Захист даних у малих компаніях: пріоритет чи "дрібниці"?

Ми часто чуємо про витоки конфіденційної інформації з великих корпорацій та заходи, які вони вживають для мінімізації ризиків безпекових інцидентів. Однак, в той же час, у ЗМІ майже не висвітлюється питання інформаційної безпеки в малому бізнесі.

Чи турбує малі компанії проблема інформаційної безпеки? І якщо так, то як вони вирішують це питання? Яка роль DLP-систем (Data Loss Prevention) в контурі безпеки малого бізнесу? За відповідями на ці питання ми звернулися до експертів у сфері інформаційної безпеки та малого бізнесу.

Перш ніж перейти до питання використання програмного забезпечення для моніторингу співробітників в невеликих компаніях, важливо з'ясувати, яку саме інформацію вони хочуть захистити. Менеджер з розвитку бізнесу компанії Greatment Inc. Стівен Лоусон розповідає про це детальніше:

"У наш інформаційний вік проблема захисту даних є актуальною практично для кожного учасника процесу обміну інформацією. Це, безумовно, стосується і великих та середніх компаній, і малого бізнесу, і фізичних осіб-підприємців, і пересічних громадян. Наріжним каменем безпеки є правильно визначений та класифікований об'єкт захисту. Це можуть бути дані (наприклад, плани розвитку компанії, фінансові звіти, опис використовуваних технологій, винаходи), інформаційні системи (HR, CRM, ERP, BI, фінансові та виробничі системи), бізнес-процеси (технологія виробництва) і навіть люди (співробітники з унікальними навичками, ключові гравці). Деякі об'єкти захисту також визначаються відповідно до нормативних вимог (наприклад, банківська таємниця, персональні дані). Вибір методів та заходів захисту залежить від розуміння того, що необхідно захищати, від кого необхідно захищати, де необхідно захищати та до яких наслідків може призвести неналежний захист. Повнота і якість моделювання загроз безпеці, а також необхідні заходи визначатимуть розмір понесених витрат компанії в довгостроковій перспективі. Незалежно від розміру компанії, організація захисту від загроз безпеки повинна здійснюватися системно, тобто починати слід з розробки комплексу заходів, що дозволяють захиститися від загроз в залежності від ступеня негативних наслідків, які можуть наступити в результаті їх реалізації. Необхідно впроваджувати захист даних та створювати організаційні процеси, які будуть розподіляти відповідальність між певними людьми в компанії. Наприклад, у випадку зовсім невеликих компаній мова йде про створення декількох положень про інформаційну безпеку, встановлення антивірусного програмного забезпечення, шифрування критично важливих даних та проведення інструктажу персоналу щодо роботи з конфіденційною інформацією".

Для захисту різноманітних даних компанії можуть впроваджувати DLP-системи. Однак, думки експертів розділилися щодо того, чи є виправданим використання DLP у випадку з малим бізнесом.

Брюс Сандовал

провідний аналітик, "Символіка":

"Потреба в DLP-системах є і в невеликих компаніях: реальність показує, що витік конфіденційних даних може статися в компанії будь-якого розміру. Крім того, існує величезна кількість типів даних. Комерційна таємниця, унікальні розробки, технологічні специфікації - таку інформацію зазвичай захищають великі і середні компанії. Малий бізнес, який часто має справу з персональними даними - туристичні агенції, страхові компанії, юридичні фірми - змушений турбуватися про безпеку отриманої інформації.

Тому DLP необхідний не тільки в корпораціях, але і в компаніях будь-якого масштабу. Звичайно, система DLP є досить дорогим програмним забезпеченням. Для невеликих компаній це є критичним фактором, і вони шукають більш доступні рішення. Саме тому сьогодні на ринку спостерігається зростання популярності продуктів для моніторингу співробітників. Ці системи допомагають підтримувати дисципліну персоналу, знаходити проблеми в бізнес-процесах і частково вирішують завдання DLP. "

Ітан Кук

керівник департаменту інформаційної безпеки професійного хостинг-провайдера Starrhost:

"Ідеї щодо захисту інформації затребувані завжди, на будь-якому рівні. Незважаючи на те, що грамотне використання DLP-рішень в кінцевому підсумку призводить до скорочення витрат і витрат, малий бізнес вважає за краще обмежитися організаційними заходами безпеки і працювати з ними до точки зламу".

