Утечки информации в компаниях часто происходят не из-за внешних атак, а по вине внутреннего нарушителя, который может действовать как умышленно, так и неосознанно. Поэтому система защиты от утечек (DLP) стала одним из обязательных элементов обеспечения информационной безопасности для крупного и среднего бизнеса.
В условиях санкций многие зарубежные вендоры покидают российский рынок. С трудностями могут столкнуться и заказчики тех отечественных DLP-систем, которые содержат иностранные компоненты или могут быть развернуты только на западных операционных системах. Анна Попова, руководитель департамента клиентского сервиса компании «РТК-Солар», рассказывает, как выбрать эффективное решение для защиты от утечек, которое будет реально соответствовать всем критериям импортозамещения.
Что изменилось и почему надо на это реагировать
За последние несколько лет российские DLP-системы стали доминировать на отечественном рынке: большинство организаций, которые хотят защититься от внутренних утечек информации, выбирают именно их. При этом в России также использовались решения зарубежных вендоров. Компании, которые использовали импортные системы, уже столкнулись или могут столкнуться в ближайшее время с целым рядом проблем. Это отсутствие техподдержки, прекращение выпуска обновлений, а в худшем случае и отзыв лицензий. Обновления исправляют те или иные ошибки либо проблемы с безопасностью, добавляют новые функции, поддержку новых объектов для мониторинга. В отсутствие этого DLP-система зачастую оказывается неспособной решить текущие задачи, связанные с предотвращением утечек. То же самое касается и технической поддержки, которую обеспечивает вендор. В случае со сложными корпоративными системами без нее не обойтись, особенно когда происходят изменения в ИТ-инфраструктуре или открываются новые филиалы и требуется масштабировать DLP-решение.
В условиях санкций возможно возникновение проблем и с некоторыми российскими системами. Например, если серверная часть, базы данных или отдельные модули работают только с компонентами Windows. С учетом того, что Microsoft приостановила продажи новых лицензий в России, решить те или иные задачи, связанные с защитой от утечек при изменениях в ИТ-инфраструктуре, будет непросто. К тому же в нынешних условиях сложно на 100% быть уверенными даже в тех вендорах, которые пока еще продолжают работать с российскими клиентами.
Добавим сюда и сегодняшний эмоциональный фон сотрудников, который может напрямую сказываться на количестве внутренних инцидентов. Очевидно, что, если компания хочет избежать утечек информации, связанных с действиями собственных работников, а также финансовых и репутационных издержек, внедрять отечественную DLP-систему нужно уже сегодня.
О законодательной базе импортозамещения и реестре отечественного ПО
История с импортозамещением уже не новая, она началась в 2014 году, когда правительством был объявлен соответствующий курс. Впоследствии были разработаны нормативные акты, регулирующие этот процесс. В частности, были утверждены правила Единого реестра российских программ, появился план перехода на отечественное ПО, а также были введены ограничения для государственных заказчиков на закупку ПО, которое отсутствует в реестре.
Чтобы попасть в Единый реестр, софт должен отвечать ряду требований:
- быть разработанным российским юрлицом с российским контролем (более 50%);
- иметь полные исходные коды в России;
- иметь локальную инфраструктуру в России;
- иметь локальных специалистов технической поддержки;
- осуществлять контроль закладок, утечек данных, устойчивости ко взлому;
- реализовывать доработки и проходить сертификацию продуктов по требованиям ФСТЭК, ФСБ и т. д.
В 2022 году в связи с новыми геополитическими реалиями тренд на импортозамещение стал еще более актуальным. В марте этого года президент РФ подписал указ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который вводит запрет на закупку иностранного ПО и услуг по использованию такого ПО на значимых объектах критической информационной инфраструктуры РФ без согласования с уполномоченным органом. Среди прочего в нем говорится о том, что с 2025 года органам государственной власти и другим заказчикам будет запрещено использовать иностранное ПО на принадлежащих им значимых объектах КИИ.
Таким образом, заменять систему защиты от утечек на ту, которая соответствует критериям импортозамещения, нужно не только для того, чтобы обеспечить полноценный мониторинг сотрудников, но и выполнить требования государственных регуляторов.
Какой должна быть правильная DLP-система
Какими же характеристиками должна обладать система предотвращения утечек с учетом всех нынешних факторов?
- Контроль максимального количества каналов коммуникаций. В условиях повышенных киберрисков важно, чтобы система защиты от утечек могла контролировать не только корпоративную электронную почту, но и мессенджеры, которыми сотрудники пользуются на рабочем компьютере.
