НЕтехнологические проблемы защиты от утечек. Практика полевого инженера
Мне недавно задали вопрос: «DLP-система — все еще модная игрушка или реальный инструмент?». И я растерялся. Вот молоток — это инструмент, оружие или модный аксессуар? Если он резиновый, розовый и размером с ключи от машины — скорее всего, это модный аксессуар. Если он в крови и к нему прилип клок волос — наверное, он побывал оружием. Но в большинстве остальных случаев это все-таки инструмент.
Практика внедрения: ожидания и реальность
Когда заходит разговор о случаях из практики внедрения и использования DLP-систем, часто ожидают, что сейчас будет кино и немцы. Расследование, погоня, доблестные сотрудники СБ задержали злоумышленника, а потом в суде его приговорили к штрафу, увольнению и десяти годам непрерывного расстрела. Ну или хотя бы историю о том, как хакеры при помощи секретной технологии все-таки обманули доблестное СБ и скрылись с похищенными данными. А потом продали их за миллиард долларов и жили долго и счастливо на островах в теплом море.
Однако на практике я ничего такого не рассказываю. Потому что ничего такого обычно не бывает. И это не потому, что секретность и заказчики не разрешают нам рассказывать об утечках. А потому, что никто особо не в курсе, были вообще утечки, или нет. Это в банках весело: там банкоматы вскрывают, охранные системы взламывают, сотрудников шантажируют — чистый Голливуд! А все потому, что это живые деньги, которые легко считать.
А DLP — это не про деньги, а про данные. Совсем другая история. И рассказы о внедрениях превращаются в нудную эпопею о том, как мы убеждали службу ИБ, что им это надо. Потом шантажировали ответственных лиц, чтобы они нам рассказали, что же такое на самом деле в их компании защищаемая информация и где ее искать. Потом объясняли бухгалтерам и юристам, почему им теперь не рекомендуется носить КТ на флэшке домой.
То есть вместо работы инженера получается работа детектива, психолога и бродячего проповедника.
Почему так получается?
Откуда берутся такие трудности? Казалось бы, идею защищать свою собственность, причем ценную (а зачастую, и критичную), должны встречать с энтузиазмом. Но этого обычно не происходит.
Причины этого явления я себе вижу примерно такие:
- неготовность идеологии;
- неготовность инфраструктуры;
- неудачный маркетинг;
- перфекционизм.
Неготовность идеологии
Уровень развития ИТ и ИБ в компании зависит от многих факторов. От возраста компании, от наличия бюджета, от размеров, от отрасли, от политики руководства. Но, так или иначе, все находятся на разном уровне.
И самая первая, самая серьезная проблема — это проблема зрелости в психологическом, идеологическом плане. Если в компании к конфиденциальной информации относятся небрежно, нет понимания что это такое и зачем ее вообще надо защищать — внедрение DLP-системы встретится с огромными трудностями. Сотрудник, который возьмется за такую задачу, столкнется с непониманием и неодобрением со стороны руководства и яростным сопротивлением со стороны пользователей.
И оставить бы такую ситуацию в покое — зачем спасать людей против их воли? Но получается это не всегда, потому что часто возникает ситуация — Верховное Руководство по результатам инцидента в другой компании холдинга приказало внедрить, а на местах к этому реально не готовы.
Не готовы психологически: у людей нет понимания, что информация стоит денег и что ее можно красть, и что часто информация стоит намного больше, чем грузовик алкогольной продукции или металлопроката.
Не готовы организационно — в компании никак не регламентирована процедура защиты конфиденциальной информации и даже просто нет понимания, которая информация конфиденциальная.
Не готовы технически — компании бы сначала межсетевое экранирование и резервное копирование наладить, парк хоть немножко обновить, чтобы работники не совсем уж на печатных машинках работали.
И вот получается, что приказ внедрить DLP-систему есть, а готовности и возможности его выполнить нет. Это сложная ситуация и для компании-заказчика, и для компании-интегратора, а разрешается она часто внедрением «муляжа» системы — в ограниченном объеме, без реальных политик. То есть покупается массогабаритный макет системы по цене оригинала.
Неготовность инфраструктуры
И, кстати, о печатных машинках. Как правило, компании в технологическом плане развиваются по некоторому естественному пути. Есть самые простые, самые необходимые и, как правило, самые дешевые решения. Их внедряют в первую очередь. Понятно, что нет смысла внедрять какие-то сложные системы обнаружения целенаправленных атак, если в компании толком не внедрено межсетевое экранирование, нет централизованного управления антивирусным ПО и не настроено резервное копирование.
