Не так давно мне довелось присутствовать на презентации DLP-системы от компании «МФИ Софт» принципиально нового типа, которая базируется на технологиях анализа больших данных. В принципе, говорят об этом довольно давно, но практические результаты были представлены совсем недавно.
И, надо сказать, презентация возможностей новой системы вызвала довольно сильное впечатление. Хотя бы потому, что практически без каких либо дополнительных настроек уже через неделю ей можно будет полноценно пользоваться. Этого будет вполне достаточно для того, чтобы определить типичную картину движения потоков информации внутри компании с одной стороны, и того, как ведут себя сотрудники с внешними сервисами. Одним словом, то, что называется типичным поведенческим паттерном сотрудников. И все выявление подозрительной активности сводится к тому, чтобы найти существенные отклонения от этого самого паттерна, за которыми практически в любом случае стоит нарушение политик информационной безопасности, пусть и не всегда связанное напрямую с утечками данных. И разговор «по душам» с таким нарушителем может заставить прекратить совершать нарушения, часто надолго. Причем последствия этого разговора «сарафанное радио» может разнести по компании, и это весьма благотворно сказывается на производственной дисциплине.
Другие же DLP системы требуют серьезнейшей подготовительной работы, связанной или с грифованием всех документов, подлежащих защите, или с настройкой баз контентной фильтрации (БКФ) по ключевым словам. И то, и другое является весьма трудоемкими процедурами. В итоге трехмесячный срок с момента установки традиционной DLP-системы до того момента, когда с ее помощью можно будет полноценно защищаться от утечек является, пожалуй, минимальным. Конечно, вроде бы как есть типизированные БКФ для разных отраслей, но, в любом случае, их приходится дорабатывать.
Кроме того, традиционная БКФ является базой данных, для управления которой нужно постороннее ПО, часто коммерческое. В новом продукте от «МФИ Софт» используется специальным образом доработанный движок для анализа больших данных, основу которого составляет решение с открытым кодом. Это снижает как общую стоимость системы, так и зависимость от зарубежных поставщиков ПО, что может оказаться критичным в нынешних условиях.
Анализ нового продукта позволяет еще раз вспомнить и о том, что DLP-продукты не ограничиваются функциями защиты от утечек информации и расследования инцидентов, связанных с нарушениями безопасности. При наличии необходимых навыков она может стать весьма действенным и эффективным средством контроля персонала.
Однако стоит иметь в виду, что использование данной системы подразумевает контроль со стороны оператора. А значит, данный момент должен найти отражение в организационно-распорядительной документации. Ну и нужно подготовить такого оператора, а это уже сложнее, поскольку кандидат должен иметь представление как об ИТ, так и о информационной безопасности. А таких специалистов, увы, мало.