среда, 16 ноября 2011 г.

Не секрет для производства


Тем из вас, дорогие друзья, кто читает блоги коллег и комментарии к их постам, должно быть хорошо известно мое скептическое отношение к так называемым DLP-системам. Не буду сейчас пересказывать все ранее написанное в комментариях - скажу основную мысль. Аббревиатура DLP расшифровывается как Data Leak (Loss) Prevention - предотвращение утечки (утери) данных. Ключевым словом в определении является "prevention" ("предотвращение") и, по моему глубокому убеждению, термин этот является чистой воды маркетинговым ходом: для того, чтобы научить такую систему действительно предотвращать утечки, нужно ровно столько же времени, сколько научить ишака разговаривать.

Оппоненты обычно возражают - дескать, как можно обнаружить утечку данных, не используя такую систему? На это я говорю, что во-первых, слово "обнаружение" переводится на английский как "detection" и аббревиатура должна звучать в этом случае как DLD, а во-вторых, сама система даже обнаружить утечку не в состоянии - за нее это делает специалист, анализирующий весь объем собранной информации. Для того, чтобы понять, почему так происходит, приведу в пример системы IDS/IPS: в их основе лежит схожая с DLP идеология работы, позволяющая анализировать сетевой трафик на предмет наличия в нем определенных групп данных, заранее описанных т. н. "сигнатурами". Поскольку анализируемые данные носят технический характер и протоколы их передачи заранее известны, эти "сигнатуры" создаются специалистами-исследователями из лабораторий производителя, и им же распространяются в качестве обновлений. В случае с DLP системами дело обстоит куда сложнее: анализируемые данные носят смысловую нагрузку, а характер информации уникален в каждом конкретном случае. Поэтому производитель DLP не имеет ни малейшего представления о том, как заранее настроить "сигнатуры", компенсируя это наращиванием функциональных возможностей "начинки".

Покупатель, поддавшийся на маркетинговые уловки, воспринявший DLP как панацею от всех своих бед и пожелавший приобрести самую "топовую" систему, в результате получает конструктор, по сложности сборки и эксплуатации схожий с дальнемагистральным самолетом и, при этом, без керосина в топливных баках. Для того, чтобы привести купленный комплект в состояние, пригодное для работы, может понадобиться сумма, сравнимая со стоимостью лицензий. "Керосин" же, коим являются те самые правила, по которым будет работать система, становится дороже золота: конечно, настроить детектирование паспортных данных или номеров кредитных карт особого труда не составит, но вот научить такую систему чему-то еще у пользователей терпения не хватает. Таким образом, в подавляющем большинстве случаев DLP превращается в обычный "перлюстратор", в лучшем случае категорирующий собранные данные по нескольким признакам, если оператор системы эти признаки не поленился настроить.

Оппоненты говорят, что DLP ни в коем случае нельзя рассматривать как панацею: для того, чтобы с нее был толк, она должна применяться в комплексе с другими организационными и техническими мерами обеспечения безопасности. С этим мнением нельзя не согласиться, однако далеко не каждый специалист, произносящий этот постулат, может назвать эти самые меры или хотя бы направления действий, ограничиваясь стандартными фразами вроде "надо делать СУИБ по ISO27001". Кроме того, ни одна из "других" мер не способна решить проблему превращения системы в DLD или "перлюстратор". Назначение этих мер состоит в том, чтобы решить главную проблему специалистов, анализирующих собранную информацию, формулируемую одним-единственным вопросом: что с этой информацией делать дальше?

Желающим "покопаться в чужом трафике" в поисках злостных разглашателей тайн и секретов прежде всего следует напомнить о части 2 статьи 23 Конституции РФ, декларирующей буквально следующее:

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. 

Именно из-за этой статьи вопрос легитимности DLP-систем до сих пор вызывает ожесточенные споры среди юристов, точки зрения которых условно можно разделить на два лагеря. Первые считают, что наличие у работодателя определенных мер, таких, как письменные обязательства работника не использовать корпоративные средства обмена информацией для личных нужд, ознакомление его с нормативным документом, устанавливающим методы контроля таких средств и письменное согласие на проведение такого контроля, может решить проблему тайны связи, так как она проистекает от неприкосновенности частной жизни и, стало быть, в служебной деятельности неприменима. Другие - напротив, утверждают, что Конституция "слепа" в отношении того, с личной или служебной целью этот самый "каждый" отправил свое "иное сообщение": нет решения суда - нельзя и все тут (неплохая статья Н.Федотова на эту тему).

Очевидно, "безопасник", решивший такую систему внедрить, должен прислушиваться к "первым", либо использовать различные "полулегитимные" варианты с обязательной театральной постановкой в конце и с ним самим в главной роли. Однако даже если все это выполнено, нарушитель известен и информация, что называется, "легализована", ответ на главный вопрос по-прежнему остается открытым.

