Эффективность применения DLP-системы на примере буровой компании
Invite pending
С конца 2012 года в корпоративной вычислительной сети нашей буровой компании развернут «Контур информационной безопасности «SearchInform». Выбор на него пал из чисто экономических соображений – в 2009 году, когда мы выбирали DLP-систему, контур был единственной системой, которую нам согласились дать протестировать на месяц бесплатно.
Специфика нашей компании, да и отрасли в целом, такова, что решения по информационной безопасности принимаются неторопливо, и после положительно решения об успешном прохождении испытаний, прошло еще три года, прежде чем было осуществлено внедрение.
За это время контур успел здорово измениться, обрасти новыми возможностями и на момент внедрения располагал следующим арсеналом:
- почтовый снифер – контроль почты;
- http(s)-снифер – контроль http(s)-трафика;
- IM-снифер – контроль интернет-пейджеров типа ICQ, QIP и тп.;
- девайс-снифер – контроль внешних носителей;
- скайп-снифер – контроль скайпа;
- монитор-снифер – контроль действий пользователя по скриншотам с монитора или в режиме «live view»;
- файл-снифер – контроль действий пользователя при работе с файлами;
- принт-снифер – контроль документов, посланных на печать.
Политика нашей компании в области информационной безопасности заключается в том, что ИБ не мешает бизнесу, а помогает ему, и ограничение пользователей в доступе к информации и устройствам не приветствуется. Они свободно используют флешки, имеют доступ к бесплатной личной почте, пользуются «защищенным» скайпом. Это приводит к тому, что для пользователя контроль не заметен и создается иллюзия его полного отсутствия. Поэтому, когда злоумышленник прикидывает варианты передачи информации «на сторону» у него нет проблем с выбором, и этот выбор в пользу легких решений – тех каналов, которые контролируют сниферы контура.
Собранная сниферами информация попадает в SQL-базы, а затем индексируется. Для работы с индексами контура специалист ИБ использует центр оповещения (Alert Center), где под нужные нам задачи настраиваются политики обработки индексов, и центр формирования отчетов (Report Center), в котором можно построить отчет и провести анализ действий пользователя по протоколам и времени работы, посмотреть его связи и их интенсивность с другими пользователями и многое другое.
Не буду описывать здесь возможности контура в поиске по индексам – все наверняка изложено на сайте производителя, скажу лишь, что это действительно гибкие возможности поиска.
Лучше постараюсь кратко рассказать, на чем попадались инсайдеры в нашей компании в 2013 году и как еще используется контур помимо выявления инсайдеров.
Основная информация, которую пытаются использовать в корыстных целях это информация по проводимым конкурсам. Как правило, в буровой компании конкурсы на сотни миллионов рублей, и проходят они в несколько этапов. Как раз перед очередным этапом конкурса в лоббируемую компанию и пытаются передать информацию о ее конкурентах. Причем, как правило, злоумышленники не затрудняет себя, и скидывают конкурсную информацию, отработанную по установленным в нашей компании формам не прибегая к их модификации.
Другой вид информации – это планы закупок. По сравнению с предыдущим случаем, это более общая информация, и ее утечка встречается реже, но она более ценная. Дело в том, что компания закупает оборудование, ЗИП и расходные материалы на миллиарды рублей. Зная где, когда, какое оборудование и по каким ценам мы готовы приобрести, компания-посредник может заранее авансировать заводы-изготовители, у которых вечно проблемы с финансами, получить существенную скидку и победить в любом конкурсе.
Своевременное обнаружение таких случаев дает понимание руководству компании, до каких пор можно «выжимать» потенциальных контрагентов при торгах на последнем этапе конкурса, сводя откаты инсайдеров к нулю.
Попадаются нарушители информационной безопасности, сливающие конфиденциальную информацию, которая не монетизируется но имеет ценность – это информация о планах работы, технических возможностях и прочее. Как правило, они это делают в качестве услуги при общении со своими коллегами из других компаний, с которыми вместе работали или учились. Такие товарищи тоже осознают, что поступают нехорошо, поэтому нередко в теле письма или прямо в теме предупреждают собеседника: «строго конфиденциально!». Понятно, что любая DLP-система находят такие сообщения на раз.
Помимо утечки информации мы используем контур для выявления «группы риска»: наркоманов, игроков, лиц нетрадиционной сексуальной ориентации. Смысл их выявления в том, чтобы найти таких сотрудников раньше, чем их начнут шантажировать и использовать против компании. Группа риска выявляется при поиске по словарям. Словари можно составить самим, а можно попросить в техподдержке компании производителя.
Кроме того, с помощью контура информационной безопасности мы выявляем признаки перехода сотрудника в другую компанию. Первым таким индикатором является отправка резюме. Вторым – резкое увеличение количества записываемых файлов на внешние носители. Благодаря контуру служба безопасности успевает принять меры и ограничить доступ такого сотрудника к информации, которую он бы хотел оставить себе на память.
По итогам 2013 года мною была оценена экономическая эффективность внедрения контура информационной безопасности в нашей компании. За год общая стоимость проектов, по которым был выявлен слив информации, составила 3,5 млрд. руб. Если за среднюю величину откатов взять 10%, то благодаря своевременному выявлению утечек получилось сэкономить 350 млн. руб. Это в 50 раз больше, чем стоило внедрение контура. Красивая цифра получилась случайно, могу ошибаться на 10-20 млн. в ту или другую сторону, что не имеет большого значения. Такой эффективности не ожидал никто. Она позволила руководству компании относиться более снисходительно к затратам на информационную безопасность, а нам дала возможность отстаивать другие проекты.
Надеюсь, что моя статья окажется полезной коллегам из других компаний в обосновании необходимости внедрения DLP-систем.