Утечки конфиденциальной информации из организаций происходят как в результате внешних атак, так и по вине внутренних злоумышленников. Защититься от кражи данных можно с помощью системы предотвращения утечек информации (DLP), которая на сегодняшний день является обязательным инструментом в арсенале обеспечения информационной безопасности компаний уровня enterprise и SMB. В этой статье я расскажу, как выбрать эффективное решение, которое будет соответствовать всем критериям импортозамещения.
Автор: Анна Попова, руководитель департамента клиентского сервиса “РТК-Солар”
В этом году импортозамещение в ИТ-отрасли стало обязательным. Зарубежные вендоры уходят из России, DLP-системы, содержащие иностранные компоненты или функционирующие только на базе западных ОС, создают трудности заказчикам.
Российские DLP-системы давно доминируют на отечественном рынке: большинство организаций, которые хотят защититься от внутренних утечек информации, выбирают именно их. В России распространены и зарубежные решения, но теперь их клиенты столкнулись или могут столкнуться в ближайшее время с рядом проблем: отсутствием техподдержки, прекращением выпуска обновлений, в худшем случае – отзывом лицензий.
Обновления исправляют ошибки в ПО и решают проблемы с безопасностью, добавляют новые функции, поддержку новых объектов для мониторинга. В отсутствие всего этого DLP-система зачастую оказывается неспособной решать задачи, связанные с предотвращением утечек. То же самое касается и технической поддержки, которую обеспечивает вендор. В случае со сложными корпоративными системами без нее не обойтись, особенно когда происходят изменения в ИТ-инфраструктуре или открываются новые филиалы и требуется масштабировать DLP-решение.
В условиях санкций могут возникнуть проблемы и с некоторыми российскими системами, например, если серверная часть, базы данных или отдельные модули работают только с компонентами Windows. Так как Microsoft приостановила продажи новых лицензий в России, решить те или иные задачи, связанные с защитой от утечек при изменениях в ИТ-инфраструктуре, будет непросто.
Добавим сюда и сегодняшний эмоциональный фон сотрудников, который напрямую сказывается на количестве внутренних инцидентов. Если компания хочет избежать утечек информации, связанных с действиями собственных работников, а также финансовых и репутационных издержек, нужно уже сегодня внедрять отечественную DLP-систему.
История с импортозамещением не новая. Она началась в 2014 г., когда правительством был объявлен соответствующий курс. Впоследствии были разработаны нормативные акты, регулирующие этот процесс. В частности, были утверждены правила Единого реестра российских программ, появился план перехода на отечественное ПО, введены ограничения для государственных заказчиков на закупку ПО, которое отсутствует в реестре.
Чтобы попасть в Единый реестр российского ПО, софт должен отвечать ряду следующих требований:
В связи с новыми геополитическими реалиями 2022 г. тренд на импортозамещение стал еще более актуальным. В марте президент РФ подписал указ "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации", который вводит запрет на закупку иностранного ПО и услуг по использованию такого ПО на значимых объектах критической информационной инфраструктуры РФ без согласования с уполномоченным органом. Среди прочего в нем говорится о том, что с 2025 г. органам государственной власти и другим заказчикам будет запрещено использовать иностранное ПО на принадлежащих им значимых объектах КИИ.
Таким образом, заменять систему защиты от утечек на ту, которая соответствует критериям импортозамещения, нужно не только для того, чтобы обеспечить полноценный мониторинг сотрудников, но и для того, чтобы выполнить требования государственных регуляторов.
Какими же характеристиками должна обладать система предотвращения утечек с учетом всех нынешних факторов?
В условиях повышенных киберрисков важно, чтобы система защиты от утечек могла контролировать не только корпоративную электронную почту, но и мессенджеры, которыми сотрудники пользуются на рабочем компьютере.
В современных условиях принципиально, чтобы DLP-система при срабатывании той или иной политики могла автоматически заблокировать нарушение и остановить возможную утечку.
