Защита от утечек данных (DLP) является одним из самостоятельных направлений в области информационной безопасности. Его трудно отнести к новым подходам в ИБ — направление существует уже несколько лет и оформилось в отдельные продуктовые предложения, варианты которых, отличающиеся полнотой функционала и возможностями интеграции с другими ИБ-системами, можно найти в портфеле ряда ведущих мировых ИБ-вендоров. Однако очевидным и легко прогнозируемым развитие направления DLP назвать трудно.

Рынок

По данным ведущих аналитических компаний, объем мирового рынка DLP оценивался в 2011 г. в 425 млн. долл. (Gartner) и 447 млн. долл. (IDC), в 2012-м — соответственно в 535 и 540 млн. долл. Прогноз на текущий год — 670 млн. долл. (Gartner) и 634 млн. долл. (IDC). Как видим, расхождение в оценках параметров рынка составляет сегодня проценты, а не разы, как было несколько лет назад, что свидетельствует о том, что мировой рынок DLP становится все более структурированным и понятным для экспертов.

Российский рынок DLP мал по сравнению со многими другими ИБ-сегментами (например, он примерно в 10 раз уступает российскому рынку антивирусов), зато демонстрирует хорошую динамику: по оценкам Anti-Malware.ru, в 2012 г. он вырос на 50%, а в нынешнем году, как полагает генеральный директор группы компаний InfoWatch Наталья Касперская, вырастет как минимум на 40%. Да и доля российского DLP-рынка в общем объеме мирового — более 5% — превосходит долю многих других российских ИБ-рынков (например, того же антивирусного).

Высокие темпы роста отечественного рынка DLP г-жа Касперская объясняет осознанием заказчиками необходимости иметь представление о структуре своих внутрикорпоративных данных для эффективной борьбы с их утечками (что является обязательным условием успешного применения DLP-инструментов), а также высокой оценкой ими потенциала DLP-систем.

Примечательно, что на российском рынке DLP явно доминируют отечественные вендоры. Согласно данным Anti-Malware.ru, в 2012 г. на долю лидеров направления, российских компаний InfoWatch, “Инфосистемы Джет” и Zecurion, приходилось более 78% общего объема.

Стратегию трех зарубежных DLP-вендоров, составляющих в нашей стране конкуренцию российским лидерам (но при этом заметно от них отстающих), г-жа Касперская охарактеризовала так: Websence сосредоточилась на шлюзовых решениях; Symantec делает ставку на функциональную широту своего предложения; McAfee пытается играть в сегменте СМБ.

Общая оценка нынешнего состояния мирового рынка средств защиты от утечек, которую дала г-жа Касперская, ссылаясь на данные исследований IDC и Gartner, такова: рынок мал, узок и развивается не так, как хотелось бы DLP-вендору, которого она представляет.

Данное состояние рынка DLP в России исполнительный директор ГК InfoWatch Всеволод Иванов объясняет ориентацией функционала DLP-систем только на защиту от утечек, а также тем, что этим функционалом распоряжаются по большей части корпоративные ИБ-подразделения, которые не могут донести до бизнес-подразделений масштабность угроз, связанных с утечками, и которые к тому же финансируются в организациях по остаточному принципу, что свидетельствует о преобладающей в нашей стране невысокой оценке места ИБ-службы в компании.

Утечки

Чтобы получить представление об актуальности и серьезности угроз, связанных с утечками информации, следует обратиться к статистике. Сразу нужно оговориться, что сбор такой статистики чрезвычайно затруднен полным нежеланием предприятий и организаций придавать гласности факты утечек. Большим подспорьем в деле хоть какого-то прояснения ситуации являются установленные в некоторых странах, например в США, законодательные требования о публикации в обязательном порядке сведений об утечках.

Мониторинг открытой информации об утечках данных в мире, который InfoWatch проводит с 2007 г. (и который, по оценкам аналитиков этой компании, дает представление не более чем о 2% реального количества утечек), свидетельствует об увеличении их числа после наметившегося в 2010—2011 гг. сокращения роста.

В распределении утечек по техническим каналам, согласно данным InfoWatch, лидируют утечки через бумажные носители, причем с демонстрацией роста доли в общем объеме. При этом почти вдвое сократилось количество утечек через веб-каналы, составлявших всегда солидную часть. Этот факт должен подвигнуть компании внимательнее контролировать как локальную, так и сетевую офисную печать.

Безусловным лидером среди утекающей информации являются персональные данные — почти 90%. При этом г-жа Касперская подчеркнула, что в России намеренно крадут информацию (а не допускают утечек по недосмотру) почти вдвое чаще, чем во всем мире (77% против 46% от общего количества утечек).

Исследование компании Zecurion и портала Superjob.ru, проведенные в апреле текущего года в нашей стране, подтверждают низкую лояльность российских наемных работников по отношению к работодателям: более чем для половины из принявших участие в опросе личная подпись под соглашением о неразглашении конфиденциальных сведений при трудоустройстве не является препятствием для передачи корпоративной информацию вовне по незащищенным каналам и выноса электронных документов на уязвимых мобильных носителях.

