Нетехнологічних проблеми захисту від витоків. Практика польового інженера

Мені недавно поставили запитання: «DLP-система – все ще модна іграшка або реальний інструмент?». І я розгубився. Ось молоток – це інструмент, зброю чи модний аксесуар? Якщо він гумовий, рожевий і розміром ключі від машини – швидше за все, це модний аксесуар. Якщо він в крові і до нього прилип жмут волосся – мабуть, він побував зброєю. Але у більшості інших випадків це все-таки інструмент.

Практика впровадження: очікування і реальність
Коли заходить розмова про випадки з практики впровадження та використання DLP-систем, часто очікують, що зараз буде кіно і німці. Розслідування, гонитва, доблесні співробітники СБ україни затримали зловмисника, а потім в суді його засудили до штрафу, звільнення і десяти років безперервної розстрілу. Ну або хоча б історію про те, як хакери за допомогою секретної технології все-таки обдурили доблесне СБ і зникли з викраденими даними. А потім продали їх за мільярд доларів і жили довго і щасливо на островах в теплому морі.
Однак на практиці я нічого такого не розказую. Тому що нічого такого зазвичай не буває. І це не тому, що секретність і замовники не дозволяють нам розповідати про витоках. А тому, що ніхто не в курсі, були взагалі витоку, чи ні. Це в банках весело: там банкомати розкривають, охоронні системи зламують, співробітників шантажують – чистий Голлівуд! А все тому, що це живі гроші, які легко рахувати.
А DLP – це не про гроші, а про дані. Зовсім інша історія. І розповіді про впровадження перетворюються в нудну епопею про те, як ми переконували службу ІБ, що їм це треба. Потім шантажували відповідальних осіб, щоб вони нам розповіли, що ж таке насправді в їх компанії захищається інформація і де її шукати. Потім пояснювали бухгалтерам і юристам, чому їм тепер не рекомендується носити КТ на флешці додому.
Тобто замість роботи інженера виходить робота детектива, психолога і бродячого проповідника.

Чому так виходить?
Звідки беруться такі труднощі? Здавалося б, ідею захищати свою власність, причому цінну (а часто, і критичну), повинні зустрічати з ентузіазмом. Але цього зазвичай не відбувається.
Причини цього явища я собі бачу приблизно такі:
  • неготовність ідеології;
  • неготовність інфраструктури;
  • невдалий маркетинг;
  • перфекціонізм.


Неготовність ідеології
Рівень розвитку ІТ та ІБ в компанії залежить від багатьох факторів. Від віку компанії, від наявності бюджету, від розмірів, від галузі, від політики керівництва. Але, так чи інакше, всі знаходяться на різному рівні.
І найперша, найсерйозніша проблема – це проблема зрілості в психологічному, ідеологічному плані. Якщо в компанії до конфіденційної інформації відносяться недбало, немає розуміння що це таке і навіщо її взагалі треба захищати – впровадження DLP-системи зустрінеться з величезними труднощами. Співробітник, який візьметься за таку задачу, зіткнеться з нерозумінням і несхваленням з боку керівництва і шаленим опором з боку користувачів.
І залишити таку ситуацію у спокої – навіщо рятувати людей проти їх волі? Але це виходить не завжди, тому що часто виникає ситуація – Верховне Керівництво за результатами інциденту в іншій компанії холдингу наказало впровадити, а на місцях до цього реально не готові.
Не готові психологічно: у людей немає розуміння, що інформація коштує грошей, і що її можна красти, і що часто інформація коштує набагато більше, ніж вантажівка алкогольної продукції або металопрокату.
Не готові організаційно – в компанії ніяк не регламентована процедура захисту конфіденційної інформації і навіть просто немає розуміння, яка інформація конфіденційна.
Не готові технічно – компанії б спочатку межсетевое екранування і резервне копіювання налагодити, парк хоч трішки оновити, щоб працівники не зовсім вже на друкарських машинках працювали.
І ось виходить, що наказ впровадити DLP-системи є, а готовності і можливості його виконати немає. Це складна ситуація і для компанії-замовника, і для компанії-інтегратора, а дозволяється вона часто впровадженням «муляжу» системи – в обмеженому обсязі, без реальних політик. Тобто купується масогабаритний макет системи за ціною оригіналу.

Неготовність інфраструктури
І, до речі, про друкарських машинках. Як правило, компанії в технологічному плані розвиваються по деякому природному шляху. Є найпростіші, найнеобхідніші і, як правило, найдешевші рішення. Їх впроваджують в першу чергу. Зрозуміло, що немає сенсу впроваджувати якісь складні системи виявлення цілеспрямованих атак, якщо в компанії толком не впроваджено межсетевое екранування, ні централізованого управління антивірусним ПЗ і не налаштоване резервне копіювання.
Перестрибнути через цей природний процес по ряду причин досить важко, а головне – нема чого. Таким чином, компанія повинна бути готова до впровадження того чи іншого рішення в галузі ІТ та ІБ, дозріти до нього. А DLP-системи знаходяться досить високо на цій еволюційної сходах, і дозріти до них зазвичай доводиться досить довго. Відповідно, багатьом компаніям DLP-система просто не потрібна на даному етапі. Тобто потрібна, звичайно, але у них є багато інших, більш актуальних завдань і більш простих, дешевих і потрібних рішень, які треба впровадити.