Перепрыгнуть через этот естественный процесс по ряду причин довольно трудно, а главное — незачем. Таким образом, компания должна быть готова к внедрению того или иного решения в области ИТ и ИБ, дозреть до него. А DLP-системы как раз находятся довольно высоко на этой эволюционной лестнице, и зреть до них обычно приходится довольно долго. Соответственно, многим компаниям DLP-система просто не нужна на данном этапе. То есть нужна, конечно, но у них есть много других, более актуальных задач и более простых, дешевых и нужных решений, которые надо внедрить.
Неудачный маркетинг
Отдельная беда — это маркетинг. Вроде бы, маркетинг должен помогать продавать, а на практике часто все получается наоборот.
Есть такая штука — Hype Cycle (цикл зрелости технологий по Gartner). Вкратце ее суть: каждая новая технология проходит определенный цикл развития. Технология появляется, развивается, вызывает интерес, идет в продажу — и вот тут включается маркетинг. Реклама. Которая обещает, что система будет делать все, решит все проблемы, а также будет приносить кофе в постель и еще немного вот этой вкусной спаржи под сливочным соусом. А технология на этой стадии еще сырая. И получается большой разрыв между ожиданиями и реальностью, вызывающий сильное разочарование. Ну и распространяется мнение, что технология эта — обман, ненужная игрушка и вымогательство денег.
И все, технология дискредитирована. Потом, если повезет, все-таки случается работа над ошибками, адаптация, развитие, и технология все-таки находит себе место на рынке. Но это — если повезет.
Что касается DLP, в России мы находимся на стадии, когда производители оправляются от последствий бестолковой и недобросовестной рекламы, а продукты совершенствуются и становятся достойными взрослыми решениями. Технологии, отечественные разработки в том числе, шагнули далеко вперед. Есть возможность контролировать практически все каналы. Технологии распознавания конфиденциальных данных продолжают улучшаться. Но вот этот вкус разочарования — «мы попробовали/посмотрели/почитали, и все это ваше DLP сплошной обман» — он все еще присутствует.
Перфекционизм
Перфекционизм на практике часто означает: «все или ничего». То есть DLP-система должна уметь и аудит, и блокировку, и контролировать все мыслимые каналы, распознавать в текст речь и картинки, понимать, что на картинках нарисовано если это не текст, и еще много чудесных вещей. А вот если система чего-то из этого не умеет — то и связываться с ней не стоит.
Желание получить все оптом понятно. Но, во-первых, не бывает систем, которые умеют все. Возможно, в будущем они появятся, и новые системы будут соревноваться не столько в количестве возможностей, сколько в качестве их реализации. Но пока идеальных систем нет. Во-вторых, система, которая многое может — много стоит. Варианта «могу все за три копейки» тоже пока нет.
Ну и еще одно последствие маркетинга — почему-то считается, что достаточно DLP систему установить, и она сразу, из коробки, найдет всех злоумышленников и предотвратит все утечки. Причем полностью самостоятельно. Что, конечно же, далеко от действительности. Обратная сторона сложной всеобъемлющей системы — значимые трудозатраты по внедрению, а главное, по обслуживанию.
Так что выбирать надо не всемогущую систему, а такую, которая будет решать именно актуальные проблемы за те деньги, которые стоит решение этих проблем.
Ну что, играем?
Так что основную сложность во внедрении DLP-систем (и одну из главных причин такого большого числа утечек) я вижу в том, что многие компании еще не готовы защищать свою информацию. Кто-то технически, кто-то организационно, но большинство — идеологически.
А количество и объемы утечек растут. Причем 2/3 утечек по статистике приходятся именно на долю внутренних нарушителей, то есть однозначно относятся к сфере действия DLP-систем. Да, можно продолжать надеяться, что «эта история не про нас, и мы никому не интересны». Можно продолжать относиться к тому, что увольняющиеся менеджеры уносят с собой базы, как к привычному злу и сразу закладывать эти убытки в бюджет. Другое дело, что на дворе кризис, и есть мнение, что спонсировать воров и несунов — непозволительная роскошь.
Но есть обратные ситуации. Компании с небольшим бюджетом на ИБ внедряют у себя отдельные модули DLP-систем, какие-то отдельные механизмы — чтобы бороться именно с теми угрозами, борьба с которыми является приоритетной. Не гоняясь за маркетинговыми призраками, не отворачиваясь от угроз, ставя перед собой реальные цели и достигая их.
Является ли DLP-система модной игрушкой или инструментом — вопрос отношения. Если относиться к ней как игрушке — получится игрушка. А если как к инструменту — с ней вполне можно решать поставленные задачи и достигать намеченных результатов.