Результаты исследований, выполненных компанией “МФИ Софт” в России в нынешнем апреле, отличаются от результатов международных исследований InfoWatch. По оценка российских респондентов, наиболее актуальными на сегодняшний день каналами утечек данных стали шифрованная электронная почта (в том числе личная, на бесплатных сервисах), социальные сети и USB-носители (флэшки, внешние жесткие диски и т. д.). А вот за офисную печать и интернет-мессенджеры (исключая Skype) наши ИБ-специалисты беспокоятся заметно меньше.

Исследование Zecurion и Superjob.ru, проведенное у нас в стране также в апреле этого года, подтверждают результаты “МФИ Софт” относительно каналов утечек: чтобы похитить данные, злоумышленники из числа персонала чаще всего пользуются флэшками и электронной почтой.

DLP-системы: состояние и перспективы развития

Большая часть респондентов исследований “МФИ Софт” при выборе систем DLP обращает особое внимание на скорость поступления уведомлений о нарушениях установленных в компании ИБ-политик — они предпочитают, чтобы система уведомляла своего администратора в режиме реального времени. В числе приоритетов российских DLP-пользователей также простота интеграции DLP-системы с другими компонентами корпоративной ИБ-системы. Менее других возможностей они заинтересованы в блокировке действий пользователей средствами DLP, объясняя это опасениями за снижение скорости и качества работы системы.

Специалисты InfoWatch рекомендуют различать в жизни DLP-систем три этапа: этап, предваряющий внедрение и подготавливающий заказчика к внедрению системы; развертывание и эксплуатация системы; использование DLP-системы в расследовании инцидентов, связанных в том числе с передачей результатов расследований в суд.

Первый, очень трудоемкий этап InfoWatch постаралась автоматизировать за счет программной утилиты “Автолингвист”, упрощающей процесс категоризации корпоративных данных и позволяющей экономить на привлечении (недешевых) консультантов.

Качественно выполненная категоризация, по словам г-жи Касперской, упрощает развертывание DLP-системы настолько, что заказчики в состоянии в короткие сроки выполнить ее самостоятельно.

В реализации последнего этапа ГК InfoWatch сотрудничает с российской компанией Group-IB. Однако результаты этого сотрудничества г-жа Касперская оценивает невысоко из-за отсутствия (пока) спроса на этот вид работ.

InfoWatch планирует использовать в рамках DLP-системы для выявления фактов утечек информации в Интернете функционал другого ее продукта — Kribrum, реализующего облачный сервис автоматизированного мониторинга и анализа веб-ресурсов. Г-жа Касперская считает такое расширение возможностей DLP-систем одним из перспективных направлений развития рынка защиты от утечек.

Возможности использования DLP в сегменте малого и среднего бизнеса, по мнению специалистов ГК InfoWatch, ограничиваются низкой платежеспособностью этой категории заказчиков и высокой стоимостью услуг на этапе, предваряющем внедрение и связанном с подготовкой к процессу категоризации данных. Как считают в InfoWatch, изменить ситуацию можно за счет обучения партнеров и расширения партнерской сети и/или построения облачного DLP-сервиса. Однако, по оценкам специалистов компании, это длительный и затратный процесс, результаты которого рынок увидит не скоро.

Развернуть DLP лицом к бизнесу, по мнению г-на Иванова, поможет ориентация заказчиков не на защиту от утечек данных во всех возможных форматах представления по максимально широкому спектру технических каналов, а на предотвращение наиболее опасных, в соответствии с внутрикорпоративной шкалой рисков, внутренних угроз.

ГК InfoWatch намерена переключиться с рынка DLP на рынок средств защиты от внутренних угроз. Согласно представлению руководства этого холдинга защита от внутренних угроз разделяется на три составляющие:

  • определение внутренних угроз — мониторинг состояния активов компании (сотрудники и информационные системы) для раннего обнаружения наиболее опасных угроз утечек информации;
  • защита от утечек данных — классический DLP-фукционал;
  • обнаружение источников утечек данных — расследование инцидентов, связанных c движением информации, обнаружение и идентификация источников утечек и мест их распространения.

Как сообщил г-н Иванов, InfoWatch будет в ближайшей перспективе уделять внимание первому и третьему компонентам защиты от внутренних угроз, которые по сути не являются компонентами систем защиты от утечек, с тем чтобы предлагаемые холдингом решения помогали заказчикам предугадывать и обнаруживать на ранней стадии потенциальные угрозы утечек информации.

Как показывают исследования компаний Zecurion и Superjob.ru, утечки информации в российских компаниях происходят фактически безнаказанно — лишь менее чем в одном проценте выявленных инцидентов виновных инсайдеров привлекают к уголовной ответственности. Что же касается величины причиняемого утечками ущерба, то, по оценкам г-на Иванова, стоимость внедрения и обслуживания системы защиты корпоративной информации от внутренних угроз соизмерима с размером потерь от одного небольшого инцидента, связанного с утечкой.