Почему я не люблю DLP: причина первая.

Аватар пользователя anvolkov
Автор: Волков Алексей,
(9)
()
Опубликовано в:

На самом деле, я давно написал статью с похожим названием, но побаивался ее публиковать - слишком уж откровенной она получилась. Потому что ситуация, связанная с реальным, практическим применением "этих" средств, ассоциируется с каким-то "тайным грехом": все делали, делают или втайне помышляют об "этом", многим "это" понравилось и они хотят продолжать и разнообразить свои занятия, кое-кто даже делится впечатлениями с очень-очень близкими друзьями. Все без исключения знают, что "это" происходит где-то и с кем-то круглосуточно, включая данный конкретный момент времени, но практически никто об "этом" в открытую не говорит. Практически - потому, что  занятие "этим", по понятным причинам, не приносит обоюдного удовольствия действующим лицам: всегда счастлива только одна сторона.

Разработчики "этих" средств охотно выступают в роли специализированных тематических магазинов, охотно предлагающих предающимся "тайному греху" согражданам удивительные "штуки" любого функционала и масштаба,охотно рекламируя их внешний вид и возможности, причем делают это в открытую, никого не стесняясь. Оно и понятно - инструмент есть инструмент: выглядит привлекательно и умеет вызывать огоньки возбуждения в глазах потенциальных потребителей.

Именно поэтому я несколько раз начинал, прекращал, переписывал отдельные части, удалял и менял формулировки. Потом на пару месяцев бросил, затем снова перечитал и, как говорится, понял - дабы никоим образом не обидеть ни тех, кто "этим" реально занимается, ни тех, кто "это" продает, "ровно половину слов надо вырезать": и я переписал ее "с нуля". Я ни в коей мере не претендую на роль критика, не собираюсь делать никаких разоблачающих выводов, равно как изобличать кого-то в нарушении Конституции или аморальном поведении. Все, что написано - это личные впечатления автора блога, все примеры взяты из его собственной головы, а любое сходство с реальными людьми является случайным (так что если кто-то вдруг узнает себя - знайте, что это не так).

Читать далее...
Оцените материал:
Total votes: 197
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Rustem

На Infobez я делал презентацию под названием "DLP по-русски - Д(ля) Л(юбителей) П(одглядывать)". Там про это гораздо более компактно и без эмоций, но на чужие презентации "звезды ИБ" (с) не ходят - предпочитают выступать сами.

Кратенько для тех, кто не дошел. DLP, как и антифрод и DRM, инструмент бизнес-безопасности, то есть им нельзя пользоваться, не понимая бизнеса. То, что этими системами начинают пользоваться те, кто до этого настраивал IPS и переносит свои привычки пользователя - исключительно русская специфика, у нас просто часто в штатах компаний нет ни compliance, ни риск-менеджеров. Поэтому проблемы с DLP в России не в инструменте, а в умении им пользоваться, и если вы мне скажете пользователя DLP-системы, я вам с большой вероятностью скажу, как ею пользуются.

- ИБ-шник (бывший инженер) убивается, чтобы DLP работал сам и не отвлекал от работы, как упомянутый вами IPS, антивирус и другие привычные ему продукты - в режиме предотвращения. Тщетно пытается настроить правила, уменьшив количество ложных срабатываний. Это не получается сделать, поскольку пользователь не понимает бизнес-процессов в компании, в которой работает - он всю жизнь имел дело с консолями, а не с людьми.

- СБ-шник или ИБ-шник - бывший офицер спецслужб. Отключает предотвращения и работает только с сотоявшимися инцидентами - увольняет, штрафует. Осуществляет, так сказать, принцип неотвратимости наказания (в общем случае, к информационной безопасности тема имеет непрямое отношение). Случай, описанный Вами, мог произойти без всякой DLP-системы - просто ручном при анализе почтового архива. А.П.Баранов в Сочи ввел термин "Постериорная безопасность" (как антоним "априорной") - это как раз об этом.

up
11 users have voted.
Аватар пользователя anvolkov

> Там про это гораздо более компактно и без эмоций

Это мой блог и мой стиль письма, потому позволяю себе писать как хочу и, по возможности, что хочу.

> но на чужие презентации "звезды ИБ" (с) не ходят - предпочитают выступать сами.

Аналогично, не правда ли? ;)

> риск-менеджер (такие бывают), чаще всего - бывший сотрудник "большой черверки консалтинга". Это баланс предотвращения и расследований, построение белых (вот этот документ вот этому человеку вот по этому каналу вот по этому адресу можно отправлять, а по другому - нет) и черных (вот эти документы на бесплатные почтовые ящики посылать нельзя) контентных маршрутов.

Цитата:

Любой пилотный проект по внедрению DLP-системы проходит "на ура", если у пользователя есть определенные конфиденциальные документы с известной структурой и общими словами в содержании - например, презентация, содержащая стратегический бизнес-план, формат (да и содержание, по сути) которой каждый сезон не меняется: научить машину распознавать такие данные и выдавать "алерты" - проще пареной репы.

Ну и напоследок - вопрос:

> если вы мне скажете пользователя DLP-системы, я вам с большой вероятностью скажу, как ею пользуются.

