Не так давно, а именно с 1 июня, действует новая версия Стандарта информационной безопасности Банка России (СТО БР ИББС). В нем явно прописан такой риск, как утечка данных и комплекс мер, необходимых для их предотвращения.
Надо сказать, Банк России тут не пионер. Еще раньше, 21 февраля 2013 года, был выпущен Приказ №21 ФСТЭК, включил системы защиты от утечек информации (или DLP системы, от английской аббревиатуры Data Loss Prevention, иногда Data Leak Prevention) в перечень рекомендованных технических средств защиты систем обработки персональных данных (СПДН). И не надо быть экспертом для того, чтобы сделать вывод о том, что рынок DLP обречен на дальнейший рост.
Впрочем, и раньше этот сегмент рынка ИБ не мог пожаловаться на слабые темпы роста. По данным портала Анти-Мальваре. Ру, среднегодовые темпы роста рынка DLP в России с 2008 по 2013 год составили 41%. Причем даже в 2008-2009 годы, на пике острой фазы кризиса, они не только не снижались, а даже росли. И в этом нет ничего удивительного: в периоды экономических неурядиц количество утечек растет, равно как и ущерб от них. И в этом нет ничего удивительного, постольку неурядицы в экономике неизбежно ведут к издержкам, связанным с сокращениями персонала и тем, что зарплата или не растет, а если и растет, то медленнее инфляции. Это усиливает стрессы, и ведет к ошибкам с одной стороны, и к попыткам или поднять свою значимость на новом месте работы, а то и отомстить обидчику-работодателю, иногда не без выгоды для себя.
И ущерб при этом может быть очень большим. Вспомним историю Хайнриха Кибера, который в отместку за увольнение из банка LGT «слил» данные из разряда скелетов в шкафу иностранным спецслужбам. Точнее, речь идет даже не о скелетах, а о целом кладбище, так как сведения эти касались всяческого рода противозаконных операций, включая уход от налогов, отмывание преступных доходов, финансирование терроризма (подробнее см. http://www.iemag.ru/analitics/detail.php?ID=18308). Деятельность Кибера вызывала в итоге форменный международный скандал, так как одним из акционеров банка является князь Лихтенштейна.
У нас ситуация еще более серьезная. Это связано с тем, что потенциальные работодатели часто подталкивают сотрудников чужих компаний к утечкам данных у своих работодателей при переманивании персонала. И одной из сфер, где такая практика распространена наиболее широко, наряду с продажами и страховой деятельностью, является и банковская. Особенно большим спросом пользуются сведения о добросовестных заемщиках, которых потом переманивают у конкурентов, предлагая более выгодные условия. Естественно, по мере ухудшения ситуации в экономике, все эти проблемы будут усиливаться.
Но меры противодействия утечкам тоже внедряются. Задолго до появления рекомендаций от контролирующих органов российские банки внедряли технические средства защиты от утечек. На банки приходится треть этого рынка. Крупнейшие внедрения (охват до 180 тыс. рабочих мест) также относятся к банковскому сектору.
Естественно, то обстоятельство, когда наличие DLP системы становится практически обязательным для банков, увеличит спрос на эти системы. Тем более, что, похоже, только внесением изменений в Стандарт Банка России дело не ограничится. В Госдуму внесен законопроект, который обязывает банки уведомлять об утечках информации при существенном росте штрафных санкций за факт утечки. Все это делает внедрение систем защиты еще и экономически оправданным. Ведь каждая предотвращенная утечка – это реальные живые деньги. При этом целый ряд современных систем представляет может представлять собой программно-аппаратный комплекс, который начинает работать сразу же после установки. Конечно, полноценный проект будет более эффективным, но он более долгий и хлопотный, что в итоге может вылиться в приличные затраты, на которые многие не решаются.
Тем более, что внедрение DLP систем, как показывает опыт, дает множество вполне осязаемых выгод, например, связанных со снижением сетевого трафика и повышением дисциплины сотрудников. Хотя и следует осознавать, что внедрение такой системы – далеко не панацея.