Информационная безопасность. DLP и философия (Игорь Чернов, Директор ТОО «Informsecurity»)
Информационная безопасность.
DLP и философия
Игорь Чернов,
Директор ТОО «Informsecurity»
Девяносто девять процентов случаев успешного взлома компьютеров и хищения данных происходят не потому что хакеры умные, а потому что пользователи дебилы.
Народная мудрость.
Бич нашего времени. Утечка значимой коммерческой информации, в частности клиентских баз, к конкурентам или другим недоброжелателям. Это явление в наше непростое время приняло такой масштаб, что впору за голову хвататься.
Природа этого явления очень проста. Хорошо жить хочется всем. И тем, кто годами в поте лица нарабатывал клиентов. И тем, кто особо не заморачивался этим тяжёлым делом. И пока денег в стране было много, их вроде как на всех хватало. А когда денежная река превратилась в мелкий ручей, началась отчаянная война за клиентов. Нет, можно конечно поджаться, работать по двадцать часов в день без выходных, нарабатывать клиентов и всё такое. Но это не по-нашему, мы ж не китайцы какие чтобы столько работать. Да и жить хорошо хочется сейчас, а не в обозримом будущем. Поэтому гораздо проще клиентскую базу украсть. Да и дешевле. Тем более что статья 223 УК РК (Незаконные получение и разглашение сведений, составляющих коммерческую, банковскую тайну, а также информации, связанной с легализацией имущества, до двух лет между прочим) является фактически мёртвой, доказать что-либо практически невозможно. А потом предложить клиентам те же услуги и товары с небольшой скидкой. Многие клюнут на такое предложение. Денег, как было сказано, всем не хватает. Скажете что я выдумываю? Как бы не так. Приведу пример. Мне не сказать что часто но регулярно звонят из разных страховых компаний с предложениями о страховании моей машины. Казалось бы - ну что тут такого? Узнали в дорожной полиции (тоже кстати утечка информации из базы данных владельцев автомобилей) и позвонили. А не всё так просто. Очень часто звонившие знают не только марку моей машины и год её выпуска, но и такие вещи как какие льготы мне положены, какие у меня скидки за безаварийную езду, какие подарки я получал от своей страховой компании, да в конце концов какой номер моего сотового телефона, на который они звонят. А этих данных в базе дорожной полиции нет. Это знают только двое. Я и страховая компания, в которой я страхую свою машину. И я этого никому не говорил. Выводы делайте сами.
Возникает очень простой вопрос. Как уберечь то, что нарабатывалось годами и что является основой успешной работы многих наших компаний? В последнее время всё чаще приходится слышать об использовании DLP систем как некой гарантии от утечек коммерческой информации. Эти системы широко рекламируются и преподносятся как работающие по принципу - купил, установил, настроил - и забыл, можно спать спокойно. И нужно сказать, что такие системы действительно работают. Но! Спать спокойно рано. Почему?
А вот теперь переходим к философии. В философии, да и в логике и математике тоже, есть понятия необходимости и достаточности. Суть этих понятий ясна из названий. Я их раскрывать не буду, кому интересно может посмотреть в интернете. Я о другом. Дело в том, что многие по тем или иным мотивам подменяют эти понятия. Идёт подмена понятия «необходимость» на понятие «достаточность». Это касается и тех креативных ребят, которые продают и рекламируют DLP системы. Поясню. Использование DLP систем является действительно необходимым условием, если вы хотите сберечь свои данные. Но далеко не достаточным. Кроме установки такой системы нужно сделать ещё много чего. Много чего, требующего и сил, и времени, и умения, и нервов, а зачастую и денег. К слову сказать, подмена этих понятий в сфере информационной безопасности - весьма распространённое явление. Очень часто приходится слышать - для того, чтобы вас не прослушивали достаточно купить и установить в кабинете пару генераторов шума. Или - для того, чтобы ваши работники не сливали информацию конкурентам достаточно заставить их подписать «Обязательство о неразглашении коммерческой тайны». Много чего подобного приходится слышать. Да, это необходимо делать. Но именно необходимо, а не достаточно.
И как всегда при подмене понятий есть выигравшие, есть и проигравшие. Выигравшие - те ребята, которые подменяют эти понятия. Они увеличивают продажи и зарабатывают деньги на обслуживании и обновлении таких систем и устройств. Проигравшими же всегда оказываются наши бизнесмены. Которые платят деньги надеясь на полную защиту, но фактически защиту эту не получают. А потом удивляются, когда несут убытки по причине утечки информации.
А теперь я скажу ещё одну вещь из своей практики. То, что эти два понятия подменяют ребята из компаний, торгующих устройствами и программным обеспечением, предназначенными для пресечения утечек информации, понятно. Принцип «не обманешь - не продашь» известен давно. Но то, что эти два понятия зачастую подменяют молодые креативные и продвинутые сотрудники служб безопасности компаний, призванные не допускать утечек информации, тут я был удивлён. Вот что это? Недостаток образования и опыта? Стремление показать свой профессионализм? Или это «засланные казачки», задача которых не пресекать утечки информации, а максимально этому способствовать? Не готов сказать. Впрочем, это уже совсем другая история.
Берегите себя.