Pull to refresh

Эффективность применения DLP-системы на примере буровой компании

Piccy.info - Free Image Hosting

С конца 2012 года в корпоративной вычислительной сети нашей буровой компании развернут «Контур информационной безопасности «SearchInform». Выбор на него пал из чисто экономических соображений – в 2009 году, когда мы выбирали DLP-систему, контур был единственной системой, которую нам согласились дать протестировать на месяц бесплатно.

Специфика нашей компании, да и отрасли в целом, такова, что решения по информационной безопасности принимаются неторопливо, и после положительно решения об успешном прохождении испытаний, прошло еще три года, прежде чем было осуществлено внедрение.

За это время контур успел здорово измениться, обрасти новыми возможностями и на момент внедрения располагал следующим арсеналом:

  • почтовый снифер – контроль почты;
  • http(s)-снифер – контроль http(s)-трафика;
  • IM-снифер – контроль интернет-пейджеров типа ICQ, QIP и тп.;
  • девайс-снифер – контроль внешних носителей;
  • скайп-снифер – контроль скайпа;
  • монитор-снифер – контроль действий пользователя по скриншотам с монитора или в режиме «live view»;
  • файл-снифер – контроль действий пользователя при работе с файлами;
  • принт-снифер – контроль документов, посланных на печать.

Политика нашей компании в области информационной безопасности заключается в том, что ИБ не мешает бизнесу, а помогает ему, и ограничение пользователей в доступе к информации и устройствам не приветствуется. Они свободно используют флешки, имеют доступ к бесплатной личной почте, пользуются «защищенным» скайпом. Это приводит к тому, что для пользователя контроль не заметен и создается иллюзия его полного отсутствия. Поэтому, когда злоумышленник прикидывает варианты передачи информации «на сторону» у него нет проблем с выбором, и этот выбор в пользу легких решений – тех каналов, которые контролируют сниферы контура.

Собранная сниферами информация попадает в SQL-базы, а затем индексируется. Для работы с индексами контура специалист ИБ использует центр оповещения (Alert Center), где под нужные нам задачи настраиваются политики обработки индексов, и центр формирования отчетов (Report Center), в котором можно построить отчет и провести анализ действий пользователя по протоколам и времени работы, посмотреть его связи и их интенсивность с другими пользователями и многое другое.

Не буду описывать здесь возможности контура в поиске по индексам – все наверняка изложено на сайте производителя, скажу лишь, что это действительно гибкие возможности поиска.

Лучше постараюсь кратко рассказать, на чем попадались инсайдеры в нашей компании в 2013 году и как еще используется контур помимо выявления инсайдеров.

Основная информация, которую пытаются использовать в корыстных целях это информация по проводимым конкурсам. Как правило, в буровой компании конкурсы на сотни миллионов рублей, и проходят они в несколько этапов. Как раз перед очередным этапом конкурса в лоббируемую компанию и пытаются передать информацию о ее конкурентах. Причем, как правило, злоумышленники не затрудняет себя, и скидывают конкурсную информацию, отработанную по установленным в нашей компании формам не прибегая к их модификации.

Другой вид информации – это планы закупок. По сравнению с предыдущим случаем, это более общая информация, и ее утечка встречается реже, но она более ценная. Дело в том, что компания закупает оборудование, ЗИП и расходные материалы на миллиарды рублей. Зная где, когда, какое оборудование и по каким ценам мы готовы приобрести, компания-посредник может заранее авансировать заводы-изготовители, у которых вечно проблемы с финансами, получить существенную скидку и победить в любом конкурсе.

Своевременное обнаружение таких случаев дает понимание руководству компании, до каких пор можно «выжимать» потенциальных контрагентов при торгах на последнем этапе конкурса, сводя откаты инсайдеров к нулю.

Попадаются нарушители информационной безопасности, сливающие конфиденциальную информацию, которая не монетизируется но имеет ценность – это информация о планах работы, технических возможностях и прочее. Как правило, они это делают в качестве услуги при общении со своими коллегами из других компаний, с которыми вместе работали или учились. Такие товарищи тоже осознают, что поступают нехорошо, поэтому нередко в теле письма или прямо в теме предупреждают собеседника: «строго конфиденциально!». Понятно, что любая DLP-система находят такие сообщения на раз.

Помимо утечки информации мы используем контур для выявления «группы риска»: наркоманов, игроков, лиц нетрадиционной сексуальной ориентации. Смысл их выявления в том, чтобы найти таких сотрудников раньше, чем их начнут шантажировать и использовать против компании. Группа риска выявляется при поиске по словарям. Словари можно составить самим, а можно попросить в техподдержке компании производителя.

Кроме того, с помощью контура информационной безопасности мы выявляем признаки перехода сотрудника в другую компанию. Первым таким индикатором является отправка резюме. Вторым – резкое увеличение количества записываемых файлов на внешние носители. Благодаря контуру служба безопасности успевает принять меры и ограничить доступ такого сотрудника к информации, которую он бы хотел оставить себе на память.

По итогам 2013 года мною была оценена экономическая эффективность внедрения контура информационной безопасности в нашей компании. За год общая стоимость проектов, по которым был выявлен слив информации, составила 3,5 млрд. руб. Если за среднюю величину откатов взять 10%, то благодаря своевременному выявлению утечек получилось сэкономить 350 млн. руб. Это в 50 раз больше, чем стоило внедрение контура. Красивая цифра получилась случайно, могу ошибаться на 10-20 млн. в ту или другую сторону, что не имеет большого значения. Такой эффективности не ожидал никто. Она позволила руководству компании относиться более снисходительно к затратам на информационную безопасность, а нам дала возможность отстаивать другие проекты.

Надеюсь, что моя статья окажется полезной коллегам из других компаний в обосновании необходимости внедрения DLP-систем.
Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.