malware.ru отмечают замедление роста DLP-рынка в России, регистрируя при этом увеличение числа игроков на нем. “Причину этого я вижу в том, что у участников-новичков есть иллюзия простоты разработки какого-либо DLP-функционала, например, перехватчиков данных по некоторому ограниченному набору каналов, — сказала г-жа Касперская. — Компаний, предлагающих подобные продукты, много, есть и такие, которые их быстро инсталлируют. Подобное поведение вендоров работает на понижение цен на DLP-решения, подогревает спрос на них в среде средних и малых предприятий. Однакоподобные продукты реально работают как DLP у очень малого числа заказчиков. В результате рынок DLP переживает кризис доверия: заказчики хотят лучше, быстрее, дешевле, а вендоры не могут этого обеспечить”. Из этой ситуации вендоры, по ее словам, не видят для себя выхода, у них нет стимула вкладываться в технологическое развитие, что для DLP-рынка означает невозможность достичь столь желаемые заказчиками снижение цены и простоту использования DLP.
Опыт компании “Трафика”, которая начала разработку своего продукта в 2009 г. как DLP-решения для среднего и малого бизнеса, расходится с опытом InfoWatch. Генеральный директор этой компании Владимир Денежкин заявляет: “С некоторыми из наших коллег по цеху — я даже не называю их конкурентами — мы вместе идем дорогой формирования рынка, перспективы которого позволяют нам всем весьма комфортно сосуществовать”. Изначально коробочный продукт “Трафики”, который был рассчитан на низкую ИТ- и ИБ-квалификацию его пользователей, за пару лет развития обзавелся новыми возможностями (в том числе интеграцией с внешними ИТ-продуктами), которые подняли его, по словам г-на Денежкина, на уровень DLP-решения для самых крупных заказчиков из сегмента среднего бизнеса.
Статистика утечек
Данные корпорации Symantec свидетельствуют о том, что происходящее с 2008 г. снижение количества утечек в нынешнем году, похоже, прервется. Так, в первой половине 2011 г. Symantec зафиксировала 506 утечек, в то время как за весь 2010-й их было зарегистрировано 557. Одновременно отмечается увеличение ущерба от каждой утечки.
Рост количества утечек эксперты связывают как с действующими в некоторых странах жесткими требованиями в обязательном порядке публично объявлять о произошедших течках, так и со слабой распространенностью DLP во многих регионах (например, в Европе, за исключением Великобритании).
В своих отчетах Symantec отмечает сравнительную равномерность утечек по основным каналам, таким как Интернет, мобильные устройства, корпоративная сеть. По мнению экспертов, это плохие новости для разработчиков DLP и их клиентов, поскольку означает, что защищать теперь нужно все эти каналы сразу, в то время как пару лет назад достаточно было сосредоточить усилия главным образом на утечках через электронную почту.
Самым распространенным сегодня видом теряемой через утечки информации, согласно данным Symantec, являются персональные данные (около 90%) — номера социального страхования, ФИО и даты рождения, учетные записи, медицинские данные. Основная часть данных утекает из коммерческих организаций — 48%. Если в прошлом году эксперты отмечали, что до 90% утечек происходит непреднамеренно из-за ошибок персонала, то теперь заметную часть составляют намеренные утечки. Это означает, что возросла нелояльность персонала по отношению к работодателям. Отмечается, что в бизнес-структурах процент намеренных утечек выше, чем в государственных учреждениях, что вряд ли можно объяснить их лучшей, чем у бизнеса, защищенностью.
Сложности внедрения и использования DLP
Специалисты считают, что примерно 30% защиты данных в системах DLP построено на технологиях, остальное — на правильном их обслуживании, включающем организационные меры, процессный подход к организации функционирования с обязательным анализом результатов и принятием мер по улучшению эффективности DLP-системы, обучение персонала.
Основную проблему защиты от утечек эксперты усматривают в том, что предприятиям и организациям сложно определить, какие именно данные им действительно нужно защищать — они испытывают затруднения с классификацией информации по разным уровням конфиденциальности. Эта же проблема служит главным препятствием для успешных внедрений DLP-систем. Утверждается, что даже в наиболее зрелых в области ИТ компаниях структурировано не более 20% данных — остальное представляет собой хаотическое нагромождение, с которым трудно управляться. При этом около 10% корпоративных данных постоянно изменяется, а 10% появляется вновь.
