Защита информации в небольших компаниях: приоритет или «дело десятое»?

Мы часто слышим об утечках конфиденциальной информации из крупных корпораций и о мерах, принимаемых ими для минимизации рисков возникновения инцидентов безопасности. Однако в то же время в средствах массовой информации практически не освещается вопрос информационной безопасности на предприятиях малого бизнеса.

Озабочены ли малые компании проблемой информационной безопасности? И если да, то каким образом она обеспечивается? Какова роль DLP-систем в защитных схемах предприятий малого бизнеса? Чтобы ответить на эти вопросы, редакция SecureNews обратилась к экспертам в сфере информационной безопасности и представителям малого бизнеса.

Прежде чем перейти к проблеме использования в малых предприятиях специализированного программного обеспечения для защите данных, следует разобраться, какую информацию стремятся защищать в небольших компаниях. Об этом SecureNews подробно рассказал директор по развитию бизнеса Stack Group Владимир Лебедев:

«Проблематика защиты данных в современном мире информационных технологий актуальна практически для всех без исключения участников информационного обмена. Это, безусловно, касается как крупных и средних компаний, так и компаний малого бизнеса, индивидуальных предпринимателей и просто физических лиц. Краеугольным камнем в защите является корректным образом определенный и классифицированный объект защиты. Это могут быть данные (например, планы развития компании, финансовые показатели, описание технологий, ноу-хау), информационные системы (HR, CRM, ERP, BI, финансовые и производственные системы), бизнес-процессы (технология производства) и даже люди (сотрудники, обладающие уникальными компетенциями, занимающие ключевые позиции). Некоторые объекты защиты выделяются также в соответствии требованиями регуляторов (например, банковская тайна, персональные данные). От понимания того, что именно необходимо защищать, от кого необходимо защищать, где надо защищать и какие последствия могут наступить вследствие ненадлежащей защиты, зависит выбор методов и мер по защите. От полноты и качества моделирования угроз безопасности, а также типов мер, в конечном счете будут зависеть затраты, которые организация должна понести. Работа по защите от угроз безопасности независимо от размера компании должна проводиться планомерно, то есть идти от выстраивания комплекса мер, которые позволяют защищать от выявленных угроз в зависимости от степени негативных последствий, которые могут наступить. Необходимо создать организационные процессы, позволяющие закрепить ответственность за конкретными ролями в компании, а также внедрить средства защиты информации. Безусловно, для компаний малого бизнеса объем таких мер несравним с объемом для крупного и среднего бизнеса, однако подход должен оставаться единый. К примеру, для совсем небольших компаний можно говорить о создании нескольких регламентов по информационной безопасности, установке антивирусных программ, шифровании критичных данных и инструктаже персонала по работе с важной информацией»

Для защиты информации различного характера можно применить такое решение, как DLP-система. Однако является ли использование DLP оправданным в случае малого бизнеса и насколько востребовано подобное ПО небольшими компаниями? Мнения экспертов разделились.

Ведущий аналитик SearchInform Алексей Парфентьев:

«Потребность в DLP-системах в небольших организациях есть: практика показывает, что утечка конфиденциальных данных может произойти в компании любого масштаба. Кроме того, видов этой самой конфиденциальной информации множество. Коммерческая тайна, уникальные разработки, особенности технологического процесса – подобную информацию чаще всего защищают крупные и средние заказчики. Небольшие фирмы чаще имеют дело с персональными данными, их утечку они и стремятся не допустить. В качестве примеров небольших компаний можно назвать турагентства, страховые компании, юридические фирмы – они вынуждены беспокоиться о сохранности имеющейся у них информации. Потому можно утверждать, что в DLP нуждаются не только корпорации – в установке подобного ПО заинтересованы компании разного масштаба, просто у каждой из них своя специфика и особенности. Конечно, DLP-система – софт довольно дорогой. Для небольших компаний это критичный фактор, и они ищут более доступное решение. Именно поэтому рынок переживает взрывную популярность продуктов для контроля рабочего времени сотрудников и их активности за ПК. Подобные системы помогают поддерживать дисциплину сотрудников, находить проблемы в бизнес-процессах и частично решают задачи DLP».

Начальник отдела информационной безопасности профессионального хостинг-провайдера .masterhost Борис Огородников:

«Идеи о том, что информацию надо защищать, востребованы всегда, на любом уровне. Несмотря на то, что грамотное использование DLP-решений в конечном итоге приводит к сокращению издержек, компании малого бизнеса скорее предпочтут организационные меры и будут ограничиваться ими до тех пор, пока они работают и поддаются контролю».

