Проблемы на пути внедрения системы защиты от утечек информации

Почему, несмотря на актуальность проблемы утечек информации многие компании уделяют ей недостаточно внимания? Ведь сегодня можно легко найти качественное, эффективное и надежное решение этой проблемы, что сэкономит компании и ее клиентам огромное количество денег и нервов, не говоря уже о репутации.

Любая компания, всерьез озаботившаяся проблемой защиты от утечек данных, может найти качественное, эффективное и надежное решение и успешно внедрить его в производственной инфраструктуре, сэкономив для себя и своих клиентов огромное количество денег и нервов, не говоря уже о сохранении репутации.

На сегодняшний день проблема защиты информации от разного рода утечек – будь то хакерская атака, инсайдер или элементарная халатность сотрудников – приобретает все большую актуальность. Согласно данным аналитического центра Perimetrix, за первый квартал 2008 г. от утечек пострадали как минимум 9.197 млн. человек. Довольно значительная, хотя и далеко не рекордная цифра – численность пострадавших в результате крупнейшей утечки в истории (TJX) была практически в 10 раз больше.

УТЕЧКИ ИНФОРМАЦИИ – ПРОБЛЕМЫ И СРЕДСТВА ИХ РЕШЕНИЯ

Исследования показали, что 84% утечек возникают из-за одной из четырех наиболее популярных причин: кража носителя, инсайд, хакерская атака или веб-утечка.

К решению проблемы утечек разные компании подходят по-разному. Среди наиболее активно используемых средств – антивирусы, межсетевые экраны и средства контроля доступа. Однако эффективность этих средств достаточно низка. Антивирус предотвращает потерю данных от вирусной атаки, однако совершенно не защищает данные от просмотра или копирования. Межсетевые экраны защищают только периметр сети и совершенно не влияют на передачу данных внутри компании. Средства контроля доступа совершенно не учитывают вероятность инсайдерской атаки или потери носителя с информацией. Намного более эффективным "лекарством" являются системы предотвращения утечек данных (Data Leak Prevention, DLP), но они очень сложны во внедрении и поддержке, поэтому на сегодняшний день их использует не более четверти предприятий.

Почему же, несмотря на актуальность проблемы и такое большое количество сообщений об утечках информации в прессе, многие компании уделяют этой проблеме недостаточно внимания?

АНАЛИЗ ПРОБЛЕМ

В 2008-м году компания Perimetrix провела опрос сотрудников 472 российских организаций, который выявил много закономерностей в сфере защиты от утечек данных. Согласно полученным ответам, главными препятствиями на пути внедрения защиты от утечки данных являются (см. рисунок):

  • неэффективность предлагаемых технологий (49% опрошенных);
  • бюджетные ограничения (26%);
  • трудности с внедрением (11 %);
  • отсутствие квалифицированных кадров (7%);
  • юридические барьеры (4%);
  • другие причины (3%).

Что мы можем увидеть из этих результатов?


Припятствия на пути внедрения защиты утечки данных

Неэффективность технологий

Во-первых, респонденты считают, что на сегодняшний день не существует технологии, способной обеспечить достаточный уровень защиты от утечек. Эффективность систем контентной фильтрации составляет около 80% – то есть каждая пятая попытка передать конфиденциальную информацию может оказаться успешной. Впрочем, это имеет место для устаревших технологий, вроде электронных меток или пассивного мониторинга. Современные концепции, такие как Secret Document Lifecycle, дают практически 100% результат при защите классифицированных данных.

Кроме того, многие компании просто не хотят (или не умеют) применять имеющиеся технологии. Согласно исследованиям корпорации Microsoft, в Украине только 12 % компаний более чем на 70% используют возможности по защите данных, встроенные в операционные системы, серверные и клиентские продукты. Скомбинировав эти возможности с одним или несколькими продуктами, защищающими от утечек на разных этапах жизненного цикла документов, можно получить вполне надежную защиту от умышленных и неумышленных утечек. Например, внедрив на должном уровне шифрование ноутбуков с помощью технологии BitLocker, компании полностью избавляют себя от рисков утечки данных, связанных с утерей и кражей портативных компьютеров.

Бюджетные ограничения

Здесь следует сделать ряд важных оговорок.

Отчет Global State of Informational Security, опубликованный CIO Magazine, показывает, что в среднем на безопасность в 2007-м году предприятия потратили 5,9 % своего ИТ-бюджета. Это не настолько значимая сумма, особенно, если учесть, что многие программные и аппаратные решения уже содержат в себе средства обеспечения безопасности, которые в этой статистике не учтены, и без которых ИТ-инфраструктура компании просто не сможет выполнять свои функции. Если несколько увеличить эту долю, можно добиться весьма существенных результатов.

Вторая оговорка касается уже упомянутой выше вопиющей неэффективности использования имеющихся средств. Повышение "уровня зрелости" компании (например, по классификации Microsoft их насчитывается четыре – базовый, стандартизированный, рациональный и динамический), а проще говоря – наведение порядка в инфраструктуре компании при имеющихся средствах – во-первых, снижает общую стоимость владения и быстро окупается, а во-вторых, уменьшает количество инцидентов безопасности приблизительно в 10 раз на каждый уровень.

