Почему остановка сообщений – не всегда хорошо?

Очень часто при выборе DLP-системы руководители предприятий обращают внимание на то, может ли она перехватывать отправленные сообщения. Ведь это кажется таким удобным! Поставил DLP в режим остановки, и можно не опасаться утечек, система сама обо всем позаботится.

Не позаботится. Какой бы умной и гибкой ни была программа, она никогда не сможет заменить аналитические способности человеческого мозга. Да и утечки не сводятся всего лишь к пересылке конфиденциальных документов, это намного более сложный процесс, в котором обычно задействовано несколько человек. И если перефразировать известный слоган, то чтобы поймать инсайдера, нужно думать как инсайдер. Чего, к сожалению, DLP без помощи человека сделать не может.

Чем же конкретно так плоха остановка сообщений?

1. Ложные срабатывания. В идеале их быть не должно, если система настроена только на перехват конфиденциальной информации в письмах сотрудников, к которой они не должны иметь доступ.

Но как часто это случается, сотрудники службы безопасности стремятся охватить как можно больший спектр рабочих моментов, и настраивают срабатывание перехвата не только при обнаружении точных копий документа, но и для всех похожих на него. Вот тут и случаются ложные срабатывания. Сотрудники не могут обменяться необходимыми для работы данными, невозможно отправить нужный документ на печать, а безопасникам то и дело приходят уведомления о «нарушении» политик безопасности.

И такое положение дел не просто тормозит бизнес-процессы. Оно дает возможность человеку, обремененному интеллектом, украсть необходимую информацию, да так, что в потоке ложных срабатываний это не сразу и обнаружат, потому что…

… 2. останавливая сообщение, DLP обнаруживает себя. Инсайдеру будет абсолютно очевидно, что если при попытке передачи конфиденциального документа приходит уведомление о невозможности передать письмо, отправленное сообщение заменяется «звездочками» и т.д., то корпоративная сеть находится под контролем DLP-системы. А значит, он либо найдет незащищенный канал связи, либо передаст сообщение так, что программа не сможет его распознать как критически важное, либо… вариантов может быть много, и каждый из них приводит к одному – к утечке.

Поэтому при выборе DLP прежде всего необходимо обращать внимание на возможность использования ее инструментов для аналитических исследований, а остановка сообщений – это уже вещь десятая. Впрочем, если есть возможность приобрести DLP-систему, которая предлагает инструменты и контроля, и перехвата, то остановить свой выбор лучше на ней – иногда есть необходимость применять и настройки блокировки сообщений. К примеру, остановка писем – один из наиболее эффективных методов борьбы со случайными утечками.

Александр Вашкевич