31 октября 2011 г.

Конференцией по DLP навеянное

С удовольствием провел пятницу на 4-й международной конференции по DLP. То же «Инфопространство», что и на конференции по персданным, но как-будто другой мир. В ИБ стали появляться нестандартные, отлично организованные мероприятия. И люди вроде бы все те же, знакомых – больше половины зала. И тема понятная, и не новая (хотя бы потому, что конференция четвертая). Но ведь интересно!
Четыре белых кресла на сцене, внятный ведущий-модератор, первое же перпендикулярное выступление от IDC (а про DLP вообще не говорим, у нас – другое), затем – совсем неожиданная, редкой честности и глубины, с раскладываем ситуации по полочкам презентация Натальи Касперской, следом – Владимира Денежкина из «Трафики», совсем молодого вендора подобных решений, в котором вся почтительность к маститому конкуренту (а как еще иначе назвать?) сводились к обращению «Наталья Ивановна». И понеслось.
Какая-то совсем неформальная атмосфера, полное отсутствие традиционных для такого мероприятия оргпроблем. Шампанское и саксофон на десерт.
Не буду пересказывать, кто и чего сказал. После обеда было пять или шесть параллельных потоков, а побывал только на одном. Было бы несправедливо только об услышанном говорить.
А вот поделиться выводами из того, что услышал, готов. Наиболее концентрировано проблемы, сдерживающие внедрение DLP обозначила Н.Касперская, и сводятся они к достаточно очевидному: заказчик хочет быстро и дешево, да еще так, чтобы поставил и забыл. А получается исключительно дорого и долго, и системами надо постоянно заниматься. Из-за этого они плохо развиваются, медленно наращивается функциональность. Кроме этой глобальной проблемы по-прежнему нет переводчика между бизнесом, которому вроде бы такие решения нужны, и ИБ, которая их вдвигает. Объяснить, зачем, чаще всего не получается. Да еще по-прежнему вызывает сомнение сама законность применения средств контроля за действиями работников. Россию можно считать еще более-менее нейтральной страной между не слишком боящимися нарушения privacy азиатскими государствами и европейцами, категорически не готовыми спорить с профсоюзами, защищающими права работников.
Вся эта гремучая смесь сдерживает внедрение полезной, а иногда – и крайне необходимой системы.
Что по этому поводу думается. Научиться разговаривать с бизнесом все-таки придется. Именно из-за дороговизны, сложности и специфичности используемых методов защиты. Детскую болезнь ИБ лечить все равно надо.
Почему плохо продается? Потому что пытаются продавать софт, решение, продукт. Не получится. Продавать надо технологию, заточенную под конкретную проблему (или проблемы), и не с мануалом, а с дорожной картой. А для этого с бизнес-проблемами придется разбираться разработчикам или нанимать того, кто разбирается. И не просто нанимать, а еще и учитывать их мнение при разработке,
Внедренцы должны прийти, понять, для чего систему собираются использовать, и рассказать, как этой цели достичь. Например, защищать коммерческую тайну. Как конкретно? Какие конкретно процедуры запустить? Как организовать контроль? Можно ли срастить DLP с IAMS, IRM/RMS и СЭДО? Объяснят – купят. Нет – соответственно.
Надо определять роли и права, инвентаризовать ресурсы и выделить в них защищаемые сведения. Причем рассказать, как это сделать и при чем здесь DLP, должны внедренцы, не надеясь, что заказчик все сделает сам, а их дело - только поставить и запустить собственно систему.
Пока это не осилят, продаваться будет плохо. Потому что дорого, сложно и долго. Очень хочется надеяться, что осилят. У решения обозначилась очевидная ниша, причем, что очень важно – именно для бизнеса, а не для ИБ. Не для межсетевого экранирования или предотвращения вторжений, объяснить суть которых бизнесу практически невозможно. А для предотвращения ухода к конкуренту коммерчески ценной информации. Или поимки крота конкурента. Или уменьшения стоимости эксплуатации покупаемых ИТ-сервисов. Это все – про деньги И бизнесу понятно. Если объяснить.

6 комментариев:

  1. Я бы добавил, что когда все "подготовительные" (а на самом деле стандартные для любой СУИБ) меры реализованы, то потребность в многофункциональной ДЛП запредельной стоимости резко снижается - для "затыкания" дырок можно выбрать решения несколько попроще и гораздо дешевле. А если эти меры не выполнены, то ДЛП превращается в типичный перлюстратор.

    ОтветитьУдалить
  2. Алексей, не могу с Вами согласиться. Стандартные меры не перекрывают каналы утечки от инсайдеров, поскольку изначально предполагается, что они - легитимные пользователи информацией и ресурсами. И проще и дешевле не получается. IRM/RMS также крайне сложны и дороги, плюс требуют постоянного администрирования. Но есть очень тонкая проблема, с которой, ИМХО, столкнулись разработчики DLP. Рост функционала расширяет возможности, но крайне усложняет решение. И это большая засада.

    ОтветитьУдалить
  3. Нет такого информационного актива, который бы не утянул инсайдер. Все решают время, деньги и уровень его доступа. Все, что нельзя записать в электронном виде - можно сфотографировать на мобилу или сказать устно. И грифы никого не остановят, и ДЛП в ее существующем виде тем более не спасет. Другое дело, что без соответствующих средств факт не обнаружить - но это "стрельба по хвостам", и термин ДЛП к такой процедуре едва ли применим.

    ОтветитьУдалить
  4. Алексей, ну кто бы спорил. Утечки - вероятностная модель с неизвестным распределением. Все, что хотят украсть - украдут. Выучат наизусть. Речь идет только о снижении уровня угроз, в данном случае - за счет вероятности реализации. И не только хвостов. Контроль в реальном времени - это тоже мера. С блокировкой действий до разбора. Все зависит от того, что DLP умеет, как ее настроили и что умеет из ее возможностей использовать CISO, ну, или кому он там доверился.

    ОтветитьУдалить
  5. Выходит ДЛП - по большей степени мера "от дурака", отсюда - возвращаемся к комментарию №1: если в организации реализованы меры, стандартные для СУИБ, вероятность реализации угроз по многим направлениям может быть снижена до приемлемого, а оставшиеся "дырки" можно закрыть и более дешевыми средствами :))

    ОтветитьУдалить
  6. Опять не согласен. Дурак - это тот, кто сливает ИКТ мылом? Делает copy-past? Сохраняет под другим именем в другом месте? Алексей, Вы слишком высокого мнения о человечестве. Стандартными мерами от утечки через инсайдера не защитишься. Какие дешевые средства можете предложить?

    ОтветитьУдалить