Определенно, в практике применения DLP-систем, случались эпизоды, когда собранные системой данные использовались и во внутренних разбирательствах с сотрудниками, и даже в рамках реальных судебных процессов. Но чем дольше заказчики используют такие системы, тем тяжелее извлекать из накопленного объема данных сигналы об утечках, нарушениях трудовой дисциплины и других инцидентах. И если в «аналоговую» эпоху ветераны спецслужб, которые сегодня пополнили отряды СБ в коммерческих структурах, могли вспомнить молодость и поработать «мониторщиками» – проанализировать запись разговоров с офисных телефонов, посмотреть на скриншоты или добыть доказательства любым другим образом, – то в эпоху повсеместной «цифры» безопасники вынуждены в том или ином виде привлекать ресурсы data science. Разумеется, без анализа данных с использованием современных DLP, разработанных для российских заказчиков, продуктивно работать с такой огромной базой нереально.
На «боль» клиентов обратили внимание в компании «Инфосекьюрити» (входит в группу Softline) и создали профессиональный сервис по анализу собираемых DLP-системой данных. Фактически это комплексная услуга, которая объединяет в себе мониторинг утечек, нарушений регламентов и правил, помощь в сборе свидетельств этих инцидентов, а также поиск этих свидетельств среди собранных DLP-системой неструктурированных данных.
Операционную поддержку сервису оказывает отдел из 11 аналитиков, которые работают практически со всеми DLP-системами российской разработки. Учитывая деликатный характер работы с инцидентами на стороне клиентов, в отношении каждого сотрудника этого отдела проводится комплекс мероприятий – например, эксперты проходят регулярное тестирование на полиграфе. «Инфосекьюрити» собирала кадры для этой команды на протяжении шести лет, и в настоящий момент другого коллектива с подобным уровнем компетенций, контроля и ответственности на рынке просто не существует.
С точки зрения архитектуры, работа с данными DLP-систем заказчика может быть организована двумя способами. С одной стороны, «Инфосекьюрити» размещает в своем облаке сервера, на которые собираются данные: этот вариант приемлем для заказчиков, которые только начинают эксплуатировать DLP-системы и сразу хотят избавиться от многообразия вопросов и сложностей технического сопровождения системы. С другой – если заказчик предпочитает держать серверы на своей стороне, между серверами заказчика и консультантами прокладывается защищенный канал. За заказчиком сохраняются все его административные возможности доступа в свою систему и контроля за подрядчиками.
Поскольку каждый заказчик самостоятельно решает, насколько оперативно он должен узнавать об инцидентах и насколько полным должен быть набор свидетельств о событиях, для своего нового сервиса компания «Инфосекьюрити» решила жёстко не фиксировать возможный уровень оказания услуг (SLA), а подстраиваться под требования клиентов. Так, при желании самый «параноидальный» уровень SLA предусматривает работу в режиме 24/7/365 и информирование о событиях, касающихся «особо критичной информации» заказчика, в течение одного часа после произошедшего. Впрочем, обычно применяется более спокойный режим информирования. Многим службам безопасности клиентов достаточно еженедельных или даже ежемесячных отчетов, чтобы держать в курсе менеджмент компании и отчитываться о числе инцидентов и спектре мероприятий, которые не дали этим инцидентам спровоцировать реальный экономический или репутационный ущерб. Другими словами, «Инфосекьюрити» берет на себя функции того самого особиста-«мониторщика», но только работающего в эпоху цифровой трансформации, которую сейчас переживают отечественные компании.
Началу работ по мониторингу данных DLP предшествует аудит нормативной документации, которая уже есть у заказчика, или которую необходимо создать и/или доработать. В первую очередь, это документы по режиму коммерческой тайны, поскольку чаще всего клиенты стремятся защитить именно ее. Еще одним достаточно типовым, но не менее значимым документом является «Политика допустимого использования ИТ-ресурсов компании», где содержится набор правил, которые определяют, что пользователю запрещено делать в процессе работы за офисным ПК, какого рода информация недоступна для тиражирования и вывода. Фактически, происходит инвентаризация информационных активов, выделение из них наиболее критичных, описание сценариев утечек данных по разным каналам. На основе этих исходных материалов даже уже существующие документы по режиму коммерческой тайны, как правило, существенно дорабатываются.
Анализ данных DLP-систем от «Инфосекьюрити» упакован в модель управляемой услуги. Клиенту предлагается платить за конкретную функциональность, при этом в рамках взаимоотношений с аутсорсером заказчик должен получать эту функциональность с определенным качеством и периодичностью. Управляемая услуга DLP-аналитики хороша с точки зрения быстрого старта проекта и отсутствием необходимости искать и нанимать редкого и дорогого специалиста data science с уклоном в безопасность. Вместе с тем, поставщик сервиса призывает вероятных заказчиков быть реалистами: первые результаты эксплуатации сервиса можно увидеть через 2-3 месяца, а о том, насколько проект состоялся и от каких проблем уберег клиента, можно говорить после года использования. Года хватает, чтобы провайдер услуги научился понимать, как работает компания, как меняется ее структура, как распределяются роли пользователей, а также чего именно хочет служба безопасности и в каком виде целесообразно формировать для нее отчет. Заказчик к этому привыкает, для него это уже не сервис, а важный бизнес-процесс.
Руководитель СБ одного из заказчиков в кулуарной беседе признался, что сервис «Инфосекьюрити» – это половина его работы, связанной с предотвращением и расследованием утечек. Стало быть, первый на рынке «мониторщик» для российских DLP работает именно так, как его задумывали создатели.