- Реальное предотвращение утечек, а не только мониторинг и расследование инцидентов. В нынешних условиях особенно принципиально, чтобы DLP-система при срабатывании той или иной политики могла автоматически заблокировать нарушение и остановить возможную утечку.
- Широкие возможности поиска информации. Если в системе есть как расширенный поиск по множеству параметров, так и быстрый поиск, специалист по безопасности сможет решать текущие задачи по мониторингу событий и реагированию на них оперативно и эффективно.
- Визуализация динамики нарушений. Такой функционал системы защиты от утечек особенно важен, когда мы говорим о крупной компании. Просмотреть и проанализировать трафик в большой организации – довольно сложная задача для специалиста по безопасности. Если система может представить данные в визуальном формате, сотруднику службы безопасности доступна наглядная информация в различных разрезах: по подразделениям, сотрудникам, каналам, дням недели, времени суток и т. д. Можно быстро увидеть динамику тех или иных событий, сделать выводы и при необходимости оперативно перестроить какие-либо бизнес-процессы.
- Контроль рабочего времени. Эта функция позволяет решить сразу несколько задач, в том числе связанных с информационной безопасностью. Кроме возможности анализировать продуктивность работника, контроль рабочего времени позволяет составить цифровой портрет сотрудника, получить полную информацию о нем. В случае инцидента и последующего проведения расследования такая информация может использоваться в доказательной базе.
- Поддержка операционных систем, основанных на Linux. В условиях санкций и законодательного регулирования очень важно, чтобы и клиентская, и серверная части DLP-системы могли работать на свободно распространяемых ОС. А наличие полнофункционального агента для Linux (Endpoint Agent) также позволит контролировать рабочие устройства сотрудников, даже если придется отказаться от использования Windows.
- Анализ поведения пользователей (UBA). Обычно это отдельный модуль в системе защиты от утечек, который существенно расширяет возможности предотвращения утечек информации. Принцип работы основан на выявлении аномалий. Система анализирует поведение сотрудников компании с точки зрения ряда показателей (рабочее время, активность, количество писем и ежедневных контактов, использование тех или иных программ и т. д.). Если происходит отклонение от стандартного поведения, система считает это аномалией и уведомляет специалиста по безопасности. Такая функция особенно важна для крупной компании, где классических функций защиты от утечек может быть недостаточно, чтобы предотвратить утечку, вовремя заметив подозрительное поведение одного из десятков тысяч сотрудников.
- Высокая производительность и отказоустойчивость системы. Важно обращать внимание на опыт разработчика DLP-системы, информацию о практике использования этой системы в других компаниях. Если вендор может подтвердить производительность и отказоустойчивость конкретными цифрами в реализованных проектах, ему можно доверять. Особенно когда речь идет о крупных корпорациях с сетью филиалов и десятками тысяч рабочих мест, подключенных к DLP-системе. Решение должно обеспечивать высокую скорость обработки информации, скорость перехвата, скорость реагирования системы, скорость поиска, работу в кластерном режиме, ежедневное резервное копирование и т. д.
- Масштабируемость. Слияния и поглощения компаний происходят на рынке регулярно. А в нынешних условиях это может быть вообще одним из трендов, учитывая, что иностранный бизнес сегодня массово покидает нашу страну и продает свои активы российским компаниям. Поэтому современная система защиты от утечек должна эффективно работать в территориально распределенной инфраструктуре. В идеале наличие специального модуля, который позволяет объединить отдельно установленные в каждом филиале системы в единую экосистему с централизованным управлением. Благодаря этому специалисты по безопасности в головном офисе могут отслеживать и предотвращать утечки в любом филиале, при этом имея перед глазами полную картину по всей группе компаний.
- Индивидуальный подход к заказчику. Еще одним важным критерием при выборе DLP-системы является готовность ее разработчика к постоянному контакту с текущими заказчиками и доработке продукта в соответствии с их потребностями и спецификой. Если разработчик предоставляет заказчику не только формальную техподдержку решения, но и постоянное высокопрофессиональное сопровождение с помощью экспертов и разработчиков, эффективность применения DLP-системы в организации будет заметно выше.
Выводы
Российский рынок систем защиты от утечек можно назвать вполне зрелым. Отечественные разработки гораздо в большей степени адаптированы для решения тех задач, которые связаны с защитой от утечек в российских компаниях. В новых реалиях при выборе нужно обращать внимание и на функциональность, которая должна быть максимально широкой, и на соответствие критериям импортозамещения. Последнее обеспечит независимость системы безопасности вашего предприятия от изменений в политической повестке и международных отношениях.