Среди достаточно большого количества "безопасников" бытует мнение, что функционировании DLP-системы в организации само по себе не гарантирует эффективной борьбы с утечками информации. Для того, чтобы борьба была эффективной, необходимо также, чтобы персонал организации не знал о том, что такая система в ней уже внедрена. Несмотря на то, что, казалось бы, очевидно, что всё так и есть, и говорить особо не о чем, хочу поднять тему реальной необходимости прятать DLP-систему от персонала. Повышается ли от этого эффективность мер информационной безопасности? Или, всё-таки, функционал DLP-системы и расторопность безопасников важнее, чем неосведомленность сотрудников о ведущемся за ними мониторинге?
Основной аргумент сторонников "конспиративной" тактики звучит примерно следующим образом: "Если сотрудник не будет знать о том, что в организации установлена DLP-система, то чувство собственной безнаказанности толкнет его на действия, которые позволят безопасникам быстро выявить и нейтрализовать его. Если же все знают о наличии DLP-системы, то и инсайдер будет вести себя чрезвычайно осторожно; соответственно, и для выявления его и нейтрализации может уйти очень много времени, и за это время успеет утечь много корпоративных секретов".
Что мы видим между строк? Мы видим банальное желание отдела информационной безопасности облегчить собственную работу. Каким образом? Очень простым. Если скрыть каким-то образом установку в организации DLP-системы, то, действительно, ряд сотрудников будет чувствовать себя достаточно спокойно для того, чтобы передавать информацию в открытую. Но после поимки хотя бы одного из них безопасники уже могут дискредитировать собственную идею, так как сарафанное радио с вероятностью 95% разнесет информацию о том, почему данный сотрудник уволен, и остальные инсайдеры станут осторожнее. Кроме того, действительно умный инсайдер, представляющую наибольшую опасность для организации, еще до поимки кого-либо из своих "коллег" озаботится мерами предосторожности, которые не позволят безопасникам пожинать лавры без каких-либо усилий. Так что, как видим, скрытие DLP-системы становится одноразовой акцией, которая позволяет поймать одного, не самого умного, инсайдера. Стоит ли это тех усилий, которые нужно приложить, чтобы спрятать DLP-систему от всего персонала? Едва ли.
Вместе с тем, как показывает практика, информирование персонала о том, что существует система оперативного контроля его работы, существенно повышает производительность труда (вмето "Одноклассников" открыты документы в Word'е) и снижает число случайных утечек данных (под страхом лишения премии сотрудник три раза подумает, нужно ли ему переписывать этот файл на флэшку, или он всё-таки не относится к тем документам, с которыми можно работать дома). И не слишком интеллектуальные инсайдеры, которых безопасники быстро выявляли в первом случае, просто отсутствуют как класс - ну, или, если случай совсем уж запущенной, выявляются так же легко и быстро.
Скрытие DLP-системы плохо еще и с законодательной точки зрения. Дело в том, что для её применения нужно, чтобы в трудовом договоре работник давал согласие на подобного рода контроль своих действий, потому что в противном случае инсайдера будет трудно уволить "по статье" со всеми вытекающими. Поэтому извещать сотрудников придется при приеме на работу, ну и, соответственно, при внедрении DLP-системы тоже никуда от этого не денешься.
Так что, как видите, нет особого смысла создавать себе какие бы то ни было лишние сложности, пряча DLP-систему от персонала. Заострять внимание на ней, наверное, тоже не стоит, но знать о ней персонал должен. То, что пугает, дисциплинирует, а те, на кого это и действует, как раз и должны быть предметом пристального внимания специалистов по информационной безопасности.
Р. Идов,
эксперт по информационной безопасности