Генеральный директор компании SecurIT Алексей Раевский признает, что современная DLP-система — дорогое ИБ-средство и это заставляет заказчиков с особым тщанием искать экономического обоснования и окупаемости их внедрения.
Оценить эффективность эксплуатации DLP-систем в нынешних условиях сложно, прежде всего из-за нежелания пользователей систем раскрывать данные об утечках, а также потому, что объективно трудно вести учет утечек: если по журнальным записям DLP-системы легко обнаружить предотвращенные утечки, то определить состоявшиеся утечки можно лишь по комплексу косвенных признаков. Как правило, вендоры и интеграторы в качестве среднего показателя эффективности систем DLP указывают на 60—70% обнаруживаемых утечек.
В то же время на рынке, как считает г-жа Касперская, есть системы, которые можно настроить на эффективность, близкую к 100%. Однако их внедрение связано с особенно большими сложностями, а эксплуатация может вызвать, как она говорит, заражение компании тотальной конфиденциальностью, при которой работать с документами приходится постепенно освобождая их от изначально присвоенных меток конфиденциальности, что, по ее мнению, еще сложнее, чем постепенно присваивать их, как это делается при стандартном внедрении DLP.
Старший инженер компании Websence Петр Савич указывает на необходимость ввода критериев и метрик успеха использования DLP, для чего, как он полагает, можно все-таки обойтись и статистикой предотвращенных утечек. “Главное — вывести DLP на “порог доверия”, обеспечить автоматическое реагирование системы при его достижении в виде оговоренных активных воздействий на бизнес-процессы (например, их блокирование) и получать отчетность по инцидентам”, — сказал он. При этом обязательно нужно устранять ложные срабатывания, которые мешают вывести DLP на “порог доверия”.
Технический консультант по информационной безопасности Symantec в России и СНГ Олег Головенко считает, что для повышения эффективности защиты от утечек обязательно нужно комбинировать DLP-технологии, причем полностью исключить из работы системы человека, увы, на сегодняшний день невозможно.
Важным аспектом при внедрении и эксплуатации DLP-системы является соблюдение баланса интересов владельцев компании (имеющих и хранящих свои коммерческие секреты) и наемных работников (как граждан, обладающих закрепленными конституцией правами на тайну частной жизни).
Как утверждают эксперты, своевременное (до начала внедрения DLP) рассмотрение этой коллизии поможет предотвратить возможные конфликты и легализует использование системы. Компания, являясь собственником ИТ-оборудования, может устанавливать порядок его использования, а работники, согласно трудовому законодательству России, обязаны подчиняться правилам, установленным работодателем и официально доведенным до их сведения. Утверждается, что в этом случае согласие работников на контроль со стороны работодателя не является нарушением их прав на неприкосновенность личной жизни.
Партнер адвокатского бюро “Корельский, Ищук, Астафьев и партнеры” Константин Суворов обращает внимание на то, что достижению необходимого уровня легитимности использования DLP способствует ввод на предприятии режима коммерческой тайны, определение и формализация перечня лиц, имеющих доступ к коммерческой тайне, использование DLP-систем только в отношении лиц, имеющих к ней доступ, введение в правила внутреннего распорядка запрета на использование корпоративных ИТ в личных целях, уведомление работников, имеющих доступ к коммерческой тайне об использовании DLP-систем и получение их согласия на мониторинг.
“Консьюмеризация ИТ-ресурсов и широкое распространение социальных сетей не дают мне, как генеральному директору компании, психологических оснований ожидать, что мои сотрудники не будут этими возможностями пользоваться, в том числе и в личных интересах. Поэтому для компании, внедряющей DLP-систему важно помнить о том, что защита интересов бизнеса не должна нарушать права персонала, о том, что ее сотрудники не роботы и имеют свои человеческие привычки, отказываться от которых не будут и на работе”, — прокомментировал положение дел г-н Денежкин. В его компании была внедрена DLP собственной разработки, и результаты ее функционирования руководство стало отображать на доступных для всех сотрудников мониторах. “Постепенно те, кто злоупотреблял использованием корпоративных ИТ в личных целях, в том числе посещением социальных сетей, перестали это делать. Публичное в пределах компании использование DLP (на что такие системы изначально в общем-то не рассчитаны) помогло улучшить психологический климат в нашем коллективе”, — заключил он.
Позиционирование DLP-систем
Отталкиваясь от опыта компании SecurIT, г-н Раевский отметил, что функционал DLP могут использовать кадровые службы в своих программах по управлению лояльностью персонала и в борьбе с текучкой кадров, а также специалисты по управлению рисками для контроля соответствия требованиям государственных и отраслевых регуляторов.
Преодолеть непонимание заказчиками места и задач DLP-систем внутри компании, по мнению эксперта консалтингового агентства “Емельянников, Попова и партнеры” Михаила Емельянникова, можно правильно позиционируя эти системы. “Продать DLP-систему гораздо проще не под защиту от утечек вообще, а заточив ее на поиск, анализ и защиту от утечек данных конкретной категории, например содержащих коммерческую тайну, персональных данных, данных, контролируемых стандартом PSI DSS и т. п.”, — утверждает он.
Диверсификация функционала DLP позволила компании InfoWatch запустить облачную услугу KRIBRUM, предназначенную для анализа репутационных рисков. С помощью собственных технологий и инструментов партнеров по этой услуге InfoWatch отыскивает в Интернете необходимую информацию — о продуктах, брендах, персонах и т. п., дифференцирует ее по требуемым параметрам (авторство, география, позитивность или негативность высказываний и т. п.), определяет в результате информационный ландшафт вокруг наблюдаемого объекта. Услуга ориентирована на крупных клиентов; предполагается, что пользоваться ею будут как маркетинговые службы, так и корпоративные ИБ-подразделения.
Логичным является использование результатов эксплуатации DLP в судебных разбирательствах последствий утечек данных. Вместе с тем специалист по компьютерной криминалистике компании Group-IB Сергей Никитин напоминает, что для юридически значимого использования данных, собираемых системой DLP, важно правильно готовить и оформлять доказательную базу. В этих целях применяются специальные программные и технические устройства — криминалистические дубликаторы, аппаратные блокираторы записи, криминалистическое ПО и т. п., которые стоят дорого и иметь их в корпоративном арсенале на постоянной основе нерентабельно — логичнее обращаться непосредственно к специалистам управления “К” МВД РФ или к компаниям, на коммерческой основе оказывающим такого рода услуги. Как сообщил г-н Никитин, в практике Group IB пока еще не было расследований, построенных на данных из DLP-систем, хотя в ряде случаев, по его мнению, именно эти данные оказались бы более эффективными, нежели полученные для расследования с помощью других систем и технологий.
Как утверждает г-н Раевский, бизнесу от DLP нужна защита интеллектуальной собственности и информационных активов, снижение репутационных рисков, повышение рейтингов, доверия и лояльности клиентов, контроль соответствия законам и стандартам. Это, а также другие современные требования к ИТ и ИБ со стороны бизнеса, по мнению г-на Домажа, подталкивают ИТ- и ИБ-руководителей к переходу с уровня решения технологических задач на уровень ответственности за обеспечение бизнес-процессов, заставляют их через ИТ- и ИБ-риски осваивать управление рисками бизнеса.
Поскольку DLP, как полагает г-н Савич, является средством управления бизнес-процессами, близким по значимости и воздействию на бизнес к ERP-системам, то и заказчиком DLP-функционала должен быть именно бизнес, а не ИТ- или ИБ-отделы. Политика защиты данных должна определяться не ИБ-специалистами, а владельцами этих данных (как правило, это руководители отделов, которые знают, какие данные представляют ценность для компании и что нужно защищать от утечек). Именно владельцы данных являются самыми главными участниками процесса эксплуатации DLP, особенно в режиме блокирования утечек. Эксплуатировать DLP г-н Савич предлагает по проектной модели, причем в проектную команду кроме привычной группы технических специалистов необходимо включать группу контроля изменения бизнес-процессов, члены которой должны следить за изменениями в этих процессах и отражать эти изменения в функционировании DLP.
В то же время, делясь наблюдениями членов ассоциации профессионалов в области информационной безопасности RISSPA, ее вице-президент Евгений Климов констатирует: основными способами обоснования приобретения DLP-систем сегодня остаются технологический подход и ссылки на необходимость выполнять требования регуляторов, а попытки продать DLP-проект как поддерживающий основные бизнес-процессы и вносящий в них дополнительную ценность, весьма редки.