Руководитель группы обеспечения безопасности информации компании ИВК Игорь Корчагин:

«В отличие от классических средств защиты, типа межсетевых экранов, антивирусов, средств криптографической защиты, DLP-решения на отечественном рынке ИБ все еще находятся на этапе продвижения и завоевания потребительского интереса. У такой ситуации имеется несколько причин. Во-первых, большинство решений данного класса требуют значительных финансовых затрат на их приобретение (в том числе на аппаратную составляющую), на их внедрение (адаптацию под условия применения), а также на выделение и подготовку персонала, ответственного за эксплуатацию DLP. Все это приводит в конечном счете к экономической нецелесообразности применения DLP в ИТ-инфраструктуре организации. Во-вторых, это недостаточная осведомленность общества о существовании и возможностях DLP-решений, а также все еще актуальная проблема отсутствия внимания к задачам обеспечения ИБ. В особенности данная проблематика актуальна для малого бизнеса, для которого характерно, зачастую, отсутствие выделенных специалистов по ИБ, активное использование сотрудниками для решения профессиональных задач личных устройств и так далее. В целях реализации механизмов предотвращения утечек конфиденциальной информации решение для малого бизнеса может быть найдено в использовании DLP как сервиса, предоставляемого специализированными организациями».

Финансовый директор ООО "Параллакс" Дмитрий Кузнецов:

«Компании малого и среднего бизнеса нередко интересуются DLP-решениями, но далеко не всегда понимают реальные особенности их использования и необходимые условия для их эффективной работы. Требования, которые предъявляют небольшие компании к подобному ПО, как правило, нереалистичны. Если не брать исключительные случаи, когда руководители готовы лично просматривать чуть ли не всю почтовую переписку и другие пересылаемые данные, малые компании, как правило, хотят, чтобы DLP-системы «сами» обнаруживали факты обмана собственника сотрудниками: договоренности об «откатах», передачу коммерческих данных конкурентам и так далее. Но никакая DLP-система не обладает собственным интеллектом и не может судить о том, какую ценность имеет та или иная информация. Все параметры контроля должны сначала ввести пользователи системы (как правило, служба экономической безопасности предприятия). Это требует хотя бы минимальной технической квалификации, понимания бизнес-процессов предприятия и ценности различной информации, адекватной оценки рисков, определенного понимания психологии потенциальных злоумышленников, постоянного контроля и корректировки (то есть существенных затрат рабочего времени). DLP не «вещь в себе», это лишь инструмент в руках сотрудников службы безопасности. Причем, как любой сложный инструмент, DLP предъявляет определенные требования к уровню квалификации того, кто им пользуется».

Председатель Совета директоров ГК "ИМПУЛЬС-ИВЦ" Евгений Новак:

«Для малого бизнеса мониторинг и предупреждение нарушений в компьютерных системах по-прежнему являются мало востребованными по нескольким причинам. Во-первых, это обусловлено отсутствием всеобщего подключения сотрудников к приложениям, содержащим конфиденциальную информацию, такие данные в малом бизнесе доступны пока, как правило, ограниченному числу лиц. Во-вторых, недостаточным уровнем грамотности в сфере информационной безопасности из-за того, что число публичных случаев утечек и размер причиненного в итоге владельцам информации ущерба еще не достигли критической отметки. Ну, а в-третьих, ситуативно в последние два года на фоне экономического кризиса все компании вынуждены экономить свои бюджеты, поэтому средства на некритичные с точки зрения руководства задачи не выделяются».

Руководитель отдела развития продуктов компании «Системный Софт» Илья Коношевский:

«Малый бизнес не часто использует системы DLP, поскольку такие компании, как правило, не имеют достаточных средств и, как следствие, оснований для внедрения дорогостоящей системы. К тому же в маленьких компаниях все друг друга знают и отношения на работе обычно доверительные. В процессе роста, с увеличением текучки, компании задумываются о системах контроля рабочего времени, производительности и DLP. Как правило, это происходит, когда компания увеличивается до 200-300 ПК. В результате потенциальные покупатели рассматривают в основном весьма упрощенные системы, где DLP является скорее дополнением, чем фундаментом».