Третий важный момент – непонимание важности проблемы лицами, ответственными за принятие решений и распределение бюджета. Например, в том же отчете Global State of Informational Security указана очень интересная закономерность. По результатам опроса, исполнительные директора и главы правлений различных компаний указывали меньшее число инцидентов безопасности, чем IT-директора и офицеры безопасности этих же компаний. Кроме того, высшие руководители компаний высказывали гораздо больше оптимизма по поводу надежности их системы безопасности, соответствия стандартам и международным нормам, но при этом давали более скромные прогнозы по поводу увеличения бюджетов для обеспечения безопасности, чем люди, которые непосредственно за это отвечают. Это означает, что для сохранения своей репутации и карьеры инциденты и проблемы часто скрывались сотрудниками компании от высшего руководства. Таким образом, руководители компаний не только недостаточно компетентны в вопросах сетевой безопасности, но и не знают глубины и сложности проблем, с которыми сталкиваются их подчиненные для ее обеспечения.

Трудности внедрения

На сегодняшний день лишь немногие компании способны самостоятельно внедрить комплексные информационные системы. А привлекать для внедрения систем безопасности сторонние организации означает фактически предоставить им доступ к засекреченным данным, что слишком рискованно даже для западных стран и часто совершенно неприемлемо для стран СНГ, где практически нет достаточно авторитетных компаний, способных гарантировать неприкосновенность и конфиденциальность секретных данных.

В чем же основные трудности внедрения?

Пержде всего, для обеспечения защиты данных следует их классифицировать, то есть определить, какие данные нужно защищать, а какие – нет. Вот на этом этапе и обнаруживается первый подводный камень. Классификация данных – это очень долгий и трудоемкий процесс. Для того, чтобы успешно его провести, необходимо четкое понимание схемы хранения, движения и обработки данных в компании, специфики работы каждого ее подразделения и взаимодействие с другими компаниями и государственными структурами. Кроме того, компании не стоят на месте, они развиваются, открывают новые филиалы, создают новые проекты и направления, закрывают бесперспективные. А это значит, что прошлогодняя классификация данных в этом году может уже оказаться устаревшей, и процесс необходимо начинать заново.

Второй подводный камень заключается в необходимости обеспечить выполнение предписанных политик безопасности. И одними технологическими средствами здесь не обойтись – необходимы юридические и административные меры, за которые, как правило, ИТ-персонал и служба информационной безопасности не отвечает.

Третий подводный камень – это обеспечение баланса безопасности и бизнеса. Все-таки, главной целью коммерческих компаний является не безопасность, а получение прибыли за счет предоставления продуктов или услуг. И если средства защиты от утечек данных будут существенно усложнять производственный процесс или каким-то образом мешать ему, то такие средства (даже самые эффективные и надежные) скорее всего использоваться не будут.

Решаются ли эти проблемы? Как показывает опыт многих компаний по всему миру, решаются и вполне успешно. Главное понимать, что внедрение подобной системы происходит один раз, а ее результаты останутся на страже конфиденциальных данных компании на многие годы.

Нехватка квалифицированных кадров

Несмотря на то, что все вендоры стараются снабдить свои продукты максимальным количеством технической документации, тренингами и курсами, найти действительно квалифицированного специалиста по новому продукту бывает крайне сложно. Здесь можно посоветовать несколько путей решения этой проблемы.

Первый – подготовить таких специалистов самостоятельно. Вложив деньги в обучение персонала, компании получают не только лояльных сотрудников достаточно высокого уровня квалификации, но и имеют возможность обмена информацией по внедрению и поддержке этих продуктов с сотрудниками других компаний и со специалистами, которые их обучали.

Второй способ – пригласить специалистов со стороны. Однако здесь необходимо учитывать, что, хотя сторонняя организация и обеспечивает внедрение системы, ее поддержку и обслуживание, а также дальнейшее развитие, придется обеспечивать в основном своими силами. Поэтому, заказывая внедрение комплексной системы защиты от утечки данных, необходимо обязательно включить в контракт и обучение ваших сотрудников.

Юридические барьеры

Здесь идет речь о двух нюансах.

Первый – это морально-этическая сторона вопроса, ведь специалистам по безопасности необходимо будет просматривать не только деловую, но и личную переписку сотрудников. Впрочем, на работе сотрудники должны заниматься работой, и в компаниях, которые серьезно относятся к защите своих данных, личная переписка сотрудников в рабочее время недопустима.

Второй нюанс – это необходимость юридического вмешательства в случае выявления нарушения. Если выявлено небольшое или неумышленное нарушение, такого сотрудника можно оштрафовать, уволить или применить какие-нибудь дисциплинарные меры, предусмотренные внутренними нормативными документами компании. Но как быть, если утечка уже произошла и прямые и косвенные потери от нее исчисляются миллионами гривен? Одного увольнения провинившегося сотрудника тут недостаточно. А при современном довольно несовершенном законодательстве доказать на суде вину сотрудника, и, тем более, заказчика украденной информации практически невозможно. К сожалению, на сегодняшней день такая проблема существует, и единственное правильное ее решение – это обеспечить такой уровень безопасности, при котором вероятность такого неприятного события будет стремиться к нулю.

ЗАКЛЮЧЕНИЕ

Из всего сказанного можно сделать вывод, что любая компания, всерьез озаботившаяся проблемой защиты от утечек данных, может найти качественное, эффективное и надежное решение. И успешно внедрить его в производственной инфраструктуре, сэкономив для себя и своих клиентов огромное количество денег и нервов, не говоря уже о репутации.

— Владислав Грам, старший инструктор-консультант Центра Знаний компании "Инком"

2008.10.27
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".