Полный порядок: как работают системы управления доступом к неструктурированным данным

Неструктурированные данные представляют для компании серьезные риски. Например, конфиденциальная информация, оказавшаяся в открытом доступе, обернется финансовыми и репутационными потерями, а неправильное хранение — штрафными санкциями от регуляторов, которые включают в себя остановку деятельности и личную ответственность руководства. При этом, каждый день создаются терабайты данных и по прогнозам аналитических агентств мировой объем информации в ближайшие годы превысит 175 зеттабайт. Значительный процент этих данных — неструктурированные.

На защиту неструктурированных данных ориентированы DCAP-системы. В статье рассмотрим, какие функции они выполняют и как помогают обеспечивать информационную безопасность в компании.

DCAP-система и ее функции

Термин Data-Centric Audit and Protection появился в 2017 году. Его ввела аналитическая компания Gartner, тем самым обозначив существующую проблему — появление больших объемов неструктурированных данных. По оценкам экспертов, такие данные могут составлять до 80% от всего объема компании, что затрудняет выявление и защиту чувствительной информации. Например, важная коммерческая информация организации может оказаться в открытом доступе и это повлечет за собой финансовые и репутационные риски, санкции со стороны регуляторов и т.д.

DCAP (Data-Centric Audit and Protection) — это класс решений защиты информации, которые предназначены в первую очередь для защиты неструктурированных данных и файловых хранилищ. В задачи DCAP-системы входит:

• находить и классифицировать неструктурированные данные;
• проводить мониторинг прав доступа;
• отслеживать действия с данными;
• запрещать нежелательные операции с данными.

Дмитрий Пинчук

Директор департамента технической защиты информации, «Технопром»

Во всем мире и в России частности происходит стремительное внедрение новых технологий, включая такие как: машинное обучение, разработки в области искусственного интеллекта и прочие, что приводит к генерации больших объемов неструктурированных данных. Руководство российских компаний, государственный и коммерческий сектора, начинают осознанно понимать важность защиты таких данных, особенно в свете ужесточения федерального законодательства и развития требований по соблюдению конфиденциальности.

В связи с уходом зарубежных игроков, последние два года рынок по данному классу решений становится более конкурентным. Помимо разработок, включенных в реестр отечественного ПО, на рынке уже есть решения, сертифицированные ФСТЭК России по требованиям к защите информации, что ведет к конкуренции и в свою очередь улучшает качество предлагаемых решений.

Таким образом, рынок DCAP в России продолжает адаптироваться к новым условиям и демонстрирует потенциал для роста и инноваций.

В большинстве случаев корпоративная информация хранится не в одном месте, а в разных: облачных сервисах, базах знаний, на серверах, в файловых хранилищах. Чем больше данных, тем сложнее ответить на вопрос, где и какая информация находится, кто имеет к ней доступ и какие действия может совершать. Появление больших массивов неструктурированных данных влечет за собой риски для бизнеса. DCAP — комплексное решение для управления неструктурированными данными, которое помогает решить эту проблему.

Преимущества использования DCAP

Особенно актуальны DCAP-системы в сферах, где недостаточный контроль над чувствительными данными повлечет серьезные последствия как для самих организаций, так и для их клиентов: госучреждения, банковская сфера, IT и телеком, здравоохранение, производство и другие. Число закупок DCAP-систем в последние годы значительно выросло. Это можно объяснить ростом осведомленности организаций в сфере информационной безопасности, а также интересом к защите данных. В том, числе из-за требований регуляторов.

Дмитрий Корнилович

Менеджер по развитию бизнеса Solar DAG, ГК «Солар» 

Российский рынок DCAP-систем находится в стадии активного развития. Западные игроки, формировавшие этот рынок на базе своих решений, задали высокую планку с точки зрения качества и функциональности. Поэтому сейчас сложилась настоящая и здоровая конкуренция между российскими вендорами, которые ищут новые возможности, внедряют интересные технологии с учетом требований заказчиков.

Кроме того, развитию содействуют регуляторные требования по защите данных, в том числе персональных и финансовых: ФЗ-152, СТО БР ИББС, GDPR и другие.  DCAP здесь выступает удобным и эффективным инструментом контроля и выстраивания защиты данных.

