Со дня на день (а может, уже прямо и сегодня) наша компания выпустит новую версию SearchInform EndpointSniffer с поддержкой блокировки передачи электронной почты. Уже сейчас предвижу шквал возласов со стороны скептиков: "Ага, все-таки и вы тоже реализовали это! Значит, всё-таки не бывает DLP-системы без остановки, она нужна всем!" Нужна-то, может и нужна, да только не так часто, как может показаться.
Случаев таких совсем немного, и поэтому мы все их разберем:
1) Нужно установить драконовские меры безопасности, чтобы ничего не утекло.Кажется, что если тормознуть трафик, то и утечь данные не смогут. На самом деле, если кому-то очень сильно нужно, чтобы они всё-таки утекли, то они, поверьте, обязательно утекут. И если вы сегодня остановите почту, запретите запись на флэшки, отрубите Скайп, то нет никакой гарантии, что завтра сверхсекретный документ просто не сфотографируют.
2) Нужно не допустить утечку критически важных данных.Такие данные обычно составляют около 1% от общего объема информации, которй организация хочет защитить от утечек. Конечно, остановка тоже ничего не гарантирует (см.выше), но зато даёт дополнительный барьер, что несколько уменьшает риски.
3) Нужно, чтобы система формально соответствовала некоторым представлениям о "прекрасном". Здесь остановка играет роль фальшрешетки радиатора на современных автомобилях: вроде и не нужна, но без неё не покупают.
Есть еще пара случаев, но в основном требования заказчиков сводятся к пунктам 2 и 3. Поэтому мы не отказываемя от мысли что остановка трафика, в принципе, не очень-то и нужна при грамотной работе с персоналом, но она нужна когда систему покупают. Пусть ею потом никто и не будет пользоваться. Ну а как говорится, клиент всегда прав.
Р. Идов,
аналитик компании SearchInform