Две стратегии борьбы с утечками информации
Говоря об информационной безопасности, в наши дни специалисты чаще всего имеют в виду борьбу с утечками информации. Хотя, безусловно, термин «информационная безопасность» куда более ёмкий, и включает в себя множество других аспектов, нельзя не признать, что именно борьба с утечками информации – самый трудоемкий из них. Средства защиты от утечек информации (DLP-системы), нередко в результате разнообразных сбоев или ложных срабатываний становятся причинами блокировки корпоративного трафика, что, по сути, равносильно блокировки работы всей организации. Именно поэтому необходимо учитывать специфику защищаемой информации и бизнес-процессов организации при выборе DLP-системы.
В настоящее время все существующие DLP-системы принято делить на два больших класса: на системы с активным контролем действий пользователя и системы с пассивным контролем. Другое название, которые также можно встретить – это блокирующие DLP-системы и неблокирующие. Последние два термина гораздо лучше отражают суть различий между этими двумя видами систем: первые обладают возможностью блокировать дальнейшее перемещение информации, которая показалась им подозрительной, вторые же этой возможности лишены.
Может показаться, что DLP-системы с пассивным контролем пользователей вовсе не соответствуют высокому званию DLP-систем, поскольку очевидно, что такая система не может в прямом смысле предотвратить утечку конкретного документа. Тем не менее, несмотря на отсутствие такой достаточно важной функциональности, неблокирующие DLP-системы также способствуют борьбе с утечками конфиденциальных данных, только несколько иным образом. Если системы с активным контролем нацелены именно на выявление и последующую блокировку в общем потоке данных всего того, что похоже на конфиденциальные данные, то системы с пассивным контролем предназначены в большей степени для выявления инсайдеров – сотрудников, целенаправленно организующих утечки корпоративной информации.
Очевидно, что каждый из этих классов DLP-систем имеет ряд своих преимуществ и недостатков. Главный недостаток систем с пассивным контролем – невозможность блокировки передаваемой информации – является одновременно и главным преимуществом, как только речь заходит о непрерывности бизнес-процессов. Если блокирующей DLP-системе под силу парализовать работу не только отдельных сотрудников, но и целых подразделений, а в особенно масштабных случаях и всей компании, то неблокирующая система по своей природе никогда не сможет сделать ничего подобного.
Еще одним важным моментом является простота внедрения и эксплуатации систем с пассивным контролем, которая, в конечном итоге, выливается в стоимость этих мероприятий. Системы с активным контролем действий пользователей при своем внедрении нередко требуют перестройки всей корпоративной сети и покупки дорогостоящего серверного оборудования, способного выдерживать нагрузки, предполагаемые эксплуатацией подобной системы. Системы с пассивным контролем, как правило, требует всего один дополнительный сервер, поскольку они работают на «зеркалируемом» трафике. Соответственно, и изменения в корпоративной локальной сети будут минимальными.
Безусловно, каждый из двух типов DLP-систем нужно применять именно там, где будут лучше всего проявляться их преимущества. Блокирующие DLP-системы лучше подходят для защиты критически важных для организации документов. Поскольку в данном случае риск блокировки работы вполне приемлем, то, фактически, здесь нет никакой альтернативы. Если же говорить о каких-то менее значимых бумагах (к примеру, списках клиентов, ведомостях на заработную плату и прочих подобных вещах), то здесь ситуация в корне отлична от описанной выше. Поскольку доступ к подобным документам имеет, как правило, большое количество персонала организации, то и применение здесь блокирующей DLP-системы чревато серьёзными проблемами в случае её срабатывания. В то же время, информация, доступная широкому кругу лиц, вряд ли может являться критически важной, а потому и дополнительные затраты, и дополнительные риски, связанные с применением блокирующих систем, вряд ли являются оправданными.
Таким образом, для защиты критически важной информации должна применяться блокирующая DLP-система, в то время как для защиты остальных данных целесообразнее применить неблокирующую.
В связи со всем изложенным выше может возникнуть вполне закономерный вопрос: есть ли смысл в защите некритической для компании информации с помощью неблокирующей DLP-системы? Ведь если утечка данной информации не отразится серьёзным образом на благополучии организации в обозримом будущем, то, возможно нет смысла и в тратах на неблокирующую DLP-систему? К сожалению, подобная экономия, кажущаяся разумной и обоснованной, на самом деле таит в себе немалую угрозу для информационной безопасности организации.
Несмотря на то, что сама по себе единичная утечка сравнительно маловажного документа может и не оказать существенного влияния на деятельность организации, непрерывный поток таких утечек, особенно целенаправленных, может серьезным образом отразиться на бизнесе. К примеру, используя методы конкурентной разведки, благодаря мониторингу текущей отчетности сотрудников компании, другая компания, конкурирующая с ней, может узнать много всего интересного о планах руководства по развитию бизнеса и выхода на новые рынке. Применение неблокирующих DLP-систем, сравнительно дешевых в эксплуатации и внедрении, позволяет решить эту проблему, не ставя при этом под угрозу непрерывность бизнес-процессов.
Впрочем, нужно помнить, что помимо мониторинга утекающей из организации конфиденциальной информации, DLP-системы с пассивным контролем действий пользователя решают ещё ряд немаловажных задач, также имеющих отношение к информационной безопасности. Благодаря тому, что неблокирующие DLP-системы перехватывают весь трафик, идущий из организации во внешний мир, его анализ может показать очень важные тенденции. К примеру, можно отслеживать разнообразные кулуарные интриги, направленные, зачастую, против самых ценных сотрудников организации. Также можно отслеживать планы работников по увольнению из организации, которые становятся видны благодаря рассылке резюме, посещения сайтов с предложениями о работе и т.д. Поскольку утечка ценных кадров может оказаться даже важнее утечки информации, трудно переоценить важность DLP-системы с пассивным контролем пользователей, позволяющей бороться с подобными утечками.