Блокировать или следить? Форум DLP+ обсудил ответы на злободневные вопросы

27 мая, 2021

Блокировать или следить? Форум DLP+ обсудил ответы на злободневные вопросы

Прошедший 26 мая Форум DLP+ обсудил с гостями гораздо более широкий круг вопросов, чем можно было бы ожидать исходя из названия. Если позволить себе высказать личное оценочное суждение, то «вишенкой на торте» этого мероприятия стало выступление Максима Королёва, директора по информационной безопасности УК Сегежа Групп, прозвучавший «под занавес» мероприятия.

Формально его доклад должен был представить слушателям взгляды докладчика и представляемой им службы на «специфику защиты конфиденциальной информации в крупном холдинге». Однако по факту, если оценивать доклад г-на Королёва вкупе с его ответами на вопросы, гостям оказался представлен успешный живой пример построения системы информационной безопасности на самых «трендовых» подходах в компании с численностью персонала, измеряемой тысячами человек и с «филиалами» в России и Европе.

Для построения системы ИБ в холдинге были использованы технологии аутсорсинга, включая услуги стороннего SOCа, и собственная служба ИБ, включающая лишь около десятка человек, которая сумела подготовить всеобъемлющий пакет «нормативки» и успешно «эксплуатировать» сторонние ИБ-компетенции.

При этом в том, что касается принципов DLP, на которых зиждется безопасность конфиденциальной информации в компании Максима Королёва, то тут не удалось усмотреть и толики того «пацифизма», с которого началась конференция DLP+, рассуждая об этике, возможности совмещения прав сотрудников и компании как работодателя и концепции Zero Trust.

«Залитые» внешние порты рабочих компьютеров, подписки о неразглашении, тотальное обучение «кибергигиене» и отлучение от Интернета «двоечников» вплоть до успешной пересдачи экзаменов, регулярные проверки бдительности и прочее, и прочее, и прочее, о чём раньше можно было услышать только на тренингах Лукацкого в качестве добрых советов. В УК Сегежа Групп с ИБ всё «по-взрослому», и всё работает, если судить по уверенному докладу и внешнему виду директора по информационной безопасности.

Но до представления упомянутой «вишенки» конференция со вкусом «оттопталась» на всём том широком спектре вопросов, который обычно связан с непростым внедрением DLP. От уже упомянутых этики и морали и до надлежащего процессуального оформления доказательств и результатов внутренних расследований в компании.

А в центре этого «бутерброда» нашлось место для обсуждения вопросов о зрелости технологии DLP как таковой и зрелости заказчика для неформального внедрения DLP (потому что иногда такое внедрение лишь дань пресловутому «комплаенсу»), о возможности помощи в созревании заказчика со стороны интегратора, о зрелости технологий поведенческой аналитики в DLP и возможностях использования этой UEBA в более широких масштабах, нежели «простое» предотвращение утечек данных.

Плодотворности дискуссий на DLP+2021 способствовал гармоничный подбор спикеров со стороны как зарекомендовавших себя вендоров, так и квалифицированных потребителей DLP-технологий, которым было о чём рассказать коллегам и о чём спросить поставщиков. «Ростелеком-Солар», InfoWatch, Zecurion, Infosecurity (ГК Softline) с одной стороны, ПАО Сбербанк, Банк «Возрождение», «М.Видео-Эльдорадо», hh.ru – с другой. И это не исчерпывающий список мест работы экспертов, выступивших на конференции.

В целом было признано, что технологии DLP ещё не доросли то уровня «серебряной пули» по части гарантированной защиты от утечек информации, их «искусственный интеллект» автоматизации требует не только настройки, но и периодического контроля.

И поэтому вопрос о том, должна ли система DLP мониторить и оповещать о сомнительных перемещениях информации или жёстко пресекать движение данных, которые будут сочтены системой неприемлемыми, решался большинством экспертов в пользу «мониторить».

Но и в недалёком прошлом, когда ряд аналитических изысканий приходилось проводить почти «вручную», а тем более сегодня, в эпоху «ползучей» автоматизации процессов DLP и возможностей наглядного представления работы соответствующих систем, мониторинг систем DLP позволяет не только вскрывать действия злоумышленников внутри организаций, но и решать, например, вопросы оптимизации кадровой политики. И о таких конкретных примерах и о перспективных возможностях DLP-технологий целый день рассказывали и дискутировали на Форуме DLP+2021 на 4 треках докладов, в ходе двух Круглых столов и паре дискуссий, открывших мероприятие.

Но, как уже было сказано, не только о DLP шла речь на Форуме.

И особого упоминания среди «параллельных» тем заслуживает доклад Андрея Масаловича о технологиях добычи конфиденциальной информации из открытых источников. Информация была отчасти шокирующей, пересказывать её здесь нет смысла, ибо на канале Андрея Масаловича на Ютьюбе все желающие могут получить её из первых рук.

Смотрите также