Интервью с безопасником: опыт внедрения DLP-системы на предприятии и вопросы без ответа

В современном мире утечка информации может нанести больше ущерба, чем пожар, потоп, наводнение и землетрясение вместе взятые. Именно поэтому стали популярными системы предотвращения утечек информации (Data Leak Prevention). Сегодня в гостях у нашего блога ведущий специалист по информационной безопасности Лютиков Андрей Вадимович одного из крупных предприятий Краснодарского края (название предприятия сообщить не можем из-за NDA), который поделится с нами опытом внедрения DLP-системы на своем предприятии.

1. Какие существуют предпосылки для внедрения DLP-системы на предприятии?

На любом предприятии есть своя коммерческая тайна, и всякий хороший директор имеет понимание, что разглашение некоторых сведений может в той или иной степени повлиять на прибыль. Утечка информации может произойти, как намеренно (для получения прибыли работником в обход фирмы), так и ненамеренно (в ходе простой беседы между знакомыми людьми, работающими в конкурирующих фирмах, либо это будет ошибочно отправленное письмо). Если беседу между людьми вне офиса организации контролировать практически невозможно, то контролировать информационные потоки внутри корпоративной среды поможет тонко настроенная система DLP.

2. Какую последнюю DLP-систему вы внедряли и почему остановили свой выбор именно на ней?

Если касаться конкретно нашего предприятия, то мы только начинаем внедрение такой системы. Сейчас у нас проходит этап активного тестирования и разработки технического задания. При выборе DLP для тестирования мы опирались на следующие критерии:

• Низкая нагрузка на серверную часть (тут преимущество у серверов на базе Linux систем)
• Модульность системы (такие системы имеют более тонкие настройки, и есть возможность не устанавливать отдельные функции на клиентов)

В данный момент наш выбор при тестировании различных DLP пал на Staff Cop. Почему же мы его выбрали? Потому что серверная часть реализована на базе Ubuntu Linux, небольшие требования как к серверному железу (разница в 20% при сравнении с аналогичными системами), так и клиентским компьютерам.

3. С какими трудностями приходится сталкиваться при внедрении DLP-систем на предприятиях?

Трудностей внедрения как таковых может быть множество, от нагрузки на клиентские компьютеры до нехватки места на дисках для хранения отчетов. Если брать только наш пример, то мы сталкиваемся с нехваткой места на дисковом пространстве, низкой мощностью ПК пользователей, пропускной способностью ЛВС.

4. Какой функционал, на ваш взгляд, в DLP-системах является лишним?

Что касается функционала DLP систем, то тут у каждого предприятия свои требования. На данный момент лишнего функционала, как мы считаем, нету. Потому как способов передачи критичной информации великое множество, и контролировать приходиться большое количество сотрудников. Но можем сказать, что к примеру функция записи с вэб-камеры установленной на ПК или ноутбуке может пригодится не каждой организации. Мы больше сталкиваемся с неинформативностью некоторых функций, таких как перехват сетевых соединений, анализатор интернет мессенджеров, анализатор посещения вэб-сайтов.

5. Какие мессенджеры может контролировать выбранная вами DLP-систему? Как говорится, огласите весь список, пожалуйста 

Любые мессенджеры которые могут устанавливаться на компьютер либо работать через вэб-браузер.

6. Как производится контроль того же Viber или Skype? Ведь сообщения зашифрованы сквозным шифрованием?

Контроль Интернет-мессенджеров — эта наиболее волнующая тема в свете недавних событий с Telegram. Все мы знаем что мессенджеры такие как Skype, WhatsApp, Viber и Telegram передают свои сообщения защищенные сквозным шифрованием, но мало кто знает, что агенты данных мессенджеров установленные на ПК хранят историю чатов в папке пользователя и хранятся они в расшифрованном виде, исключение составляет хранение чатов в памяти телефона, там данные чатов хранятся в зашифрованном виде. Но существуют функции DLP системы, которые могут анализировать текстовую информацию с экрана, перехватывать нажатия клавиш и срабатывания виртуальной клавиатуры.