Наличие в системе функций быстрого и расширенного поиска по множеству параметров обеспечивает специалисту по безопасности возможность оперативно и эффективно решать текущие задачи мониторинга событий и реагирования на них.
Такой функционал системы защиты от утечек особенно важен, когда речь идет о крупной компании. Просмотреть и проанализировать трафик в большой организации – довольно сложная задача. Поэтому если система может предоставлять данные в визуальном формате, то сотруднику службы безопасности будет доступна наглядная информация в различных разрезах: по подразделениям, сотрудникам, каналам, дням недели, времени суток и т.д. Таким образом, он сможет быстро оценить динамику тех или иных событий, сделать выводы и при необходимости оперативно перестроить какие-либо бизнес-процессы.
Эта функция позволяет решить сразу несколько задач, в том числе связанных с информационной безопасностью.
Кроме возможности анализа продуктивности сотрудника контроль рабочего времени позволяет составить его цифровой портрет и получить полную информацию. В случае инцидента и последующего расследования такая информация может использоваться в доказательной базе.
В условиях санкций и законодательного регулирования очень важно, чтобы и клиентская, и серверная части DLP-системы могли работать на свободно распространяемых ОС. Наличие полнофункционального агента для Linux (Endpoint Agent) позволит контролировать рабочие устройства сотрудников, даже если придется отказаться от использования Windows.
Обычно это отдельный модуль в системе защиты от утечек информации, который существенно расширяет ее возможности. Принцип работы модуля основан на выявлении аномалий. Система анализирует поведение сотрудников компании с точки зрения ряда показателей (рабочее время, активность, количество писем и ежедневных контактов, использование тех или иных программ и т.д.). Если происходит отклонение от стандартного поведения, система считает это аномалией и уведомляет специалиста по безопасности. Такая функция особенно важна для крупной компании, где классических функций защиты от утечек может быть недостаточно, чтобы предотвратить утечку, вовремя заметив подозрительное поведение одного из десятков тысяч сотрудников.
При выборе DLP-системы важно обратить внимание на опыт разработчика и информацию о практике использования в других компаниях. Если вендор может подтвердить производительность и отказоустойчивость конкретными цифрами в реализованных проектах, то ему можно доверять. Когда речь идет о крупных корпорациях с сетью филиалов и десятками тысяч рабочих мест, подключенных к DLP-системе, решение должно обеспечивать высокую скорость обработки информации, скорость перехвата, скорость реагирования системы, скорость поиска, работу в кластерном режиме, ежедневное резервное копирование и т.д.
Слияния и поглощения компаний происходят на рынке регулярно, а в современных условиях это уже тренд, учитывая, что иностранный бизнес покидает нашу страну и продает свои активы российским компаниям. Поэтому современная система защиты от утечек должна эффективно работать в территориально распределенной инфраструктуре. В идеале в DLP должен присутствовать специальный модуль, который позволит объединить отдельно установленные в каждом филиале решения в единую экосистему с централизованным управлением. Благодаря этому специалисты по безопасности в головном офисе смогут отслеживать и предотвращать утечки информации в любом филиале, имея перед глазами полную картину по всей группе компаний.
Еще одним важным критерием при выборе DLP-системы является готовность ее разработчика к постоянному контакту с текущими заказчиками и доработке продукта в соответствии с их потребностями и спецификой. Если разработчик предоставляет заказчику не только формальную техподдержку решения, но и постоянное высокопрофессиональное сопровождение с помощью экспертов и разработчиков, эффективность применения DLP-системы в организации будет заметно выше.
Рис. Основные характеристики правильной DLP-системы
Российский рынок систем защиты от утечек можно назвать вполне зрелым. Отечественные разработки в гораздо большей степени адаптированы для решения тех задач, которые связаны с защитой от утечек в российских компаниях, чем зарубежные. В новых реалиях при выборе нужно обращать внимание и на функциональность, которая должна быть максимально широкой, и на соответствие критериям импортозамещения. Последнее обеспечит независимость системы безопасности предприятия от изменений в политической повестке и международных отношениях.