Как известно, термина "конфиденциальная информация" в законодательстве РФ не существует: "трехглавый закон" оперирует перечнями вроде "информация в отношении которой требуется обеспечить конфиденциальность", "информация ограниченного распространения", "информация ограниченного доступа" и т.д. Отсутствуют и какие-либо санкции за разглашение этой самой "конфиденциальной информации": они применимы только в отношении охраняемых законом тайн, коих, по разным подсчетам, имеется от 30 до 65 штук (а, возможно, и более). Поэтому, если вы не "предотвращаете" с помощью DLP утечку какой-либо тайны, максимум, что вы сможете "предъявить" нарушителю - это нарушение требований внутреннего регламентирующего документа, запрещающего ему эту информацию разглашать.

Если такой документ имеется, и сотрудник с ним ознакомлен то, согласно ст. 192 ТК РФ, такие действия расцениваются как "неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей". За это, помимо лишения премии, работнику может быть объявлено замечание, сделан выговор, а также предусмотрено "увольнение по соответствующим основаниям". Основания эти прописаны в ст. 81 ТК РФ, которая говорит о том, что одного нарушения трудовой дисциплины для увольнения маловато: сотрудник должен как минимум еще раз разгласить "конфиденциальную информацию" и получить еще один выговор.

Совсем другое дело касается случая разглашения "охраняемой законом тайны": здесь, согласно п. 6 пп. В ст. 81 ТК РФ, "разгласителя" можно уволить "одним махом" и с первой попытки. Но в подавляющем большинстве коммерческих организаций, способных "осилить" DLP, по умолчанию никаких тайн не обрабатывается, а защищать персональные данные с их помощью вряд ли кто-то станет по собственной воле (разве что "заодно"). Получается, что в отсутствие "тайны" и "выхлоп" DLP-системы будет "нулевой"?

К счастью, любая коммерческая организация имеет право из "конфиденциальной информации" самостоятельно создать у себя такую тайну на законной основе: это ей позволяет сделать 98-ФЗ "О коммерческой тайне". Такая тайна называется "коммерческой", и главное, что необходимо сделать организации - установить специальный "режим коммерческой тайны", описанный в указанном законе. Дело это не такое простое, как кажется на первый взгляд, и сопряжено с определенными трудностями и большими затратами, однако, в случае успеха, организация получает возможность не только уволить "разгласителя", но и взыскать нанесенный ей ущерб в судебном порядке. Скептики, правда, считают, что взыскание ущерба в суде - дело безнадежное,  и судебная практика, в целом, это подтверждает. Однако ч.2 ст.183 УК РФ предусматривает суровое наказание и без ущерба, а сам факт возбуждения уголовного дела в отношении "разгласителя" является серьезным воспитательным моментом для всех остальных сотрудников организации.

Получается, что для получения должного эффекта, к стоимости внедрения "перлюстратора" под видом DLP, "обычной" организации необходимо прибавить стоимость внедрения режима коммерческой тайны? Нельзя ли как-то обойтись без этого? Можно, если бы DLP на 100% была бы тем, за что ее выдают маркетологи, и на 100% предотвращала (читай-блокировала) утечку всей конфиденциальной информации. Но и без реализации режима КТ толк от "перлюстратора" DPL, все же, имеется - прежде всего, как от источника информации, по которой могут работать специалисты по безопасности "смежных" направлений - экономической, кадровой и т.д. Кстати, очень часто именно в этих целях (иначе именуемых "хочу все знать") руководство и выделяет средства на внедрение DLP. Однако и здесь находятся "кадры", своими действиями успешно умножающие на 0 весь положительный эффект.

Не так давно один знакомый рассказал о том, как один сотрудник (допустим, Иванов С.П.) периодически отправлял различные аналитические отчеты, содержащие коммерческую тайну, на один и тот же адрес электронной почты, начинавшийся с ivanovsp. "Безопасники" это дело обнаружили и взяли объяснения, в которых он показал, что отправлял отчеты на свой адрес чтобы работать с ними дома, так как работу вовремя сделать не успевал. Под определение "разглашения КТ" этот случай не подпадал, так как было доказано, что ящик действительно принадлежал ему, однако режим КТ он явно нарушил. Было проведено служебное расследование, и руководитель организации принял решение не наказывать сотрудника на первый раз, а провести с ним разъяснительную работу. Через месяц сотрудник уволился по собственному желанию.

Поэтому самыми главными из всего комплекса мер являются приверженность руководства требованиям безопасности, постоянное повышение осведомленности сотрудников и обеспечение неотвратимости наказания. И когда вы реализуете все указанные выше меры и повторно  задумаетесь о приобретении DLP - результат может быть совсем неожиданным: ведь многое уже будет "перекрыто", а оставшиеся "дырки" можно будет закрыть другими, более дешевыми средствами.

Комментариев нет :

Отправить комментарий