Журнал "Information Security/ Информационная безопасность" #1, 2018

Желание просто следить за своими сотрудниками таким примитивным спосо- бом, как непрерывный мони- торинг рабочей активности, не является достаточным для законного применения. Более того, практика непрерывного мониторинга даже под при- крытием таких аргументов, как желание тотально конт- ролировать использование корпоративной техники и каналов связи, выявлять неэффективных сотрудников и контролировать производи- тельность труда, опираясь на анализ использования про- грамм и запись снимков экранов, на самом деле не имеет ничего общего с зада- чей обеспечения информа- ционной безопасности, если говорить о защите организа- ции от утечки корпоративных данных. Но вот в силу отсут- ствия технического различия личного и служебного использования компьютеров, каналов передачи данных и собственно данных такие продукты действительно могут нарушать личные права граждан, будучи неспо- собными отделять личное от служебного в принципе. Для выявления правонарушений с помощью такого программно- го обеспечения обязательно требуется участие человека – администратора или сотруд- ника СБ, что автоматически означает получение ими допуска к сведениям о лич- ной жизни сотрудников и нарушение их прав. ков экрана, анализа запущен- ных приложений, записи кла- виатурного ввода и т.д. и поз- воляют впоследствии анали- зировать продуктивность рабо- ты за персональным компью- тером или, что особенно важно и действительно значимо, поз- воляют собрать дополнитель- ные доказательства по выявленному инциденту утечки данных ограниченного доступа. Тем не менее подчеркнем еще раз, что весь этот анализ и "мультфильмы" с картинками рабочего стола принципиально не способны остановить утечку данных по техническому кана- лу, а служат исключительно доказательной базой по уже свершившемуся факту утечки. При этом, как ни удивитель- но, аналогичный по сути подход реализован и в ряде продуктов, позиционируемых на россий- ском рынке как DLP. Фокус в развитии решений, по идее своей предназначенных для защиты информации от несанк- ционированной утечки, дела- ется на чем угодно, но не на предотвращении утечки, а на пассивном перехвате почты на уровне сервера (в лучшем слу- чае предлагается карантин), сниффинге трафика, анализе связей и построении различных отчетов, т.е., по сути, речь идет об использовании психологи- ческой защиты вместо техни- ческих мер предотвращения утечки. Не удивительно, что попытки продвижения многих российских DLP-продуктов на европейских рынках натыкают- ся на значительные сложности, и руководителям таких вендо- ров приходится пояснять, что, мол, "мы пытались объяснить, что DLP-системы следят не за сотрудниками, а за перемеще- нием информации. Но они не понимали…". Здесь нет ничего удивитель- ного. На развитых рынках дей- ствительно лидируют продукты, обеспечивающие реальную информационную безопасность и не нарушающие права сотрудников, а технологии пас- сивного мониторинга, и в осо- бенности посредством записи нажатий клавиатуры и снимков экрана, используются как вспо- могательные в целях проведе- ния расследований инциден- тов. Законный контроль Стоит отметить, что совре- менным средствам предотвра- щения утечек информации (DLP) нет необходимости использовать подобные "гру- бые" технологии, характерные скорее для вредоносных про- грамм, если, конечно, это по сути единственный или ключе- вой инструментарий такого "решения". Действительно решающие каноническую задачу борьбы с утечками дан- ных DLP-решения обладают полным набором контекстных контролей и механизмов кон- тентной фильтрации, а не слепо фиксируют события как возможные инциденты для последующего их разбора. При корректном задании DLP- политик возможен автомати- ческий контроль параметров окружения и содержимого файлов и данных, что дает службам ИБ возможность останавливать нежелательную передачу данных непосред- ственно в сам момент переда- чи этих данных. Кроме того, решения, кото- рые действительно относятся к классу DLP, способны функ- ционировать без участия чело- века, а значит анализируемая решением информация не ста- нет достоянием посторонних глаз, включая даже сотрудни- ков службы безопасности. Решение о запрете или разре- шении передачи информации, а также анализ содержимого передаваемых данных прини- мается DLP-системой на ком- пьютере сотрудника в пол- ностью автоматическом режи- ме, на основании заранее пред- определенных политик, где аналитический "прицел" кон- тентных фильтров установлен на корпоративную информа- цию. Как следствие, использо- вание таких DLP-решений принципиально не может нару- шать права сотрудников на личную и семейную тайну. И такой подход, между прочим, более чем работает на запад- ных рынках. Кстати, о технической сторо- не защиты от утечек данных через устройства и локальные интерфейсы… Многие реше- ния, продаваемые как DLP, до сих пор работают с интерфей- сом USB и подключаемыми через него на уровне Device Manager, просто отключая устройство на прикладном уровне или препятствуя старту драйвера устройства. Такая "защита" является не только откровенно слабой, но и потен- циально опасной, поскольку создает ложное ощущение обеспечения безопасности. Для пользователя отключение тако- го контроля – задача на несколько секунд, не требую- щая особой квалификации. Среди представленных на мировом рынке одним из луч- ших и единственным россий- ским решением класса End- point DLP, обладающим пол- ным функционалом, является DeviceLock DLP. Благодаря использованию DeviceLock DLP предотвращаются хище- ния информации внутренними нарушителями через съемные накопители, диски и другие подключаемые внешние устройства, а также канал печати, электронную почту, мессенджеры, файлообмен- ные сервисы и т.д. Кроме того, поддержка DeviceLock DLP событийного протоколирова- ния и теневого копирования обеспечивает юридическую документируемость и доказа- тельность попыток доступа и фактов копирования конкрет- ных данных. В этом году раз- работчик планирует выпустить новую версию DeviceLock DLP, в которую будут включены и технологии избирательного мониторинга деятельности сотрудников, поскольку, буду- чи частью полноценных DLP- решений, такие технологии могут послужить качественной доказательной базой в после- дующих расследованиях уже случившихся инцидентов без- опасности. l • 39 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 48 NM