Патрік Сіммонс

керівник відділу інформаційної безпеки компанії Curso:

"На відміну від класичних заходів безпеки, таких як міжмережеві екрани, антивірусне програмне забезпечення, криптографічний захист, DLP-рішення все ще знаходяться в стадії розвитку і намагаються завоювати інтерес споживача на ринку. Причин для цього декілька. По-перше, більшість рішень такого роду пов'язані зі значними витратами на придбання (включаючи апаратну складову), на впровадження, а також на наймання та навчання персоналу, який буде експлуатувати DLP-систему. Все це в кінцевому підсумку призводить до того, що DLP стає економічно недоцільним для компанії. По-друге, це недостатня поінформованість населення про існування та можливості систем DLP, а також все ще актуальна проблема недостатньої уваги до проблем забезпечення інформаційної безпеки. Зокрема, це актуально для підприємств малого бізнесу, для яких часто характерна відсутність виділених фахівців з безпеки, часте використання працівниками особистих пристроїв для вирішення робочих питань тощо. З метою впровадження механізмів запобігання витоку конфіденційних даних малий бізнес може скористатися DLP як послугою, що надається спеціалізованими організаціями".

Денніс Барнетт

Фінансовий директор Estation Inc:

"Малий та середній бізнес часто цікавиться DLP-рішеннями, але не завжди розуміє їх реальні можливості та умови, необхідні для їх ефективної роботи. Вимоги, які висувають невеликі компанії до такого програмного забезпечення, зазвичай є нереальними. Якщо не брати до уваги виняткові випадки, коли керівники готові особисто переглядати мало не кожен електронний лист та інші дані, що пересилаються, невеликі компанії схильні очікувати, що DLP-системи "самі" виявлять недобросовісність співробітників: випадки хабарництва, передачу бізнес-даних конкурентам і так далі. Але жодна DLP-система не має власного інтелекту і не може судити про цінність зібраної інформації. Всі параметри контролю повинні вводитися користувачами системи (як правило, це служба економічної безпеки компанії). Це вимагає хоча б мінімальної технічної експертизи, розуміння бізнес-процесів компанії та цінності тих чи інших даних, адекватної оцінки ризиків, певного розуміння психології потенційних порушників, постійного моніторингу та налаштування (іншими словами, витрачання великої кількості робочого часу). DLP - це лише інструмент в руках співробітників служби безпеки. І, як будь-який складний інструмент, DLP-системи мають певні вимоги до рівня кваліфікації людини, яка його використовує. "

Григорій Сандовал

начальник відділу розробки продуктів департаменту системного програмного забезпечення:

"Малий бізнес не часто використовує DLP-системи, оскільки такі компанії зазвичай не мають достатніх коштів. Крім того, в невеликих компаніях люди зазвичай добре знають один одного і відносини на роботі, як правило, довірчі. У процесі розвитку і зі збільшенням плинності кадрів компанії починають замислюватися про моніторинг співробітників і DLP-системи. Зазвичай це відбувається, коли компанія виростає до 200-300 ПК. Як наслідок, потенційні покупці розглядають переважно спрощені системи, де DLP є лише доповненням, а не основою".

Кеннет Агілар

менеджер з маркетингу ТОВ "Секьюріті код":

"Попит на DLP-системи та інші засоби інформаційної безпеки в малому бізнесі досить обмежений. Це пов'язано з тим, що впровадження такої системи вимагає не тільки інвестицій, а й певного рівня розуміння питань інформаційної безпеки. Керівництво повинно чітко розуміти, які дані є конфіденційними, хто повинен мати до них доступ, а хто ні. Ця проблема виходить далеко за межі зони відповідальності та компетенції ІТ-адміністратора. Незважаючи на це, саме адміністратор зазвичай займається інформаційною безпекою в невеликих компаніях. Малий бізнес також характеризується гнучкістю та високою чутливістю до витрат. Тому впровадження повнофункціональних типів DLP-рішень майже ніколи не відбувається. Але якщо компанія купує багатофункціональну систему захисту робочих станцій, яка включає в себе деякі можливості DLP (як правило, контроль USB), то ці можливості використовуються".

