Наверное, я сейсас буду говорить прописные истины, но, поверьте, это будет совсем неспроста, потому что не раз уже наблюдал ситуации, когда эти истины то ли забывались, то ли намеренно игнорировались людьми, считающимися профессионалами в области информационной безопасности.
Инсайдер, осведомлённый о том, кому и зачем может понадобиться похищаемая им информация, гораздо опаснее какого-то внешнего злоумышленника (будем называть его на простонародный манер хакером), влезающего в вашу сеть, быстренько хватающего там что-то, что ему покажется наиболее интересным, а потом мучающегося тем, куда бы эту информацию выгоднее пристроить. Почему опаснее? Потому что осведомленность инсайдера о том, кто именно нуждается в похищенной им информации, позволяет передавать ему её именно тем, к кому они ни при каких условиях попасть не должна - конкурентам, прессе, шпионам заокеанским... То есть действия инсайдера апроири носят для компании более разрушительный характер, чем действия хакера.
А теперь, как говорят в замечательной передаче "Что, где, когда?", "внимание, вопрос!". Почему же от внутренних угроз, то есть от инсайдеров, защищаются куда менее охотно, чем от хакеров?
Наверное, исследуя этот вопрос, можно целую диссертацию написать, но делать это, конечно, нужно не в блоге:) На мой взгляд, проблема лежит, в первую очередь, в плоскости психологии руководителей, принимающих решения о реализации систем безопасности в организациях. Как правило, такое решение принимается на более высоком уровне, чем начальник службы безопасности, и руководителю организации, ни разу не сталкивавшемуся с утечкой информации лично, а только слышащему о подобных случаях от "безопасников", сложно воспринимать такие разговоры всерьез. С его точки зрения, всё это попахивает паранойей, которая, чего уж там говорить, фактически является профессиональной деформацией любого специалиста по безопасности, и не вполне оправданным расходованием денежных средств.
Возникает резонный вопрос: как "безопаснику" убедить высшее руководство в необходимости защиты? Как показывает опыт общения с представителями разных организаций, идеального рецепта не существует. На кого-то действуют примеры тех, кто уже сэкономил на DLP-системах, кому-то вполне достаточно логических аргументов "за", а кому-то приходится обещать и откат в случае положительного решения вопроса. А как вы убедили своё руковосдтво установить DLP-систему (или как пытались убедить)? Предлагаю обсудить в комментариях.
Р. Идов,
эксперт по информационной безопасности
Комментариев нет:
Отправить комментарий