Менеджер по маркетингу продуктов компании «Код безопасности» Павел Коростелев:

«Востребованность DLP-систем и других средств информационной безопасности у компаний малого бизнеса достаточно ограничена. Это связано с тем, что внедрение системы защиты от утечек требует от организаций не только инвестиций, но и определенного уровня понимания ИБ-проблематики. Руководство должно отчетливо представлять, какие данные являются конфиденциальными, кто должен иметь к ним доступ, а кто – нет. Эта задача выходит далеко за рамки зоны ответственности и навыков ИТ-администратора, который обычно и занимается в небольших компаниях вопросами ИБ. Для малого бизнеса также характерна гибкость и высокая чувствительность к стоимости решения. Поэтому внедрение полновесных решений класса DLP в таких компаниях почти не встречается. Если компания приобретает многофункциональную систему защиты рабочих станций, в которую встроены некоторые функции DLP (чаще всего это контроль подключения USB-устройств), то они используются».

Руководитель проекта Kickidler Андрей Игнатов:

«Наша компания считает, что контролировать нужно не данные (как это делают классические системы борьбы с утечками), а сотрудников, которые с этими данными работают.

Традиционные системы контроля имеют целый ряд недостатков. Во-первых, они тяжелые, сложные для внедрения и дорогие. А значит, абсолютно неприменимые для малого бизнеса. Во-вторых, классические системы DLP наблюдают за работой с данными. Контроль осуществляется за конкретными файлами (по имени файла) или за данными в информационных системах предприятия по шаблону данных (например, XXXX-XXXX-XXXX-XXXX для номеров кредитных карт). То есть, если изменить формат данных, то DLP-система не сможет их отследить. Например, если изменить номер кредитных карт с XXXX-XXXX-XXXX-XXXX на AXXXX, BXXXX, CXXXX, DXXXX, то DLP-система не посчитает их важными и пропустит.

В-третьих, постоянный контроль за использованием данных сильно загружает ресурсы как ПК сотрудника, так и всей компании. Если DLP-система проверяет все исходящие данные, то при любом сбое организация окажется изолированной».

Часть экспертов отмечает востребованность DLP-систем среди небольших компаний, в то время как другие однозначно называют данные решения невостребованными в этом сегменте. Попробуем разобраться, насколько велик интерес к DLP у малого бизнеса по сравнению с крупными и средними предприятиями.

Президент Московского клуба молодых предпринимателей, генеральный директор компании CloudOffice Дмитрий Порочкин:

«DLP-решения будут полезны как для крупных компаний, так и для малого бизнеса, однако только как одна из превентивных мер по предотвращению утечки информации. Такие программы хорошо использовать для повышения информационной грамотности среди сотрудников, поскольку сама суть их предполагает оценку рисков утечки информации. Для этого анализируется активность в каналах, через которые возможна утечка данных: почта, мессенджеры и непосредственно веб. На основании контента и контекста (протокол, активность, тип приложения и прочее) программа далее формирует политику безопасности, в соответствии с которой блокирует сообщения, сообщает о нарушениях и так далее. То есть важно понимать, что в отличие от межсетевых экранов (так называемых файерволов), DLP-сервисы не блокируют передачу полностью, а пытаются анализировать действия человека в сети, чем оставляют большую вероятность утечки данных».

Борис Огородников:

«Заинтересованность в защите информации у всех компаний примерно одинакова. Подходы к реализации и внедрению DLP-решений могут быть разными, но «потеря информации» в 21 веке практически тождественна «потере денег», поэтому логично предположить, что идея минимизации риска подобных потерь свойственна любой коммерческой организации, вне зависимости от ее масштабов».

Игорь Корчагин:

«Заинтересованность компаний в DLP-системах зависит не только от масштабов их ИТ-инфраструктур и объемов обрабатываемых данных. В первую очередь, она, конечно же, опирается на наличие информации, утечка которой может принести ущерб компании, а также на наличие актуальных угроз утечки данной информации. Таким образом, интерес к DLP может одинаково возникнуть как у крупных, так и малых компаний. Что же касается непосредственно возможности использования DLP-систем, тут пока первенство занимают именно крупные компании».

Директор департамента информационной безопасности компании «Сервионика» (ГК «Ай-Теко») Василий Степаненко:

«В первую очередь, в DLP заинтересованы организации с достаточным объемом финансирования – независимо от величины компании. Но нужно учитывать, что DLP – это всего лишь инструмент, и будет ли он действительно использоваться для контроля и предотвращения утечек или останется «проектом на бумаге», зависит от многих факторов: от личных амбиций руководителя, отвечающего за ИБ, до опыта проектной команды и четкости постановки задачи. Качественное внедрение имеет решающее значение для эффективности контроля и предотвращения утечек. Стоит отметить, что сама область применения DLP весьма деликатна, реализация таких проектов во многих компаниях тормозится из-за бюрократических и юридических тонкостей, высоких репутационных рисков».