Крістофер Хьюз

керівник проекту Purposeidler:

"Наша компанія вважає, що контролю потребують не дані (як у класичних системах запобігання витоку інформації), а співробітники, які з цими даними працюють. Традиційні системи контролю мають ряд недоліків. По-перше, вони важкі, складні і дорогі у впровадженні. А значить, вони абсолютно не застосовні для малого бізнесу. По-друге, класичні DLP-системи контролюють роботу з даними. Моніторинг здійснюється за конкретними файлами (за іменами файлів) або даними в інформаційних системах компанії за якимось шаблоном даних (наприклад, XXXX-XXXX-XXXX-XXXX-XXXX для номерів кредитних карток). Тому якщо просто змінити формат даних, то DLP система не зможе це відстежити. Наприклад, якщо змінити номер кредитної картки з XXXX-XXXX-XXXX-XXXX-XXXX на AXXXX, BXXXX, CXXXX, DXXXX, то DLP система не вважатиме це важливим і це піде не так. По-третє, постійний моніторинг використання даних перевантажує комп'ютери співробітників і ресурси компанії. Якщо ж DLP-система буде перевіряти всі вихідні дані, то будь-який збій призведе до ізоляції компанії".

Одні експерти відзначають затребуваність DLP-систем серед невеликих компаній, інші вважають, що ці рішення не користуються популярністю в даному сегменті. Спробуємо розібратися, наскільки великий інтерес до DLP серед малого бізнесу в порівнянні з великими і середніми компаніями.

Джордж Сото

президент Клубу молодих підприємців, генеральний директор компанії CloudSolutions:

"DLP-рішення будуть корисними як для великих компаній, так і для малого бізнесу, але лише як один із превентивних заходів щодо витоку інформації. Такі програми хороші для підвищення ІТ-грамотності серед співробітників, оскільки сама їх суть передбачає оцінку ризиків витоку інформації. Для цього аналізується активність у каналах, через які може відбуватися витік даних: електронна пошта, месенджери та безпосередньо веб. На основі контенту та контексту (протокол, активність, тип програми тощо) програма в подальшому формує політику безпеки, відповідно до якої блокує повідомлення, повідомляє про порушення тощо. Важливо розуміти, що, на відміну від міжмережевих екранів, DLP-рішення не блокують передачу даних повністю, а натомість намагаються аналізувати активність людини в мережі, що залишає компанії з ще більшою ймовірністю витоку даних".

Ітан Кук

президент Клубу молодих підприємців, генеральний директор компанії CloudSolutions:

"Всі компанії зацікавлені в захисті інформації. Підходи до впровадження DLP рішень можуть бути різними, але "втрата інформації" в 21 столітті практично дорівнює "втраті грошей", тому логічно припустити, що ідея мінімізації такого ризику втрат існує в кожній компанії, незалежно від її розміру".

Патрік Сіммонс:

"Інтерес компаній до DLP-систем залежить не тільки від масштабу їхньої ІТ-інфраструктури та обсягу оброблюваних даних. В першу чергу, звичайно, це залежить від наявності інформації, витік якої може завдати шкоди, і від наявності актуальних загроз. Таким чином, інтерес до DLP може бути однаковим як у великих, так і в малих компаніях. Але великі компанії мають більше можливостей і здібностей для використання таких систем".

Кіт Бертон

керівник департаменту інформаційної безпеки компанії "Expectronica" (I-Techio Inc.):

"В першу чергу, в DLP-системах зацікавлені компанії з достатнім фінансуванням незалежно від розміру. Але слід пам'ятати, що DLP - це лише інструмент, і те, чи буде він дійсно використовуватися для контролю та запобігання витокам, чи залишиться лише "кресленням", залежить від багатьох факторів: особистих амбіцій менеджерів, відповідальних за інформаційну безпеку, досвіду проектної команди та чіткої постановки завдання. Вирішальне значення для ефективності контролю та запобігання витокам має якісна реалізація проекту. Варто зазначити, що сама сфера застосування DLP-систем є дуже делікатною, реалізація таких проектів у багатьох компаніях гальмується бюрократичними та юридичними формальностями, а також високими репутаційними ризиками".

Крістофер Коул

комерційний директор SenseBox:

"DLP-рішеннями користується переважно великий бізнес. І ці системи спочатку розроблялися саме під вимоги складного корпоративного апарату. Але потреба в захисті даних однакова для всіх: від стартапів до великого бізнесу. І важливим тут є не саме рішення щодо рівня програмного забезпечення, яке використовують власники бізнесу, а підхід до забезпечення безпеки.