7. Рассмотрим такой сценарий: инсайдер фотографирует смартфоном важный документ и отправляет его, но не по внутреннему Wi-Fi, а через сеть оператора (3G/LTE). Как можно закрыть данный канал утечки информации?

К сожалению, такой сценарий присутствует практически в любом предприятии, и бороться с этим не просто тяжело, а порой нет возможности. И в большинстве случаев служба информационной безопасности разбирает происшествия, которые уже случились. Мы не можем обязать сотрудников пользоваться только корпоративным телефоном (где мы можем поставить контроль) и нашей сим картой, но работодатель в праве запретить пронос на рабочее место средств хранения, обработки и передачи информации. И к сожалению не любой руководитель хочет создать в компании жесткий контроль за информационным полем, тем самым создается довольно обширный список возможностей для передачи закрытой информации не совсем честными сотрудниками.

8. Как быть со статьей 23 Конституции РФ, которая гарантирует право на неприкосновенность частной жизни, личную и семейную тайну и тайну переписки? Ведь DLP-система как правило поддерживается полный список как корпоративных средств коммуникации (Exchange, Lync, Skype и т. д.), так и личных (Telegram, Viber и др.). Следовательно, это подразумевается, что будут контролироваться личные средства коммуникации — как же тогда с тайной переписки?

На нашем предприятии при устройстве сотрудника на работу, подписываются соглашения о неразглашении информации и контроле его рабочей станции техническими и программными средствами. Так же в инструкции прописывается, что сотруднику запрещается пользоваться личными мессенджерами и почтой на корпоративном ПК. Но по факту не все сотрудники следуют рабочим предписаниям приказам и инструкциям. И когда сотрудник начинает вести переписку по личным вопросам с корпоративных ПК и ноутбуков он предварительно был уведомлен под подпись о контроле. Вопрос стоит только в правильном законодательном регулировании, и информированности сотрудника.

Возможность применения работодателем программного обеспечения, предназначенного для контроля за использованием работниками рабочих компьютеров и сети Интернет в процессе их трудовой деятельности, не противоречит действующему законодательству РФ.

9. Несут ли разработчики DLP-системы финансовую ответственность, если утечка все-таки произошла?

Важно четко понимать, что DLP-система — это не панацея, это инструмент для решения конкретных задач в рамках большого комплекса мероприятий по защите от утечки данных.

Гарантий никто не дает. Информация может пройти мимо DLP, это не секрет. Если Вы узнаете о предстоящем слиянии Uber и Яндекс.Такси и посоветуете друзьям срочно покупать акции «Яндекса», это будет утечка. Но техническими мерами предотвратить такое пока нельзя.

10. Как эффективно бороться с откатами, если для «откатной» деятельности у сотрудника отдельное, никому не известное устройство, которое никогда не подключалось к сети предприятия? Или же обсуждение происходит вообще голосом за пределами организации, например, при личной встречи, деньги берутся «в конверте», а дорогая недвижимость и средства передвижения оформляется на родственников?

Боюсь, что на данный вопрос я не смогу вам ответить))

Защищенное облако 152 ФЗ

Защищенное облако 152 ФЗ – ИТ-инфраструктура, предназначенная для создания информационных систем персональных данных (ИСПДн), соответствующих требованиям федеральных законов.

Частное облако для банка

Одна из инновационных услуг Xelent.Разрабатывая облачные решения для финансового сектора, мы учитываем высокие требования к безопасности корпоративных данных и соответствие предоставляемых инфраструктур требованиям ФЗ №152 от 27.07.2006 г.

Аренда выделенного сервера в России

Аренда сервера и СХД необходимой производительности. Все оборудование размещается в собственном отказоустойчивом ЦОДе с зарезервированными системами энергоснабжения, охлаждения и каналами связи.