Коммерческий директор Mindbox Александр Горник:

«DLP-решения использует в основном крупный бизнес. И изначально эти системы создавались именно с учетом требований сложных корпоративных машин. Но необходимость защищать данные одинакова для всех – от стартапов до крупного бизнеса. И тут важно даже не само решение на уровне ПО, которое применяют владельцы бизнеса. Важен подход к безопасности.

DLP-системы изначально возникли из того, что можно назвать параноидальным подходом к безопасности: когда мы пытаемся сделать невозможным или предотвратить какое-то действие. Представьте, чтобы обезопасить, например, торговый центр мы на входе ставим охранника с собакой, турникет, рамку и обыскиваем каждого входящего. DLP как программный продукт – что-то похожее. В цивилизованных же странах люди полагаются на законы, есть полиция и суды. И не нужно строить заборы – можно проходить куда угодно. В случае же, если кто-то решается нарушить закон, срабатывает та самая красная кнопка и привычный механизм защиты – приезжает полиция и правоохранительная система обеспечивает неизбежность наказания.

Никто не мешает вам ограничить доступ конкретных сотрудников к конфиденциальной информации на уровне закона, трудового договора и жестких санкций. Если эти санкции и наказание по ним превышают выгоду от потенциального воровства, то большинство сотрудников откажется от кражи».

Дмитрий Кузнецов:

«По моему мнению, крупные корпорации больше заинтересованы в использовании DLP-решений, лучше понимают, для чего такие системы могут быть полезны и имеют достаточно ресурсов для эффективного использования DLP-систем. В последнее время на рынке появились решения, использующие достижения в области систем искусственного интеллекта, машинного обучения и анализа «больших данных» (big data) для облегчения работы специалистов по безопасности и снижения требований к уровню их квалификации. Насколько эти решения поспособствуют более широкому распространению DLP-систем среди малого и среднего бизнеса и получению такими компаниями реальной отдачи от своих вложений — покажет время».

Илья Коношевский:

«В использовании DLP чаще всего заинтересованы компании средние и крупные (особенно если это финансовый сектор). С увеличением оборотов и сотрудников компании становится все сложнее контролировать сделки и частную жизнь сотрудников. И в этой ситуации можно легко упустить утечку информации или намерения сотрудника, по каким-то причинам потерявшего лояльность и готового нанести вред бизнесу. К сожалению, от направленной атаки на корпоративные данные ни одна система застраховать не сможет, но способна существенно усложнить этот процесс, что сделает утечку менее рентабельной и более рискованной для злоумышленника».

Руководитель направления информационной безопасности компании КРОК Андрей Заикин:

«В использовании DLP заинтересованы все участники рынка (как крупные корпорации, так и SMB-сегмент), ведь риски утечки информации присутствуют для всех компаний. При этом ощутимость утечки данных для представителей SMB-сектора может быть гораздо выше чем для большой корпорации. В первом случае, для малой компании, утечка может гораздо проще обернуться утратой основного конкурентного преимущества и, как следствие, закрытием бизнеса. В случае же крупной корпорации речь чаще всего идет о репутационных и денежных потерях».

Павел Коростелев:

«Заинтересованность в использовании не только DLP систем, но и любых других ИБ-решений зависит не только от размера компании, но и от уровня ее зрелости. Чем лучше организация осознает ценность своих данных (для себя и конкурентов), тем более осознанно она подходит к реализации ИБ-стратегии в части защиты данных. Программа действий в этом случае включает в себя не только и не столько внедрение средств ИБ, сколько перестроение бизнес-процессов в целях снижения риска намеренной утечки или случайной потери данных.

И только в случае, когда определены бизнес-процессы, в которые должна быть встроена DLP-система, на ее внедрение начинает влиять фактор масштаба бизнеса. Очевидно, что крупная компания может потратить на подобный проект больше средств, но и технические требования там будут выше».

Мнения экспертов вновь разделились. С одной стороны, есть мнение об отсутствии связи между размером компании и уровнем ее заинтересованности в использовании DLP, с другой, часть экспертов утверждает, что подобные системы больше всего востребованы в крупных корпорациях. Однако и в первом, и во втором случае эксперты солидарны в том, что в среде малого бизнеса существуют компании, которые воспринимают информационную безопасность в качестве одного из приоритетов своего развития и, таким образом, являются потенциальными пользователями DLP-систем. Какие требования предъявляют малые компании к подобным решениям?

Алексей Парфентьев:

«Крупные заказчики обычно выбирают «умное» и дорогое DLP-решение. Небольшие компании готовы работать с данными системами в «ручном» режиме, без возможности автоматизации, если это решение значительно доступнее по цене. По этой причине расследования инцидентов в малом и среднем бизнесе происходят уже постфактум».

Борис Огородников:

«Если опустить очевидный вопрос стоимости ПО, который в сегменте информационной безопасности является важнейшим, и сфокусироваться на функционале, то на первый план необходимо выдвинуть «всеядность» при выборе защитного ПО. Часто бывает так, что небольшие компании не могут себе позволить унификацию элементов информационной системы и строятся буквально на том, что под рукой. Разумеется, следствием такого подхода станет разнообразность используемого оборудования в составе информационной системы».

Игорь Корчагин:

«Перечень требований, которые предъявляются компаниями к DLP-системам, в первую очередь, опирается на особенности ИТ-инфраструктуры компании с учетом используемых методов передачи информации, а также ее объемы. Это позволяет со стороны потребителя определить требования к составу контролируемых DLP-решением каналов передачи данных, в том числе необходимость наличия локальных агентов системы, а также к аналитическим задачам DLP-системы, в особенности по качеству работы с русскоязычным контентом. Наиболее востребованными функциями в части контроля являются контроль электронной почты, съемных носителей, HTTP, мессенджеров и печати. Также для многих компаний зачастую важными являются механизмы формирования отчетов о работе DLP-системы, так как это основной инструмент демонстрации эффективности внедренной DLP-системы перед руководством».

Василий Степаненко:

«Представители крупного бизнеса обычно пытаются решить с помощью DLP конкретные задачи: этот инструмент, скорее всего, будет встраиваться в уже сложившийся ИТ-ландшафт с большим количеством других компонентов и решений для защиты информации. В отличие от них, SMB-сегмент хочет видеть в DLP-решении «комбайн», решающий сразу несколько смежных задач в сфере информационной безопасности. Второе важное требование – простота внедрения и поддержка минимальным количеством специалистов».

Евгений Новак:

«Главное требование, которое предъявляют небольшие компании – это минимальная цена. Однако системы DLP достаточно трудоемки в разработке, требуют постоянного обновления в свете развития операционных систем и приложений, а также в связи со сложной и дорогостоящей процедурой сертификации такого рода продуктов в государственных органах».

Илья Коношевский:

«Небольшие компании стараются приобретать недорогие решения с максимально простым развертыванием, объединяющим в себе функционал нескольких решений. В связи с тем, что в небольших компаниях риски влияния утечки информации на бизнес минимальны, фокус внимания в этих вопросах стараются переносить на антивирусные решения, системы контроля трафика и производительности сотрудников, которые нередко содержат функционал упрощенного DLP. В небольших компаниях риски утечки не рассматриваются как «косты», а вот сокращение затрат на основные роли бизнеса – задача, которой занимаются в первую очередь».

Андрей Заикин:

«В числе основных требований, которые предъявляет малый бизнес к DLP-решениям, – доступность по цене, простота во внедрении и поддержке, а также соответствие требованиям законодательства. С позиции функционала малый бизнес ждет от DLP-систем возможностей контроля печати и почтовой переписки пользователей (как в пределах сети компании, так и с использованием интернет-почтовиков типа gmail.com или mail.ru), блокировки передачи файлов на внешние носители или файлообменники и анализа использования сотрудниками социальных сетей и мессенджеров».

Павел Коростелев:

«Небольшие компании обладают крайне ограниченными ресурсами. Это относится как к ИБ-бюджету, так и к количеству профильных специалистов. Как правило, в небольших компаниях за ИТ отвечают один-два человека, которые решают все задачи, в той или иной степени относящиеся к ИТ и ИБ.

Таким образом, оптимальным продуктом по борьбе с утечками данных для малых компаний могут стать средства, которые стоят недорого, просты в управлении и обеспечивают стабильную работу и входят в состав комплексных ИБ-решений, обеспечивающих защиту информации на всех уровнях».

В данном вопросе эксперты оказались практически единодушны. Основными факторами при выборе небольшими компаниями того или иного программного продукта, призванного обеспечить информационную безопасность, являются его стоимость и простота во внедрении. Это обусловлено тем, что предприятия малого бизнеса, в сравнении с крупными корпорациями, имеют ограниченные финансовые возможности и человеческие ресурсы. Следствием данной ситуации является стремление к приобретению недорогого многофункционального программного обеспечения, которое может быть без особого труда внедрено в корпоративную инфраструктуру одним-двумя сотрудниками ИТ-отдела.