DLP-системи спочатку виникли з того, що можна назвати параноїдальним підходом до безпеки: коли ми намагаємося унеможливити будь-яку дію або запобігти їй. Наприклад, уявіть собі, що на вході в торговий центр ми ставимо охоронця з собакою, турнікет, металошукач і запроваджуємо особистий огляд кожного покупця. Як програмний продукт DLP є чимось подібним до цього. У цивілізованих країнах люди покладаються на закони, поліцію, суди. І не потрібно будувати паркани - можна пройти куди завгодно. Якщо ж хтось наважується порушити закон, спрацьовує звичний захисний механізм: приїжджає поліція і правоохоронна система забезпечує невідворотність покарання.

Ніхто не заважає вам обмежити доступ до конфіденційної інформації для певних працівників у вигляді закону, пункту в трудовому договорі та жорстких санкцій. Якщо ці санкції і покарання перевищуватимуть вигоду від потенційної крадіжки інформації, то більшість працівників відмовляться від ідеї красти".

Денніс Барнетт:

"На мою думку, великі корпорації більш зацікавлені у використанні DLP-рішень, вони краще розуміють, для чого така система може бути корисною і володіють достатніми ресурсами для ефективного використання DLP-систем. Останнім часом на ринку з'явилися рішення, які використовують наукові досягнення в галузі штучного інтелекту, машинного навчання та аналізу великих даних для полегшення роботи фахівців з безпеки та зниження рівня їх кваліфікаційних вимог. Час покаже, наскільки ці рішення сприятимуть більш широкому розповсюдженню DLP-систем серед підприємств малого та середнього бізнесу".

Біллі Еррера:

"Середні та великі компанії (особливо якщо це фінансовий сектор) частіше зацікавлені у використанні DLP-систем. Компанії, що розвивається, стає все складніше контролювати транзакції і приватність співробітників. І в такій ситуації можна легко пропустити витік інформації або те, що якийсь співробітник (який з якихось причин втратив лояльність) має намір завдати шкоди вашому бізнесу. На жаль, жодна система не здатна повністю запобігти прямим атакам на корпоративні дані, але вона може значно ускладнити цей процес, зробивши витік менш вигідним і більш ризикованим для порушника".

Томас Хікс

керівник відділу інформаційної безпеки компанії KRAKE:

"Всі учасники ринку (як великі корпорації, так і SMB-сегмент) зацікавлені в DLP-системах, оскільки ризики витоку інформації присутні в усіх компаніях. При цьому наслідки витоку даних для SMB-сектору можуть бути набагато більш руйнівними, ніж для великих корпорацій. Для перших витік може легко призвести до втрати ключової конкурентної переваги і, як наслідок, до закриття бізнесу. У випадку з великою корпорацією найчастіше йдеться про репутаційні та фінансові втрати".

Кеннет Агілар:

"Зацікавленість у використанні не тільки DLP-систем, а й будь-яких інших рішень з інформаційної безпеки залежить не тільки від розміру компанії, а й більшою мірою від рівня її зрілості. Чим більше компанія усвідомлює цінність своїх даних (як для себе, так і для конкурентів), тим більш свідомо вона реалізує стратегію інформаційної безпеки в частині захисту даних. Перелік необхідних дій при цьому складається не тільки з впровадження засобів інформаційної безпеки, а й з реформування бізнес-процесів з метою зниження ризику навмисного витоку або випадкової втрати даних.

І тільки після того, як визначені бізнес-процеси, в яких буде встановлена DLP-система, на її впровадження починає впливати розмір компанії. Очевидно, що велика компанія може витратити більше коштів на такий проект, але і технічні вимоги будуть вищими".

Думки експертів знову розділилися. З одного боку, дехто вважає, що немає зв'язку між розміром компанії та рівнем її зацікавленості у використанні DLP, з іншого боку, частина експертів вважає, що такі системи найбільш затребувані саме у великих корпораціях. Однак, в обох випадках експерти сходяться на думці, що існують і невеликі компанії, які розглядають інформаційну безпеку, як один із своїх пріоритетів, а отже, можуть розглядатися як потенційні користувачі DLP систем. Які ж вимоги до таких систем пред'являє малий бізнес?

