Все мои читатели помнят, что для внедрения DLP-системы недостаточно технической возможности, а требуется также административный ресурс. Преодоление DLP тоже бывает техническим и административным. Если у злоинсайдера оба эти ресурса, шансов нет. К счастью, такое бывает редко. Обычно у него что-то одно .
Мы знаем, как бороться с противником, который подкован айтишно, но не имеет права приказывать службе ИБ (или кто там администрирует DLP-систему). Мы знаем, как бороться с одиночным злоумышленником из числа администраторов. Те и другие знания отлиты в коде нашей системы и в образцах нормативных документов к ней.
Мы также знаем, что делать, если злоумышленный топ-менеджер хочет слить налево ценную информацию и для этого давит на службу ИБ, чтобы те отключили проверку, дали ему неконтролируемый канал, потёрли логи и т.п. Но такого рода опыт затруднительно передать заказчику. Это не код и не документация.
Поймать на сливе своего собственного начальника – это не только установить факт и обстоятельства. Эта авантюраоперация также подразумевает сбор доказательств. Техническая и юридическая корректность доказательств должна быть выше, чем в случае рядового злоинсайдера. Потому что доказывать нарушение придётся не "своим", а "чужим".
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
