Самые частые вопросы про применение DLP

02.12.2020

Вернуться к списку статей

Ведущий аналитик «СёрчИнформ» Леонид Чуриков объехал 23 города (11 – буквально, а оставшиеся 12 – виртуально) в рамках серии ИБ-конференций и собрал вопросы, которые больше всего интересуют сообщество.

– Конференции Road Show SearchInform проводятся уже 10 лет. Каждый год темы и вопросы от аудитории наиболее точно отражают актуальную повестку. В этом году это, конечно, удаленка. Но есть вопросы, которые волнуют ИБ-специалистов всегда, я слышал их в большинстве из 23 городов и в этом году. Решил собрать ответы в одну статью. Все вопросы можно разделить на четыре темы: экономические, юридические, кадровые и технические.  

Экономические вопросы

Вопрос окупаемости системы всегда один из ключевых для тех, кто планирует внедрять DLP. Самим ИБ-специалистам не нужно объяснять, зачем автоматизировать свою работу с помощью специального софта. Но как объяснить бизнесу необходимость использования DLP? Традиционный подход компании «СёрчИнформ» подразумевает, что аргументы «за» появляются уже в результате тестового использования DLP. По практике наших аналитиков отдела аутсорсинга, за первые три часа работы DLP уже обнаруживаются инциденты. А по словам клиентов, часто это настолько критичные нарушения, что система окупается за месяц.

Стоимость инцидента варьируется от компании к компании, но вот со статистикой о вероятности инцидентов не поспоришь. Из года в год цифры по разным отраслям примерно одинаковы: с утечками сталкивается около 60%, с откатами треть, с промышленным шпионажем около 25%, с боковиками 11% компаний.  

Еще проще, чем статистика, на вопрос об экономическом эффекте отвечают опытные пользователи, присутствовавшие на Road Show. «Сколько у вас сотрудников в отделе закупок?» – интересовались «бывалые» у тех, кто еще не обзавелся DLP. – «Десять? Минимум один из них имеет свою корысть. А скорее всего – больше».

Попробовать бесплатно продукты «СёрчИнформ»

 

Юридические вопросы 

Законно ли использование DLP? Это вопрос-хит, который задают каждый год. И в нынешнем он звучал практически во всех городах, где проходит Road Show. Ответ традиционен – применение системы защиты от утечек и других ИБ-инцидентов законно, но нужно соблюсти необходимые процедуры при внедрении IT-решения.

В этом году начали активно интересоваться и другой юридической темой – как грамотно доводить дела о злостных нарушениях инсайдеров до суда. Здесь важно соблюсти все необходимые регламенты расследования инцидента (от его фиксации, создания комиссии по расследованию, сбора объяснительных с нарушителя до документирования доказательств). Обо всех шагах можно прочитать в памятке, которую мы предоставляем своим партнерам по запросу. Если регламент соблюден, доказательства из DLP собраны и описаны, суд принимает их.

Компании из Перми интересовались, не являются ли биометрией (со всеми вытекающими последствиями) видеозаписи и снимки сидящих перед компьютером сотрудников. Ответ – нет, система делает снимок человека, но не идентифицирует его по базе биометрических данных. 

Похожий вопрос звучал и про использование программы для профилирования ProfileCenter: не является ли создаваемый системой психологический портрет пользователя медицинской характеристикой? Если так, это налагало бы на оператора этих персданных повышенные требования. Ответ снова – нет: медицинское сообщество и регуляторы не считают психологический портрет медицинскими данными.

В странах постсоветского пространства поднимался вопрос о сертификации DLP по стандартам, аналогичным ФСТЭК. Политика разработчика в этом плане остается неизменной. Если в стране присутствия есть регламенты, предписывающие наличие у DLP-системы подобного сертификата, компания проходит сертификацию. Другое дело, что не во всех странах есть единые требования. В таких ситуациях ориентируемся на условия конкретного проекта. 