Предположим, я - пользователь системы. Кто я - СБ-шник, ИБ-ник, риск-менеджер или еще кто-нибудь (кроме того что сразу приходит на ум :) ? Скажите, как я ею пользовался бы ?

up
19 users have voted.
Аватар пользователя zdor

Персональные предпочтения – личное дело каждого конечно. Но я считаю, что так называемая "стрельба по хвостам", о которой пишет автор, не является издержкой систем DLP, а скорее особенностью менталитета современных российских ИБэшников. Вряд ли можно их винить в этом: генетическая наследственная тяга к подслушиванию и подглядыванию по-прежнему гораздо сильнее, чем трезвый подход к обеспечению информационной безопасности.

Тот факт, что некоторые компании используют предоставленные им технические средства не по назначению, не является аргументом несостоятельности того или иного решения. Любая организация, занимающаяся слежкой за своими сотрудниками, сама себе роет глубокую яму. По-настоящему мотивированные сотрудники вряд ли нуждаются в мониторинге. Они уже ведомы своей работой и посвящены ей. А сотрудники, которые таковыми не являются, скорее всего, будут искать способы обойти средства контроль. Именно поэтому, слежение со стороны работодателя в первую очередь негативно отразится на самых мотивированных и высокопроизводительных сотрудниках. Ценные сотрудники уже являются субъектами самомотивации  и самодисциплины; им не нужен мониторинг. В отношении к ним система защиты от утечек данных выполняют свою прикладную задачу - защиту информационных активов. Однако, когда мониторинг используется в качестве инструмента для изучения каждой минутой работы, создается ложное ощущение безопасности, основанное на  неактуальных метриках производительности и преданности компании.

Поэтому не стоит выдавать нецелевое и антиличностное применение DLP системы (как описано в статье автора) за всеобщую практику.

up
16 users have voted.
Аватар пользователя anvolkov

> Поэтому не стоит выдавать нецелевое и антиличностное применение DLP системы (как описано в статье автора) за всеобщую практику.

Спасибо за совет, конечно, но в опубликованной части статьи как раз именно этого и НЕ описано (кроме как в преамбуле, где автор рассказывал, почему долго не публиковал материал) ;) А в остальном - частота слова "мониторинг" в Вашем комментарии говорит сама за себя,ведь "мониторинг" - совсем не есть "предотвращение". И менталитет применительно к обсуждаемой в статье проблеме если и при чем, то очень здорово "натянут".

С уважением, автор. 

up
10 users have voted.
Аватар пользователя zdor

Мониторинг (слово, которое я так часто употребляю) - именно то, чем занимаются большинство отечественных компаний. Они не защищают свои "информационные сокровища" с помощью DLP, а тупо следят за своими работниками.Просто потому, что могут... Как подросток, которому дали молоток и который думает, что бы еще такого с ним вытворить.  Я же склоняюсь к тому, что молотком надо забивать гвозди, а не проламывать черепа. Глядишь толку будет больше во всем.

up
14 users have voted.
Аватар пользователя anvolkov

И я склоняюсь к этому. Но - цитата:

Критики скажут: все это ерунда, ведь может же DLP - другой вопрос, что никто не использует! С технологической точки зрения - безусловно, что-то и может. Но, смею напомнить, что мы рассматриваем практическое применение, а потому - любая неиспользуемая возможность на практике означает ее отсутствие. И даже если бы вендоры разработали чудо-механизм, учитывающий все описанные выше недостатки и позволяющий в режиме реального времени эффективно блокировать утечки, возникает третья проблема - та самая "тайна", о которой я говорил в начале. Тайна, обусловленная практическим отсутствием легальных оснований использования "этих" средств и трудностями легализации материалов, полученных при помощи "этих" средств .

Обратите внимание - снова ни слова о аморалке. Я о ней еще скажу ;)

Вот Вы говорите - запад, запад. Что ж на западе тогда столько утечек? Или у всех, у кого утекло - нет DLP? Известны ли Вам реальные "боевые" примеры, где DLP эффективно работает именно на предотвращение, а не так как работает?

up
17 users have voted.
Аватар пользователя zdor

Реально - известны. Сам ставил. Правда, внедряли не потому, что не доверяли сотрудникам, а для того, чтобы информация случайно не была послана куда не надо. Насколько мне известно до сих пор работает и все счастливы. По поводу их количества, не надо сваливать все в одну кучу - утеря одного ноутбука тоже утечка, а стоить это может поболе, чем 1000 сообщений.

up
17 users have voted.
Аватар пользователя anvolkov

> По поводу их количества, не надо сваливать все в одну кучу - утеря одного ноутбука тоже утечка, а стоить это может поболе, чем 1000 сообщений.

Я позволю себе заметить, что ничего и никуда не сваливаю. Если бы только ноутбуки теряли. Мало чтоли случаев и взлома, и копирования, и отсылке на почту, наконец просто распечатывают и уносят документы.

> внедряли не потому, что не доверяли сотрудникам, а для того, чтобы информация случайно не была послана куда не надо

Интересная постановка вопроса. А посылали-то кто - не сотрудники? То есть сотрудники были достаточным образом подготовлены для самостоятельного контроля своей деятельности, а компания, исключительно из-за доверия сотрудникам, установила систему так, "на всякий случай"?

> Насколько мне известно до сих пор работает и все счастливы.

А можно чуть поподробнее об архитектуре системы в разрезе проблематики моего поста? Какие каналы перекрывала, что именно ловила? Какие критери счастья, чем измеряются?

up
10 users have voted.
Аватар пользователя e.v.rodygin

Эх сказал бы я... но не буду портить малину - все таки 5 причина ;)

up
19 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.