Константин Левин: «Производителям DLP-решений не удалось убедить рынок в законности применения своих продуктов в корпоративной среде.»

[AM_Bot 48]

 На вопросы Anti-Malware.ru любезно согласился ответить Константин Левин, директор по продажам компании InfoWatch. Это интервью продолжает цикл публикаций "Индустрия в лицах".

 

подробнее

[Сергей Ильин 1538]

Так что, рынок DLP из рынка ПО трансформируется в рынок услуг на базе DLP как технологии? Для крупных компаний, соглашусь, все к этому идет. Это как в случае с SAP, ПО становится технологической платформой на базе которой строится решение индивидуально под конкретного заказчика.

Если проводить аналогию с SAP дальше то, что интересно, SAP консультанты во многом уже сожрали обычных бизнес-консультантов, так как выполняют те же самые функции, но при этом еще могут сразу реализовать все на базе платформы SAP.

[DLP phob 0]

По статье сложилось впечатление, что у производителей DLP-систем самих нет «Системного понимания», что должен делать, а чего - нет их продукт. Поэтому и «Результат обучения заказчиков» с «низким уровнем зрелости» столь плачевен. И это при том, что «проблема законности применения DLP-систем актуальна примерно для половины клиентов». Подчеркивается, что «мы принципиально не контролируем входящую почту, поскольку отправитель, не имеет возможности дать согласие на такой контроль, подписать соответствующую бумагу». Получается, что для обработки каждого письма надо получать согласие и подписывать какие-то бумаги! Почему этих проблем нет у антивирусов? Почему речь идет лишь о входящей почте, для исходящей этого не надо? Например, можно не приминать письмо, если отправитель не подтвердил цифровой подписью свое согласие на обработку письма DLP-системой! Похоже проблема в чем-то ином. Настораживает мнение автора, что в «госмонополиях» «не озабочены вопросами законности». На мой взгляд, все наоборот: какой чиновник на свой страх и риск будет внедрять, непонятно какаю, систему, не обложившись предписаниями сверху и сертификатами на нее? Не понятно, почему «штирлицы» от DLP скрытно эксплуатируют систему, не афишируя это? Скрывают противоправные действия? Действуют во вред компании или ее сотрудников? И как это им удается? Нашли не декларированные возможности в продукте? Изменили исходный код? Или это – один из предусмотренных режимов работы DLP? Если так, то зачем он нужен и что дает для безопасности?

Автор много рассуждает о востребованности избирательной защиты информации, о привязке защиты к бизнес-процессам компании, о необходимости анализов рисков, о согласованном управлении безопасностью и т.д. Все это верно, но относится «абстрактно» ко всем средствам защиты: специфика DLP здесь не просматривается. Похоже, автор всеми силами пытается уклониться от темы. Возможно, это – предложение новой темы или направления дискуссии: «что, как и от кого должно защищать DLP и насколько это эффективно и законно?». Статья вызывает много вопросов, но они выходят за рамки рассматриваемой темы: подождем продолжения.

В такой ситуации нельзя не согласиться с мнениями Наталии Касперской и Константина Левина, что DLP системы, в нынешнем виде, будут вытеснены с рынка более интегрированными решениями по безопасности. И этот процесс обусловлен не только тем, что комплексный продукт способен обеспечить более высокий уровень безопасности, но и тем, что производителям DLP решений так и не удалось четко обозначить границы ответственности (от кого и от чего защищает DLP), определить базовый функционал (что относиться к DLP, а что – нет) и убедить в законности применяемых технологий. А без этого на поддержку Compliance рассчитывать не стоит.

[Виталий Я. 859]

Интересует мнение Ашота, например.

[DLP phob 0]

На свой комментарии к обсуждаемой статье получил неожиданный вопрос:

Автор Svh, дата создания ср, 12/12/2012 - 16:09.