Технические вопросы

Может ли DLP контролировать смартфоны? Теоретически – да, но на практике это пока нерешенный вопрос. Это сложно со всех точек зрения: законности, технического функционала, полноценности контроля, стоимости. Во-первых, обеспечить легитимное использование мер контроля на телефонах – сложная задача. Работодатель может предложить сотрудникам подписать соглашения. Но т.к. контроль за использованием мобильных устройств всегда касается приватного пространства сотрудника, коллектив может не пойти навстречу. Вопрос полноценности контроля проиллюстрирую на примере – смартфон требует регулярного обновления операционной системы и всех приложений. Чтобы сохранить функционал, DLP тоже должна постоянно обновляться и переустанавливаться. А это создает проблемы и для компании, и для пользователя. Поэтому заказчики как правило применяют комплекс технических и административных мер, которые позволяют обеспечить контроль. В зависимости от сферы это может быть и полный запрет на использование гаджетов на работе, и применение MDM/EMM-решений, и установка камер видеонаблюдения в кабинетах. DLP-системы в рамках этого комплексного подхода применяются, чтобы максимально усложнить задачу кражи информации. Программа хорошо закрывает возможность слива информации с компьютера на телефон по всем каналам, остается только ситуация, когда экран монитора банально фотографируют. 

А как защититься от фотографирования экрана? Этот вопрос тоже часто следует. Пока помогают бороться только меры т.н. «социального давления»: видеонаблюдение в кабинетах, устранение ситуаций, когда сотрудник оказывается в кабинете один и т.п. Технических средств на рынке, увы, пока нет. Экзотические варианты типа пленок на экраны и лампочек для засветки изображения, как только смартфон наведен на экран, не показали эффективности. В первую очередь, потому что нет систем четкого распознавания и мгновенного реагирования на такого рода инциденты.

Вопрос «Когда функционал DLP для Linux сравняется с тем, что доступен под Windows?» тоже всегда звучит в зале. Импортозамещение идет, и число компаний, работающих на российских операционках, растет. Никаких точных сроков мы как вендор заявить не можем, так как не работаем в отрыве от заказчиков. Чем больше от них запросов – тем быстрее развивается функционал решений. Нынешний уже отвечает потребностям большинства наших заказчиков, но процесс развития не прекращается. 

Из последних обновлений: линусковым агентам DLP-системы добавили keylogger, стал доступен функционал MonitorController – просмотр и запись экранов ПК, захват всех запущенных процессов, возможность делать скриншоты и видео экранов по расписанию, при определенном событии или в онлайн-режиме.

Кадровые вопросы

И у столичных, и у региональных компаний наблюдается кадровый голод. Руководители соответствующих подразделений хотят знать, где брать хороших ИБ-специалистов. Проблема острая: в компаниях сообщают, что им не хватает «рук», а брать специалистов неоткуда – на 1 вакансию приходится только 2 резюме. Это по данным hh.ru считается острым дефицитом, и неизбежно будет приводить к повышению спроса на помощь со стороны от внешних специалистов. Еще пару лет назад ИБ-аутсорсинг внутренней безопасности считался делом невозможным, теперь отношение к нему стремительно меняется. Массовая удаленка только усилила тенденцию.

Когда речь заходит про функционал ProfileCenter, всегда возникает вопрос, нужны ли специальные знания, чтобы работать с программой. Мы считаем, что они будут очень полезны, профессиональная переподготовка позволит глубже изучить информацию о сотрудниках. Но и без специальных знаний программа не будет простаивать. ProfileCenter создавался для широкого круга пользователей, система имеет интуитивно понятный интерфейс, а данные сопровождаются пояснениями и рекомендациями. Они будут понятны как специалистам отдела ИБ, так и кадровой службы, отделу экономической безопасности и др.

Такими были вопросы в этом году. Если у вас есть другие – напишите нам. Нужно больше полезной информации по инфобезу? Ищите здесь.


ИБ-практика Леонид Чуриков


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними