Зачем нужна DLP-система и как ее внедрить?

 Информация – основной ресурс компании. Файлы вроде финансовой отчетности, схем производства и технической документации нуждаются в защите. DLP-система может помочь обезопасить конфиденциальные сведения от случайных утечек и инсайдов. Но только в том случае, если такой программный комплекс правильно внедрен и грамотно обслуживается.

Зачем нужно заниматься информационной безопасностью внутри компании и как лучше всего построить защиту для критически важных документов – читайте далее.

DLP 01

Утечка – удар по финансам и репутации

В 2016 году Ponemon Institute опубликовала отчет, в котором эксперты сообщили: средняя цена утечки информации составила $4 млн., что на 29% больше, чем в предыдущем году. В эту сумму вошли все материальные убытки организации:

  • стоимость похищенной информации;
  • расследование причин инцидента;
  • наем юристов и подготовка необходимых документов;
  • взаимодействие с клиентами и оплата компенсаций;
  • выплаты штрафов.

Но это далеко не все проблемы, с которыми приходится иметь дело компании, столкнувшейся с утечкой. Подобные инциденты серьезно вредят репутации предприятия.

Ошибкой думать, что клиенты быстро забывают такие случаи, уверен Бретт Конрадт, директор компании Stax. Исследование, проведенное этим международным консалтинговым агентством, утверждает: 70% опрошенных могут точно назвать названия организаций, допустивших утечку, 15% прекратили пользоваться услугами таких ритейлеров, а 23% отказались от скомпрометированных платежных систем.

Главная угроза – внутри

Компания может потерять информацию по двум причинам. Во-первых, это целенаправленная внешняя угроза: внедрение в корпоративную IT-инфраструктуру вирусов и шпионского ПО, взлом файловых серверов или баз данных через уязвимости и с помощью эксплойтов, DDoS-атаки, фишинг и социальная инженерия. Для предотвращения подобных инцидентов служат антивирусы, межсетевые экраны, шифровальные приложения.

Однако причина кражи конфиденциальных сведений может находиться и внутри организации. «Сливают» информацию сотрудники или партнеры по бизнесу, которые имеют слишком широкие права бесконтрольного доступа. С такими случаями борются DLP-системы.

Именно внутренняя угроза чаще всего приводит к утечке. Аналитический центр нашего партнера InfoWatch установил, что 66% всех инцидентов происходит по вине рядовых сотрудников компании, и лишь 29,8% из-за внешних хакерских атак. Оставшиеся 4,2% пришлись на подрядчиков, руководителей, системных администраторов и бывших работников.

img2016half 5

Наибольшим «спросом» пользуются персональные данные – 87,5% утечек связаны именно с этой информацией. В 6,2% случаев целью хищения стали платежные сведения, 4,6% пришлось на коммерческую тайну, 1,7% - государственную тайну. При этом далеко не все «сливы» происходят по злому умыслу, 49,1% инцидентов – случайное стечение обстоятельств или оплошность сотрудника.

Поэтому внедрение DLP-системы – основной способ защитить конфиденциальные сведения от большей части информационных угроз.

Подготовка к внедрению DLP-системы

Средства информационной безопасности – полезные инструменты, которые помогут выявить и остановить утечку в компании, через какой бы канал она не происходила. Однако DLP – это не волшебная кнопка «Защитить данные». Перед началом использования подобных приложений необходимо провести подготовительную работу. Иначе, в лучшем случае, программный комплекс не будет эффективен. В худшем – начнет мешать работе.

Вот что необходимо сделать перед внедрением DLP-системы на предприятии:

1. Провести аудит ИБ и оценку рисков. Инструменты для предотвращения утечек – это программный комплекс, который обычно состоит из нескольких модулей. Не всем компаниям каждый из них одинакового полезен, поэтому перед внедрением нужно понимать, что предстоит защищать.

К примеру, не стоит использовать перехват сообщений в Skype, если ни один из сотрудников не пользуется этим мессенджером, а на рабочих машинах стоит запрет на установку нового ПО. Подобному анализу должен подвергаться каждый канал передачи данных, существующие ограничения, потенциальные риски и стоимость охраняемой информации. По результату проверки может выясниться, что DLP-система пока что и вовсе не нужна.

2. Составить список документов, которые необходимо защищать. На этом этапе необходимо сформировать цель использования DLP. Нет никакого смысла контролировать весь документооборот организации, такой подход приведет лишь к обилию ложных срабатываний. Должна быть разработана четкая иерархия информации: от наиболее критических для компании сведений до общедоступных. Необходимо также описать список лиц, которые могут иметь доступ к каждому документу.

3. Согласовать политики безопасности с ТОП-менеджерами и начальниками отделов. Распространенная ошибка – доверить внедрение DLP небольшой группе специалистов, которая интегрирует систему без оглядки на производственные нужды компании. В итоге набор условий для срабатывания защиты может оказаться либо слишком обширным, либо, наоборот, недостаточным.

4. Четко описать бизнес-процессы предприятия и разграничить права доступа сотрудников на всех этапах работы. Нужно не только понимать, какие документы и по каким каналам движутся внутри компании, но и шаблоны, по которым происходит этот обмен. Процесс должен быть четко описан и представлен в наглядной форме. Возможно, на этом этапе потребуется внедрение других решений – PM или BPM-систем. Некоторые из них помогут заодно и настроить разграничение доступа.

После построения моделей бизнес-процессов станет проще выявить слабые места организации, а также сформировать список документов, которые жизненно необходимы для работы каждого отдела.

5. Провести инструктаж для персонала и руководителей. Использование DLP-системы в идеале не должно повлиять на работу предприятия, особенно если и до этого она была хорошо структурирована. Однако предупредить сотрудников о возможных проблемах стоит. Кроме того, даже работающий комплекс защиты данных не гарантирует полной безопасности. Нужно регулярно проводить обучение персонала по вопросам ИБ, разъяснять, какие документы конфиденциальны и почему, предостерегать от популярных мошеннических и фишинговых схем.

Возможные проблемы и их решение

DLP-система мешает работе. Причина проблемы: комплекс внедрен слишком поспешно. Как бы тщательно не проводилась подготовительная работа, всегда останутся моменты, которые не были предусмотрены. Поэтому в первые недели цель «боевого» использования DLP – не выявить всех нарушителей, а отладить и оптимизировать работу системы.

Программный комплекс лучше всего поначалу запускать в пассивном режиме, чтобы он только сканировал информационные потоки, но не вмешивался в них. Это позволит обратить внимание на ложные срабатывания и переписать политики ИБ так, чтобы свести такие случаи к минимуму.

DLP-система работает неэффективно. Причина проблемы: на внедрение выделено слишком мало ресурсов. Недостаточно просто включить программу и ждать, когда она начнет ловить инсайдеров. Необходимо правильно сконфигурировать почтовые и файловые серверы, межсетевые экраны, программы для шифрования, чтобы DLP могла взаимодействовать с ними. Эта работа требует как времени, так и наличия грамотных специалистов в штате.

DLP-система не останавливает утечку. Причина проблемы: недостаточно хорошо проводятся внутренние расследования. Прямая блокировка пересылки конфиденциальной информации эффективно работает только для предотвращения случайных «сливов». Но это не единственная функция DLP. Система способна дать много аналитической информации о настроениях в коллективе, связях между сотрудниками, подозрительной активности.

Выявление целенаправленной продажи информации или мошеннических схем внутри организации – результат тщательной обработки собранных программой данных. ИБ-специалисты должны уметь не только создать политики информационной безопасности, но и проводить доскональные внутренние расследования, действовать на опережение, а не ждать, когда утечка уже случится.

Пример работы DLP-системы

Рассмотрим, какими средствами DLP предотвращает утечку данных на примере решения нашего партнера InfoWatch – Traffic Monitor.

Программный комплекс состоит из нескольких модулей.

InfoWatch Traffic Monitor. Основной элемент, который собирает и обрабатывает данные в корпоративной сети. Модуль умеет:

  • блокировать почтовые сообщения, отправленные как через клиент, так и веб-интерфейс;
  • контролировать работу с файловыми серверами и облачными хранилищами;
  • отслеживать публикации в соц. сетях и на других сторонних сайтах;
  • блокировать и исследовать запись на съемные устройства;
  • запрещать использование в приложениях функции буфера обмена, отправки на печать и создания скриншотов.

vis3

Для контроля используются агенты – надстройки для программ, которые обрабатывают передаваемые данные и отсылают их в единый центр управления. Таким образом возможно получать даже зашифрованные сообщения: они перехватываются до или после момента шифрования.

Если после исследования пересылаемая информация признана программой конфиденциальной, то в системе регистрируется инцидент, а отдел службы ИБ получает оповещение. Если включена блокировка, передача защищаемых данных будет остановлена, и утечки не случится.

Реакцию на инциденты можно настраивать. Так, DLP-система не станет прерывать пересылку финансового отчета бухгалтером коммерческому директору. Однако если этот же специалист решит отправить документ в отдел охраны труда, Traffic Monitor остановит такое сообщение.

Работа в пассивном режиме тоже возможна. Например, можно настроить исключения для нескольких подозрительных сотрудников, чтобы они не подозревали о том, что за ними наблюдают. Таким образом система выявит всех участников преступной схемы.

InfoWatch Device Monitor Mobile. Решение для контроля корпоративных смартфонов и планшетов на базе iOS и Android. Позволяет избежать утечек, происходящих вне корпоративной сети:

  • перехватывает переписку через SMS и мессенджеры;
  • контролирует изображения камеры устройства;
  • отслеживает публикации на сайтах;
  • управляет запуском приложений.

vis5

InfoWatch Vision. Модуль визуализирует информационные потоки в организации, что упрощает восприятие и анализ процессов внутри компании:

  • приложение создает интерактивную карту, на которой отмечены взаимодействия между работниками, частота их общения и основные каналы;
  • составляется полное досье на каждого сотрудника;
  • выявляется подозрительное поведение.

vis2

Использование DLP-систем вроде InfoWatch Traffic Monitor не только блокирует утечки, но и позволяет контролировать внутренние процессы в компании, обнаруживает уязвимые места и упрощает оценку рисков.

Если вы планируете внедрение DLP, обратитесь к нам – наши ИБ-специалисты проведут консультацию по вопросам защиты данных и подскажут, какое решение лучше всего подойдет конкретно для вашего бизнеса.

Зачем нужна DLP-система и как ее внедрить?
Не пропусти новые публикации
Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы