Журнал "Information Security/ Информационная безопасность" #3, 2021

34 • СПЕЦПРОЕКТ DLP: взгляд со стороны заказчика Круглый стол Максим Сяглов, руководитель направления информационной безопасности НПО Петровакс Фарм Участники: Роман Ванерке, технический директор АО “ДиалогНаука” Алексей Дрозд, начальник отдела ИБ “СёрчИнформ” Дмитрий Горлянский, руководитель направления технического сопровождения продаж “Гарда Технологии” Александр Клевцов, глава направления InfoWatch Traffic Monitor Алексей Кубарев, руководитель группы развития бизнеса Центра продуктов Dozor компании “Ростелеком-Солар” Анна Попова, руководитель блока DLP Infosecurity Владимир Ульянов, руководитель аналитического центра Zecurion Давно и достаточно надежно в рос- сийских компаниях укоренились решения класса DLP. Каждый заказчик желает видеть в этой технологии решение своих индивидуальных проблем и бизнес- задач, и разработчики идут навстречу. Но разнообразие решаемых задач при- вело к тому, что отечественные DLP- решения обросли невероятным функ- ционалом, который, на взгляд практи- кующего безопасника, избыточен и даже вреден. Учитывая многообразие практик при- менения DLP-решений в российских ком- паниях, в настоящее время сложно согласиться с изначальной расшифров- кой Data Loss Prevention (предотвраще- ние утечек данных). Предотвращение утечек или расследования? В большинстве российских компаний системы DLP применяются по большей части для расследования инцидентов информационной безопасности. Но проблема в том, что такой подход предполагает свершившимся сам факт утечки информации. И офицер без- опасности либо вынужден превентивно прибегать к иным организационным мерам для снижения вероятности реа- лизации таких инцидентов, например заблаговременно ограничивать доступ к различным каналам передачи инфор- мации, либо вообще теряет возмож- ность отреагировать на инцидент в слу- чае, если нарушитель успел расторг- нуть трудовые отношения с работода- телем. Да и практика показывает, что при- влечение работника к административ- ной, а тем более уголовной ответствен- ности за нарушение режима коммерче- ской тайны для многих компаний являет- ся практически невыполнимой задачей. В компаниях с прозападным мышле- нием, наоборот, встраивают DLP "в раз- рыв", интегрируя их с совместимыми узлами информационной системы: это могут быть антиспам-системы, межсе- тевые экраны и др. Такой подход требует от офицера без- опасности, во-первых, грамотной настройки системы, концентрации вни- мания исключительно на чувствительных для компании данных, и для его реали- зации компания должна четко понимать, какие данные для нее имеют ключевую ценность. Во-вторых, требуется индиви- дуально и оперативно расследовать каж- дый инцидент, так как это напрямую влияет на бизнес-процессы компании и скорость принятия решений. Например, работник отправляет пись- мо контрагенту с вложением конфиден- циального характера. В DLP срабаты- вают настроенные на такой случай триг- геры, и система останавливает процесс отправки письма, оповещая офицера безопасности. Офицер в течение уста- новленного SLA проверяет инцидент и принимает решение о подстройке системы или дальнейшем расследова- нии инцидента. В таком случае инфор- мация не покинет периметр компании, а с виновым будет проведена необхо- димая работа. Но российские вендоры удивляются применению технологии в таком режиме, хотя он, казалось бы, заложен в самом названии! Может, стоит переименовать продукт в систему расследования утечек информации? Анна Попова, Infosecurity: Несмотря на существенную эволюцию в сторону аналитических возможностей и инстру- ментов для расследований, DLP все так же продолжают выполнять свою первоначальную функцию – контроль каналов передачи данных и защиту от утечек. Расследования подра- зумевают не только действие постфактум, но и разбор отчетов, анализ текущих событий и прочие собранные систе- мой данные. Например, технология поведенческого анализа UBA фиксирует действия, указывающие на отклонение в поведении. Кроме того, есть успешные кейсы, в которых дан- ные DLP-системы успешно применялись в ходе судебных разбирательств. Александр Клевцов, InfoWatch: Современная DLP – это и предотвращение утечек, и проактивное прогнозирование рисков, и сбор данных для расследования, и правильная пра- вовая база – без нее внедрение не имеет смысла. Так устроено в Traffic Monitor. Дискурс об избыточной функциональности возник из-за того, что некоторые вендоры "допиливали" DLP по просьбе заказчиков порой в неожиданную сторону, отсюда и сумбур, от которого страдают и сами вендоры, и репутация продуктов класса DLP. Владимир Ульянов, Zecurion: DLP-система должна уметь предотвращать утечки информации, это ее прямая обя- занность. Когда вендор советует своим заказчикам "пассивный" режим работы – это индикатор того, что возможности системы ограниченны по каналам предотвращения утечки, выдержи- ваемой нагрузке или другим критериям. Да, режим блокировки требует тщательной настройки, но это штатный режим работы для DLP, который позволяет не только расследовать инциденты, но и реально предотвращать утечки. Комментарии экспертов