Специфика проектов внутренней информационной безопасности
Проекты создания комплексной защиты от внутренних угроз имеют ряд особенностей, отличающих их от проектов информационной безопасности в целом. Прежде чем переходить к практике защиты информации от утечек по электронным каналам, стоит немного остановиться на теории.
Как показывает практика InfoWatch, в таких проектах довольно велика организационная часть — много больше, чем, например, в традиционных для информационной безопасности проектах антивирусной защиты или контроля доступа к информации и защиты хранимой и передаваемой информации с помощью шифрования. Прежде всего приходится гораздо глубже, чем обычно, вникать в бизнес-процессы компании, чтобы понять не только то, кому к какой информации можно давать доступ, но и как распоряжаться этим доступом. В случае систем DLP модель нарушителя и прогноз его действий нужно строить более детально. Гораздо сложнее и организовать систему активной защиты, т. е. блокирования угрозы, не нарушая при этом привычную для компании работу с информацией.
Практика также показывает, что службы безопасности не готовы работать с конкретным нарушителем. В отличие от большинства других систем защиты информации нарушителем будет не вирус, ботнет или абстрактный хакер, а конкретный сотрудник компании, и офицеру безопасности придется не только локализовать угрозу, но и предпринимать какие-то действия в отношении этого нарушителя. Понятно, что такие действия должны находиться в рамках правового поля, а для этого нужно провести не только установку и настройку ПО, но и большую организационную работу.
Подробное описание организационной части проектов выходит за рамки этой статьи, поэтому просто перечислим ее компоненты. Во-первых, нужно провести аудит всей конфиденциальной информации на предмет того, как и где она рождается; кем, как и где изменяется; кем, как и где архивируется в информационной системе компании. Во-вторых, следует защитить эту информацию организационно, приняв соответствующие внутренние документы: «Положение об обращении с конфиденциальной информацией», «Положение о коммерческой тайне» и т. п. В-третьих — легитимизировать комплексную систему защиты информации, т. е. проинформировать сотрудников о том, что такая система есть, объяснить, что именно она делает, а также указать, что сотрудник может делать с информацией, а на что не имеет права. И последнее — нужно уметь организационно и технически правильно привязывать личность нарушителя к его «электронной копии» (IP-адресу, учетной записи, адресу электронной почты). Все четыре компонента важны для легитимного использования результатов: первые два — для фиксации объекта кражи, вторые два — для возможности использования доказательств в суде. Автору известны случаи, когда похититель, даже схваченный с поличным, уходил от ответственности, так как информация не была проведена приказом как конфиденциальная, а следовательно, формально не представляла ценности. В другом случае работодатель смог представить в суд только электронные копии журналов Интернет-сессии, которые не были приняты судом в качестве доказательств.
Еще одной важной особенностью проекта внедрения систем защиты от утечки информации можно считать отсутствие исключительно технического средства защиты. Как бы ни рекламировали себя производители технических решений, решение проблемы во многом лежит вне технической сферы. В этом случае мало просто купить продукт.
И последняя особенность таких проектов — отсутствие опыта внедрения и использования аналогичных систем. Большинство решений, относящихся к этому типу, внедряются впервые, на рынке недостаточно специалистов и консультантов в данной области. Большинство компаний последовательно наступают на одни и те же грабли. Следует отметить, что спрос на специалистов по реализации таких проектов сегодня особенно велик в банках: иметь такие системы требуют сразу несколько регуляторов (Стандарт информационной безопасности Банка России, PCI DSS, ФЗ«О персональных данных» и т. д.).
Предыстория рынка DLP
Большинство проектов защиты от внутренних угроз начинались как «продуктовые», т. е. в них ставилась задача покупки некоторого ПО, имеющего в качестве одной из функций возможность противостоять утечкам информации изнутри информационной системы. Подавляющее большинство этих продуктов — средства мониторинга и защиты электронной почты. Такие системы приобретались в 2000–2003 гг., и есть компании, где они до сих пор честно несут свою службу. Стоит отметить, что эти решения изначально проектировались как «канальные» (иногда используют термин «шлюзовые»), т. е. имеющие целью защитить конкретный канал, чаще всего — электронную почту. Соответственно такое решение реализовало еще несколько функций информационной безопасности для конкретного канала — почтовый антивирус, защиту от спама, фильтры на картинки и видео непристойного содержания, почтовый архив и т. д. Никто из производителей таких систем — и тем более пользователей — до 2004 г. не рассматривал эти системы как элемент защиты от утечек.
Традиционно считается, что импульс к выделению таких систем в отдельный класс дало принятие в 2002 г. американского закона SOX (Sarbanes-Oxley Act, закон Сарбэйнса — Оксли). Однако, по мнению автора, таким толчком послужило принятие в то же самое время целого ряда американских отраслевых стандартов, обязывающих компании публично раскрывать масштаб утечек информации и ее причину. Именно анализируя открывшуюся информацию, специалисты InfoWatch пришли к выводу, что основные потери информации идут не извне, а изнутри. Западные и российские исследования последних лет показали, что большинство компаний готовы приобретать продукты, защищающие их от внутренних угроз.
Производители канальных решений, не изменив ни байта кода, стали делать особый акцент на свойствах своих продуктов, позволяющих бороться с внутренними угрозами (прежде всего это сигнатурная контентная фильтрация и тотальное архивирование электронной почты). На тот момент это решало проблемы непрофессиональных утечек или утечек по неосторожности. Надо учитывать, что других решений тогда не было, а эти как минимум не позволяли просто взять и отправить по электронной почте конфиденциальный документ, содержащий «ключевые» слова: «секретно», «конфиденциально», «ДСП» и т. д.
В то же время по всему миру появились десятки новых начинающих компаний, разрабатывающих специализированные решения с соответствующей архитектурой (см. рисунок). Автор знаком с пятью десятками решений в этой области, использующих разнообразные технологии — от фильтрации по ключевым словам до замкнутых систем защищенного документооборота. Из них в России присутствует не более десятка, а имеющих хотя бы дюжину внедрений, т. е. вышедших за пределы «платных пилотных проектов», — и того меньше.