Отечественный рынок DLP (Data Leak Prevention) переживает сегодня принципиальные изменения, связанные с поиском новых ниш применения, ради вхождения в которые разработчики расширяют функционал своих систем, заступая в функциональные области, ранее DLP не свойственные. К этому вендоров подвигают не только обостряющаяся конкуренция, но и заказчики, которые, случается, хотят видеть в DLP централизованный узел корпоративного комплекса защиты информации, выполняющий в том числе и нехарактерные для классических DLP-систем функции, например управление доступом к ИКТ-ресурсам.
Состояние рынка
Компания Gartner оценила мировой рынок DLP на конец 2014 г. в 643 млн. долл. По мнению руководителя аналитического центра Zecurion Владимира Ульянова, объективной является оценка объема российского рынка примерно в
По оценкам Владимира Ульянова, за последние пять лет наибольший рост российский рынок DLP продемонстрировал в
Исполнительный директор компании InfoWatch Всеволод Иванов тоже отмечает замедление роста объема рынка DLP на протяжении последних трех лет. За прошлый год, по его оценкам, рынок вырос не более чем на 25% и сегодня составляет
Согласно данным руководителя направления DLP Центра информационной безопасности компании «Инфосистемы Джет» Михаила Аношина, в 2012 и 2013 гг. российский рынок DLP рос на 30‒35% в год, а в
Как видим, качественные и количественные оценки объема и динамики российского рынка DLP из разных источников неплохо совпадают.
Важно отметить, что по мнению Всеволода Иванова в нынешнем году можно ожидать перераспределения долей российского рынка между DLP-вендорами в пользу отечественных.
Заказчики: зрелось и запросы
Можно констатировать, что сегмент крупных заказчиков в России перенасыщен предложениями и о первичных внедрениях DLP там говорить не приходится — реализуемые в этом сегменте проекты связаны с заменой систем, а порой и с параллельным развертыванием решений другого вендора.
Что же касается сегмента среднего и тем более малого бизнеса, то для него приемлемого баланса по функциональности и стоимости DLP-продуктов вендорам достичь пока не удается. Вместо активизации поисков в этом направлении российские разработчики с большей охотой идут осваивать иностранные рынки, в первую очередь азиатские.
Михаил Аношин утверждает, что сегодня заказчики, как правило, хотят получить сразу максимальный объем DLP-функционала, а некоторые даже готовы выходить за рамки традиционного использования DLP в сторону физической, экономической и кадровой безопасности, и внедренцам приходится акцентировать их внимание на первичных, наиболее важных задачах, с тем чтобы объем первого этапа проекта DLP оказался подъемным по затратам, как финансовым, так и людским.
Владимир Ульянов отмечает большой разброс в зрелости заявок на покупку и технических заданий на внедрение, составляемых российскими заказчиками. Помимо заказчиков с опытом эксплуатации DLP или квалифицированным персоналом, требования которых вполне конкретны, немало встречается таких, кто только присматривается к DLP-системам на волне общего к ним интереса.
Этих последних прежде всего волнуют цены предлагаемых им решений, а не вопрос, движение какой информации им нужно контролировать, по каким каналам в первую очередь и сколько ресурсов (в том числе и человеческих) на это потребуется. Нередко у них не разработаны политики безопасности, не классифицированы корпоративные данные, не подготовлены юридические основания для внедрения DLP. В этом случае окончательное видение проекта формируется лишь спустя некоторое время после начала, и всем его участникам следует настраиваться на долгую работу, в ходе которой предстоит выполнить тонкую настройку DLP-системы и ее тесную интеграцию в существующие бизнес-процессы.
Причины незрелого подхода к проектам DLP в сегменте СМБ руководитель департамента внедрения DLP компании «МФИ Софт» Дмитрий Горлянский видит в дефиците квалифицированных ИБ-специалистов, в низкой ИБ-культуре в большинстве компаний и как следствие в упомянутом выше размывании представлений о назначении DLP-систем. В этом случае выручают пилотные проекты в инфраструктуре заказчиков и организация демозон, которые уже стали для вендоров обязательным атрибутом внедрения DLP.
В то же время Михаил Аношин считает, что все больше заказчиков DLP обращает внимание на процесс получения и обработки выдаваемых системой результатов, на простоту управления (в целях максимально быстрого получения результата), на наглядную и понятную юристам, кадровой службе, персоналу других бизнес-подразделений отчетность для использования в своих целях, что свидетельствует о росте корпоративной ИБ-куртуры в российских компаниях.
Владимир Ульянов свидетельствует о потребности со стороны заказчиков в легитимизации использования DLP. По его мнению приходит понимание того, что слежка за пользователями — какие социальные сети они посещают, сколько времени на их компьютерах открыт тот или иной документ и т. п. — это не то же самое, что борьба с утечками.
Всеволод Иванов со своей стороны отмечает, что заказчики большое внимание уделяют расследованию инцидентов с помощью данных, полученных от DLP, и сбору доказательной базы для представления в суде (так называемый post-DLP); на счету компании InfoWatch, добавляет он, уже несколько процессов, которые ее заказчики выиграли против сотрудников, нарушивших режим коммерческой тайны, установленный на предприятиях заказчиков.
Большой интерес проявляют заказчики, по мнению Дмитрия Горлянского, к возможности DLP-контроля облачных хранилищ данных и доступа к веб-сервисам.
Эксперты указывают на смещение спроса в сторону комплексных решений, способных решить задачу утечки чувствительных данных в целом, а не отдельные частные задачи, такие, например, как блокировка флэш-накопителей или контроль архива переписки по электронной почте.
Как показывает практика, много утечек происходит из-за утери носителей информации — флэш-накопителей, жёстких дисков, ноутбуков. Поэтому всё больше заказчиков интересуются функциями принудительного шифрования заданных видов данных, встроенными в DLP-продукты.
По словам Владимира Ульянова, нередки случаи, когда новые функции в системах DLP появляются по запросу конкретных заказчиков. Вендоры делают новинки доступными и для других заказчиков, однако они далеко не всем оказываются нужны в силу специфики бизнес-процессов, размера компании, отрасли, в которой она работает.
Желание предотвращать утечки, а не только детектировать их постфактум, по-прежнему натыкается на недопустимо высокую вероятность ложных срабатываний. Поэтому до сих пор DLP-системы в массе своей используются в пассивном режиме.
Разработчики: тренды развития DLP
По мнению Михаила Аношина базовые технологии DLP в настоящее время доведены практически до совершенства и разработчики сосредоточились на повышении удобства использования инструментария DLP-систем и их автоматизации, наделении своих систем искусственным интеллектом, который позволяет повышать автономность функционирования DLP и снижать влияние человеческого фактора.
Тем не менее новые форматы данных, новые ИКТ-сервисы, новые протоколы и каналы передачи заставляют DLP-вендоров расширять функциональные возможности своих продуктов и в этом направлении. Вместе с тем актуальными, но до сих пор не решенными остаются задачи контроля голосового и видеотрафиков: качество распознавания для этого вида данных пока еще остается ниже приемлемого уровня, а сам процесс распознавания данных в этом случае требует значительных вычислительных ресурсов.
Отвечая на запросы заказчиков, для выявления чувствительной (в представлении конкретного заказчика) информации ведущие разработчики реализуют в своих DLP-продуктах гибридный анализ, построенный на объединении максимально возможного количества технологий обнаружения данных.
Планшеты и смартфоны всё чаще используются как полноценные средства коммуникации и обработки информации в бизнес-среде. Поэтому на ближайшие годы защита мобильных устройств остается в числе приоритетов и у заказчиков, и у разработчиков.
Главный тренд Всеволод Иванов усматривает сегодня в том, что DLP-функциональность в классическом представлении о защите от утечек данных становится лишь частью корпоративной защиты от внутренних угроз. Он обращает внимание на то, что существует большое количество угроз, которые непосредственно с утечками информации никак не связаны, — мошенничество, сговоры, воровство, коррупция, саботаж, использование рабочего времени в личных целях. Ни в одном из этих случаев, как подчеркивает Всеволод Иванов, классическая DLP-система не может выявить инцидент. Поэтому разработчики наиболее передовых DLP-систем расширили функциональность до комплексной защиты от внутренних угроз, и, по его мнению, есть основания полагать, что эта тенденция усилится.
Для выявления некоторых инцидентов необходима статистика по большим информационным объемам, да и в целом количество данных, собираемых DLP-системами, существенно увеличилось. Поэтому одним из направлений развития DLP-систем, как указывает Дмитрий Горлянский, сегодня стала организация хранения информации для DLP.
Современная DLP-система должна предоставлять возможность хранить длительное время весь объем информации, проходящей через нее, а также (что еще важнее) обеспечивать работу с этими данными. Поэтому в системы DLP включают современные технологии обработки информации, существенно расширяющие аналитические возможности систем.
Разработчики расширяют взаимодействие DLP с другими компонентами ИКТ-инфраструктуры. К новым технологическим трендам эксперты относят поддержку работы в виртуальных и облачных средах, анализа больших данных, поведенческого анализа.