Журнал "Information Security/ Информационная безопасность" #3, 2019

Елена Нагорная – DLP-решения должны не защищать, а нивели- ровать риски утечки за пределы контролируе- мой зоны значимой для компании информации. Такая утечка может быть намеренной и ненамеренной. Практика показывает, что большая часть ставших известными утечек происходит не по злому умыслу, а из-за ошибок, невнима- тельности, небрежности работников. Алексей Плешков – К сожалению, DLP как отдельное средство защиты уже на протя- жении многих лет не используется. Связано это прежде всего с невозможностью управ- лять ошибками первого и второго рода в работе DLP. Сейчас DLP функциони- рует скорее как средство контроля пост- фактум онлайн-инцидентов информа- ционной безопасности. Активная блоки- рующая функция DLP уступает место инструментам сигнальной функции о возможной утечке и/или функциям актив- ного уведомления о наступлении собы- тий с признаками инцидентов ИБ. Константин Саматов – Если говорить именно о DLP-системах, то они должны защищать от утечек конфиденци- альной информации за периметр организации, как случайных, так и умышленных. Анатолий Скородумов – Безусловно, хочется иметь DLP-систему, кото- рая защищала бы от всего спектра возможных угроз утечек данных по всем доступным в настоящее время кана- лам. Но такой панацеи на рынке средств информационной безопасности нет. На данный момент DLP-системы неплохо справляются с защитой от утеч- ки значимой информации из-за неумыш- ленных действий пользователей (отпра- вил файл себе на личную почту, чтобы с ним поработать дома; отправил, не поду- мав, информацию контрагенту через Интернет в незащищенном виде; ответил по почте на запрос клиента, приложив клиентские данные, и т.п.). В ряде случаев DLP-система может помочь выявить умышленный "слив" дан- ных, но зачастую утечка происходит по причине низкой квалификации работника, осуществляющего эти действия. Поймать квалифицированного специалиста, копи- рующего себе информацию, вряд ли удастся исключительно средствами DLP- системы. Для этого необходим целый спектр механизмов защиты и организа- ционно-технических мероприятий. – Анализ событий и инцидентов в архиве vs противодействие утечкам: что важнее, полезнее, эффективнее? Роман Ванерке – Эти два подхода ско- рее дополняют друг друга, т.к. позволяют решить разные задачи. В первом случае за счет наличия истории: воз- можность постфактум выявить источник утечки, какие еще данные могли быть переданы, с какими лицами было взаимодействие, как оно было осуществлено и т.д. Во втором случае – обеспечение защиты, пред- отвращая или заметно усложняя пере- дачу конфиденциальных данных в момент передачи. По сути, это как противокражное оборудование и система видеонаблюдения в магазине. Противо- кражное оборудование иногда ошиба- ется, "пищит", когда не нужно, или, наоборот, если снять метку, будет мол- чать, но в целом никто не сомневается в эффективности обеих мер. Сергей Вахонин – Любой инструмента- рий в DLP-системах, даже вспомогательный, приносит пользу, если в итоге он направлен на противодействие утеч- кам данных. Противо- действие утечкам, да еще и с возмож- ностью инспекции содержимого пере- даваемых данных в момент их передачи (контентная фильтрация в реальном вре- мени) – безусловно, наиболее эффек- тивная функция для решения задачи "не допустить утечку данных". Для ана- лиза рисков и выявления потенциальных злоумышленников важно иметь разви- тый аналитический инструментарий ана- лиза архива событий и теневых копий, причем с широкого спектра каналов передачи данных. Все функции важны, все функции значимы. Дмитрий Кандыбович – Блокировки по контен- ту не работают из-за ложных срабатываний. Требуется большой штат сотрудников, которые будут в режиме реаль- ного времени их обра- батывать. Бизнес такую систему выпилит за два инцидента, после того как прибе- жит коммерческий директор и скажет, что письмо не ушло из-за ложного сра- батывания и компания потеряла деньги. Для СБ факт отправки сотрудником письма с секретным документом не показателен. Доказать умысел невоз- можно. Нужно, чтобы инцидент произо- шел, чтобы офицер службы безопасно- сти был оповещен и собрал доказатель- ную базу, которую признают в суде, и чтобы можно было остановить человека с флешкой на проходной. Если есть полноценный лог, по которому можно найти первоисточник, кусок документа, событие, кто был в него вовлечен, как оно развивалось, – это гораздо ценнее. Александр Ковалёв – Эффективнее соеди- нить оба подхода и бло- кировать наиболее опас- ные активности. При этом многие нарушения персонала, связанные с данными или информа- ционными активами организации, могут и не превратиться в утечку, например внутренняя переписка, обсуждение каких-то противозаконных планов в Web- версии Telegram или обмен персональ- ными данными конкретного сотрудника. Однако DLP может обнаружить все цепочки связей и стать Push-системой для поиска более значимых нарушений или вредящих организации активностей, например внутреннего саботажа, кражи денег или махинаций с картами клиен- тов. Алексей Кубарев – Если говорить о рос- сийских DLP-решениях, то вопрос противопо- ставления здесь не стоит. Как правило, системы защиты от уте- чек, имеющие развитые средства блокировки на основе кон- тентного анализа, имеют и зрелый архив, развитые средства поиска и аналитику. Для некоторых компаний ввиду специ- фики их деятельности вполне имеет смысл использовать поиск в архиве 32 • СПЕЦПРОЕКТ Партнер "Круглого стола" www.rt-solar.ru