Впечатление у Вас сложилось неверное. В частности уходить не буду - желающие найдутся, но уже из того, что Вам "Не понятно, почему «штирлицы» от DLP скрытно эксплуатируют систему, не афишируя это? Скрывают противоправные действия? Действуют во вред компании или ее сотрудников? И как это им удается?" очевидно, что Вы бесконечно далеки от темы защиты от утечек данных. Или я не прав?

Вынужден ответить:

Нет, Вы не правы. Я профессионально занимаюсь защитой информации. Мне не понятно, почему отдельным направлением защиты – защитой от утечек надо заниматься подпольно или вне закона. И по фильму Штирлиц – разведчик (инсайдер в тылу врага), т.е. явно не защитник интересов Германии. Огульно подвергать сомнению компетенцию комментирующего – не этично. Это – уход от темы дискуссии.

[svh 30]

На свой комментарии к обсуждаемой статье получил неожиданный вопрос:

Вынужден ответить:

Нет, Вы не правы. Я профессионально занимаюсь защитой информации. Мне не понятно, почему отдельным направлением защиты – защитой от утечек надо заниматься подпольно или вне закона. И по фильму Штирлиц – разведчик (инсайдер в тылу врага), т.е. явно не защитник интересов Германии. Огульно подвергать сомнению компетенцию комментирующего – не этично. Это – уход от темы дискуссии.

Тогда совершенно не понятен Ваш вопрос). Скорее всего, Вы в курсе, что некоторые безопасники ставят DLP, не уведомляя сотрудников о наличии системы. А это суть негласный контроль действий сотрудников, вмешательство в личную жизнь и нарушение Конституции. Если мы говорим о контентной фильтрации, то никакие действия человека по отношению к другому человеку (мониторинг, просмотр сообщений) с помощью системы выполнять нельзя. Факт очевидный и признанный. Потому логично, что я усомнился в Вашей близости к сфере.

[Сергей Ильин 1538]

В такой ситуации нельзя не согласиться с мнениями Наталии Касперской и Константина Левина, что DLP системы, в нынешнем виде, будут вытеснены с рынка более интегрированными решениями по безопасности. И этот процесс обусловлен не только тем, что комплексный продукт способен обеспечить более высокий уровень безопасности, но и тем, что производителям DLP решений так и не удалось четко обозначить границы ответственности (от кого и от чего защищает DLP), определить базовый функционал (что относиться к DLP, а что – нет) и убедить в законности применяемых технологий. А без этого на поддержку Compliance рассчитывать не стоит.

О вытеснении DLP-продуктов и о размытии этого рынка как такового говорят года так с 2008, когда все крупные антивирусные компании понапокупали себе молодых DLP-стартапов. Прошли года, а никакой тесной интграции между DLP, антивирусами, SIEM и т.п. не наблюдается. Как покупали отдельно что-то так и покупают. Может я ошибаюсь, но проекты по внедрению DLP в нашей стране, как правило идут сами по себе, а не как составная часть чего-то. Потому что из коробки DLP не ставится. Нельзя прийти к интегратору/реселлеру и сказать: "заверните мне антивирус, антиспам и еще DLP на сдачу". Первых два завернут, а вот третье дадут в таком виде, что придется потом полгода дома напильником подтачивать

[Kapral 311]

ставят DLP, не уведомляя сотрудников о наличии системы. А это суть ..., вмешательство в личную жизнь

Прямо у вас дома поставили DLP?

[Сергей Ильин 1538]

Прямо у вас дома поставили DLP?

Тут не в этом дело, очевидно речь идет о пресловутой 23-й статье конституции. Классическая юридическая тема, которая обсуждается на всех DLP-тусовках несколько лет к ряду.