Невдалий маркетинг
Окрема біда – це маркетинг. Начебто, маркетинг повинен допомагати продавати, а на практиці часто все виходить навпаки.
Є така штука – Hype Cycle (цикл зрілості технологій з Gartner). Коротко її суть: кожна нова технологія проходить певний цикл розвитку. Технологія з'являється, розвивається, викликає інтерес, йде в продаж – і ось тут включається маркетинг. Реклама. Яка обіцяє, що система буде робити все, вирішить всі проблеми, а також буде приносити каву в ліжко і ще трохи ось цієї смачної спаржі під вершковим соусом. А технологія на цій стадії ще сира. І виходить великий розрив між очікуваннями та реальністю, що викликає сильне розчарування. Ну і поширюється думка, що технологія ця – обман, непотрібна іграшка і вимагання грошей.
І всі, технологія дискредитована. Потім, якщо пощастить, все-таки трапляється робота над помилками, адаптація, розвиток, технологія все-таки знаходить собі місце на ринку. Але це якщо пощастить.
Що стосується DLP, в Росії ми знаходимося на стадії, коли виробники оговтуються від наслідків недолугої і недобросовісної реклами, а продукти удосконалюються і стають гідними дорослими рішеннями. Технології, вітчизняні розробки в тому числі, зробили крок далеко вперед. Є можливість контролювати практично всі канали. Технології розпізнавання конфіденційних даних продовжують поліпшуватися. Але ось цей смак розчарування – «ми спробували/подивилися/шанували, і все це ваше DLP суцільний обман» – він все ще присутній.

Перфекціонізм
Перфекціонізм на практиці часто означає: «все або нічого». Тобто DLP-система повинна вміти і аудит, і блокування, і контролювати всі можливі канали, розпізнавати в тексті мова і картинки, розуміти, що намальовано на картинках якщо це не текст, і ще багато чудових речей. А ось якщо система чогось з цього не вміє – то і зв'язуватися з нею не варто.
Бажання отримати все оптом зрозуміло. Але, по-перше, не буває систем, які вміють все. Можливо, в майбутньому вони з'являться, і нові системи будуть змагатися не стільки в кількості можливостей, скільки в якості їх реалізації. Але поки ідеальних систем немає. По-друге, система, яка може багато чого – багато коштує. Варіанти «можу все за три копійки» теж поки немає.
Ну і ще один наслідок маркетингу – чомусь вважається, що досить DLP встановити систему, і вона відразу, з коробки, знайде всіх зловмисників і запобіжить все витоку. Причому повністю самостійно. Що, звичайно ж, далеко від дійсності. Зворотна сторона складної всеохоплюючої системи – значущі робота по впровадженню, а головне, з обслуговування.
Так що вибирати треба не всемогутню систему, а таку, яка буде вирішувати саме актуальні проблеми за ті гроші, які коштує вирішення цих проблем.

Ну що, граємо?
Так що основну складність у впровадженні DLP-систем (і одну з головних причин такого великого числа витоків) я бачу в тому, що багато компаній ще не готові захищати свою інформацію. Хтось технічно, хтось організаційно, але більшість – ідеологічно.
А кількість і обсяги витоків ростуть. Причому 2/3 витоків за статистикою припадає саме на частку внутрішніх порушників, тобто однозначно відносяться до сфери дії DLP-систем. Так, можна продовжувати сподіватися, що «ця історія не про нас, і ми нікому не цікаві». Можна продовжувати ставитися до того, що хто звільнюються менеджери несуть із собою бази, як до звичного злу і відразу закладати ці збитки в бюджет. Інша справа, що на дворі криза, і є думка, що спонсорувати злодіїв і несунів – недозволена розкіш.
Але є зворотні ситуації. Компанії з невеликим бюджетом на ІБ впроваджують у себе окремі модулі DLP-систем, якісь окремі механізми – щоб боротися саме з тими загрозами, боротьба з якими є пріоритетною. Не ганяючись за маркетинговими примарами, не відвертаючись від загроз, ставлячи перед собою реальні цілі і досягає їх.
Є DLP-система модною іграшкою або інструментом – питання відносини. Якщо ставитися до неї як іграшці – вийде іграшка. А якщо як до інструменту – з нею цілком можна вирішувати поставлені завдання і досягати намічених результатів.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.