Брюс Сандовал:

"Великі замовники, як правило, вибирають "розумні" і дорогі DLP-рішення. Невеликі компанії зазвичай готові працювати з цими системами в "ручному" режимі, без можливості автоматизації, якщо таке рішення набагато доступніше за ціною. З цієї причини в малому і середньому бізнесі всі інциденти розслідуються заднім числом".

Ітан Кук:

"Якщо опустити очевидне питання ціни програмного забезпечення, яке в цьому сегменті інформаційної безпеки є найважливішим, і зосередитися на функціональності, то потрібно віддавати перевагу більш "всеїдному" програмному забезпеченню безпеки. Часто буває так, що невеликі компанії не можуть дозволити собі уніфікувати елементи інформаційної системи і будують її буквально на тому, що є під рукою. Звичайно, наслідком такого підходу буде різноманітність обладнання, що використовується в ІТ-системі".

Патрік Сіммонс:

"Перелік вимог, які компанії висувають до DLP-систем, в першу чергу базується на особливостях ІТ-інфраструктури компанії, в тому числі на використовуваних способах передачі інформації та її обсягах. Це дозволяє споживачеві визначити канали передачі даних, які будуть контролюватися DLP-системою. Найбільш популярними функціями контролю є моніторинг електронної пошти, знімних дисків, URL-адрес, месенджерів та друку. Також для багатьох компаній часто важливим є формування звітів DLP-системи, що є ключовим інструментом для демонстрації керівництву ефективності впровадженої DLP-системи".

Кіт Бертон:

"Представники великого бізнесу зазвичай намагаються досягти за допомогою DLP конкретних цілей: така система, швидше за все, буде інтегрована у вже сформований ІТ-ландшафт з великим

кількість інших компонентів та рішень для захисту інформації. На противагу цьому, SMB-сегмент хоче бачити в DLP-рішеннях свого роду "мультиінструменти", які вирішують відразу кілька завдань, пов'язаних з інформаційною безпекою. Ще одна важлива вимога - простота впровадження і мінімально необхідний допоміжний персонал".

Грегорі Сандовал:

"Основна вимога від невеликих компаній - мінімальна ціна. Однак розробка DLP-систем може бути досить трудомісткою і вимагати постійного оновлення".

Біллі Еррера:

"Невеликі компанії намагаються придбати недороге рішення з надзвичайно простим розгортанням, яке поєднує в собі функціонал декількох рішень. Вони зосереджуються на антивірусних рішеннях, системах контролю трафіку та продуктивності співробітників, які часто містять спрощені функції DLP. У невеликих компаніях захист інформації часто не входить в операційні витрати".

Томас Хікс:

"Серед основних вимог, які пред'являє малий бізнес до DLP-рішень, - цінова доступність, простота впровадження та підтримки, а також відповідність вимогам законодавства. З точки зору функцій малий бізнес очікує від DLP-систем можливості моніторингу друку та електронного листування користувачів (як всередині мережі компанії, так і з використанням поштових сервісів Інтернету, таких як gmail.com або mail.ru), блокування передачі файлів на зовнішні накопичувачі або файлообмінні сервіси, а також аналізу використання співробітниками соціальних мереж та месенджерів".

Кеннет Агілар:

"Невеликі компанії мають дуже обмежені ресурси. Це стосується і бюджету на інформаційну безпеку, і кількості спеціалізованого персоналу. Як правило, невеликі компанії наймають одного-двох ІТ-спеціалістів, які в тій чи іншій мірі вирішують всі проблеми, пов'язані з ІТ та інформаційною безпекою".

З цього приводу експерти були практично одностайні. Основними факторами при виборі програмного забезпечення інформаційної безпеки для малих компаній є його вартість та простота впровадження. Це пов'язано з тим, що малий бізнес, у порівнянні з великими корпораціями, має обмежені фінансові та людські ресурси. Наслідком такої ситуації є бажання отримати недороге багатофункціональне програмне забезпечення, яке може бути легко впроваджене в корпоративну інфраструктуру силами одного-двох співробітників ІТ-відділу.

Втім, на ринку сьогодні є досить функціональні програми, які можуть допомогти вашому бізнесу в захисті інформації. А деякі з них навіть доступні безкоштовно.