[Виталий Я. 859]

http://www.vedomosti.ru/tech/news/7080351/...ee_upravlyaemym DLP есть DLP, а вот Deep Packet Inspection сейчас всем как внедрят, попляшем - и придется ИБ-шникам весь трафик, летящий по секьюрным протоколам, заворачивать на себя

[svh 30]

http://www.vedomosti.ru/tech/news/7080351/...ee_upravlyaemym DLP есть DLP, а вот Deep Packet Inspection сейчас всем как внедрят, попляшем - и придется ИБ-шникам весь трафик, летящий по секьюрным протоколам, заворачивать на себя

Имхо, на DPI нагнут только федеральных провайдеров типа Б3 + Ростел. Остальные под это дело просто поднимут цены на услуги

[DLP phob 0]

... некоторые безопасники ставят DLP, не уведомляя сотрудников о наличии системы...

Вопрос как раз и состоит в том, зачем они это делают? Почему производители DLP позволяют это делать в своем продукте? Разве DLP - средство негласного получения информации?

[svh 30]

Вопрос как раз и состоит в том, зачем они это делают? Почему производители DLP позволяют это делать в своем продукте? Разве DLP - средство негласного получения информации?

Потому, что клиент всегда прав_) Вы потроллить? Тогда у нас с Вами консунсуса не выйдет)))

[DLP phob 0]

Прямо у вас дома поставили DLP?

Кто его знает: DLP ставиться скрытно. Может быть уже и поставили. Кстати, должен ли антивирус выявлять DLP, как шпионское ПО?

Потому, что клиент всегда прав_) Вы потроллить? Тогда у нас с Вами консунсуса не выйдет)))

Если DLP - рынок для мошейников, то мне тут делать нечего - буду заниматься защитой информации против ее кражи через DLP

[Kapral 311]

Если вам смогли дома скрытно поставить DLP - то почему данные не увели более простым способом?

[svh 30]

Если вам смогли дома скрытно поставить DLP - то почему данные не увели более простым способом?

Илья, давно АМ превратился в пристанище школоты и троллей?)

2Kapral А откуда следует, что кому-то дома ставят DLP?

[Kapral 311]

2Kapral А откуда следует, что кому-то дома ставят DLP?

см. посты DLP phob

[svh 30]

см. посты DLP phob

Там все понятно, я-то где это сказал?))

[Kapral 311]

Там все понятно, я-то где это сказал?))

Нигде

Просто я отходил покурить, вы успели ответить раньше

Приношу извинения, что пост оформлен так, вы восприняли на свой счет

ЗЫ. ах да. фраза "трололо и школоло" сразу после цитаты из моего поста - тоже смотрится шикарно

[svh 30]

Нигде

Просто я отходил покурить, вы успели ответить раньше

Приношу извинения, что пост оформлен так, вы восприняли на свой счет

ЗЫ. ах да. фраза "трололо и школоло" сразу после цитаты из моего поста - тоже смотрится шикарно

Также прошу извинить) задали тут тон дискуссии отдельные эксперты)

[MitM 25]

Из всего прочитанного (интервью К.Левина + обсуждение на форуме АМ) я понял только одно, что все вопросы, связанные с законностью DLP (использование и разработка), излагаются в статье, и воспринимаются, тут, участниками форума на АМ, очень печально и крайне болезненно. Или, ещё того хуже, - крайне болезненно устало. Это выглядит достаточно странно. Может эту тему (DLP) вообще не стоит затрагивать на АМ, ни в каком виде. А может, вообще, нигде и никогда не стоит затрагивать. Разве что, следственным органам и прокуратуре. Пусть это будет подпольный бизнес, как наркотики, проституция, казино, выбивание долгов и т.д.

[Сергей Ильин 1538]

MitM, ничего такого закрытого или незаконного в DLP нет. Есть куча вариантов легального использования DLP-систем и все нормальные люди их используют. Есть варианты отказа от перлюстрации сообщений человеком (машине это не запрещено делать по закону), когда "вскрывать" переписку будут уже правоохранительные органы в рамках правового поля. Есть вариант, когда почту запрещается использовать для личных целей, люди под этим подписываются и далее переписка считается собственностью компании, о чем в каждом письме ставится дисклеймер. Есть прикольные другие варианты, например, автоматом всегда ставить в копию офицера безопасности, для любых писем.

В общем все легально, все законно, людей оповещают, они знают на что идет и с чем работают.

[DLP phob 0]

2Kapral А откуда следует, что кому-то дома ставят DLP?

см. посты DLP phob

Это меня Kapral пугает:

Прямо у вас дома поставили DLP?

Если вам смогли дома скрытно поставить DLP - то почему данные не увели более простым способом?

То есть, Вы подтверждаете мои опасения, что DLP – один из способов увода данных, но, возможно, не самый простой?

Может эту тему (DLP) вообще не стоит затрагивать на АМ, ни в каком виде. А может, вообще, нигде и никогда не стоит затрагивать. Разве что, следственным органам и прокуратуре. Пусть это будет подпольный бизнес, как наркотики, проституция, казино, выбивание долгов и т.д.

Я не собирался тролить «законность применения DLP» - наверняка есть профессиональные юридические форумы, где все разложено по полочкам. Буду признателен за ссылки.

Я, собственно, хотел обсудить тему, какие преимущества для защиты информации (ибо область DLP – утечки информации = нарушение конфиденциальности информации) дают противозаконные или полузаконные методы. Для «добычи» информации – все ясно. Я готов отстаивать мнение – что никаких!

О вытеснении DLP-продуктов и о размытии этого рынка как такового говорят года так с 2008, когда все крупные антивирусные компании понапокупали себе молодых DLP-стартапов. Прошли года, а никакой тесной интграции между DLP, антивирусами, SIEM и т.п. не наблюдается.

Да, я о том же. Еще лет 100 назад Ленин говорил типа «перед тем как объединиться, надо размежеваться». А ведущие разработчики DLP никак не определятся, что входит/не входит в DLP, что законно, что нет. Видимо, таков бизнес DLP, что половина клиентов не понимает законно/незаконно ли DLP.

MitM, Есть прикольные другие варианты, например, автоматом всегда ставить в копию офицера безопасности, для любых писем.

То есть, «что охраняем, то и имеем»

[svh 30]

Я не собирался тролить «законность применения DLP» - наверняка есть профессиональные юридические форумы, где все разложено по полочкам. Буду признателен за ссылки.

Я, собственно, хотел обсудить тему, какие преимущества для защиты информации (ибо область DLP – утечки информации = нарушение конфиденциальности информации) дают противозаконные или полузаконные методы. Для «добычи» информации – все ясно. Я готов отстаивать мнение – что никаких!

Вы совершенно правы. Скрытное использование средств DLP (понимаем под этим контентную фильтрацию, не блокирование устройств - важно) дает преимущество только одному человеку - главе ИБ-службы.

[MitM 25]

MitM, ничего такого закрытого или незаконного в DLP нет. Есть куча вариантов легального использования DLP-систем и все нормальные люди их используют. Есть варианты отказа от перлюстрации сообщений человеком (машине это не запрещено делать по закону), когда "вскрывать" переписку будут уже правоохранительные органы в рамках правового поля. Есть вариант, когда почту запрещается использовать для личных целей, люди под этим подписываются и далее переписка считается собственностью компании, о чем в каждом письме ставится дисклеймер. Есть прикольные другие варианты, например, автоматом всегда ставить в копию офицера безопасности, для любых писем.

В общем все легально, все законно, людей оповещают, они знают на что идет и с чем работают.

Я не сомневаюсь в том, что любое оповещение о контроле сотрудников и их внешних абонентов технически возможно в DLP. Более того, возможно не только оповещение, но и запрос на их согласие. Мне не понятно, почему это оповещение (без возможности его отключения) не является обязательным требованием к DLP, со стороны тех же производителей. Каких, таких Штырлецов ловят. Скрытое слежение - это прежде всего провокация, направленная против обычных рядовых сотрудников и возвышающая службу безопасности над ними. К тому же это ещё и уголовно наказуемо, так же как и производство самих средств для этого негласного получения информации.