DCAP-системы повышают уровень информационной безопасности компании и выполняют несколько основных функций:

• обнаружение критически важной информации (и всех ее дубликатов) и ее местоположение;
• проверка действий пользователей с файлами;
• проверка прав доступа к файлам;
• восстановление удаленных данных.

Таким образом, благодаря DCAP-системе можно автоматизировать управление доступами к информации. ИБ-специалист будет видеть кто из сотрудников, какие файлы открывает, создает, куда перемещает, копирует и удаляет.

Нестандартное применение DCAP-системы

В основном DCAP-системы используются для очень узких задач и не решают глобальных проблем информационной безопасности компании. Они используются в уже зрелой ИБ-инфраструктуре и дополняют другие решения, например, DLP или IDM. Однако, некоторые компании находят весьма нестандартное применение для функционала DCAP-систем. 

Сергей Добрушский

Директор по развитию продуктов «Сайберпик»

В рамках одного из проектов заказчик обратился к нам с целью адаптации механизма распознавания изображений под свою бизнес-задачу. Необходимо было реализовать распознавание фотоотчетов, предоставляемых для контроля качества выполнения работ. Совместно мы провели переобучение наших моделей и их адаптацию, а рабочий прототип показал очень высокую точность анализа, часто недосягаемую для анализа таких фотографий человеком. Сейчас этот функционал используется в режиме 24/7, причем основным заказчиком является отдел контроля качества, а не ИТ или ИБ департамент.

Иногда с помощью DCAP-систем можно обнаружить не только чувствительную информацию в открытом доступе, но и злоупотребление ресурсами компании со стороны сотрудников. Например, они могут использовать файловые хранилища в личных целях и затруднять управление данными.

Саблин Сергей

Менеджер по развитию бизнеса компании Axoft

Один из вендоров DCAP-систем рассказал об итогах тестирования системы внутри собственной организации. Кроме стандартных находок конфиденциальных данных там, где их не должно быть, нашлось большое количество мультимедиа у сотрудников, которые не работают с данным типом файлов. Было обнаружено более 200 ГБ музыки на рабочих станциях, что представляет риск из-за нерационального использования ресурсов компании.

Возможности DCAP-систем позволяют ИБ-отделу узнать необходимое о данных организации. Например, в каких файловых хранилищах находится критичная информация и у кого есть доступ, что находится в открытом доступе, есть ли копии данных и неиспользуемая информация.

Алексей Дрозд

Начальник отдела информационной безопасности «СёрчИнформ»

Из нестандартного. При помощи DCAP можно блокировать аддоны браузеров и определять количество почтовых ящиков у каждого юзера в Outlook. Все по порядку. Если кратко, то аддоны — это файлы с конкретным расширением, которые всегда лежат в определенных местах. По правилу из одного действия, поиску по расширению, можно найти всех юзеров, которые установили аддоны. После этого останется только запретить процессам браузера взаимодействовать с файлами аддонов.

Про почтовые ящики в Outlook. При создании ящика пользователя, Outlook создает еще и хранилище в формате ost. Причем, сколько ящиков, столько и хранилищ. Хранилище по умолчанию расположено в определенном месте и под определенным именем, совпадающим с именем почты. Зная это, можно создать правило для автоматизации и настроить реакцию на такой инцидент при помощи скрипта.

Если в вышеприведенных примерах, компании находили для DCAP-системы нетривиальное применение, то зачастую наблюдается и обратное явление. Иногда компания покупает дорогостоящее DCAP-решение, но использует не все его функции, например, из-за неправильной настройки или недостатка ресурсов, которые требуются, чтобы привести инфраструктуру в порядок.

Особенности и интеграция DCAP-систем

Перед тем, как приобретать дорогостоящую DCAP-систему, необходимо оценить, насколько она нужна компании и решает ли ее потребности. 

Дмитрий Корнилович

Менеджер по развитию бизнеса Solar DAG, ГК «Солар»

Процесс внедрения решения класса DAG/DCAP — это не самый трудоемкий этап. Как правило, задача стоит не только в защите данных в покое, но в построении полноценной системы контроля и управления доступом к данным, оценке рисков и противодействию утечек. И в этом случае только DCAP-системы просто недостаточно. Требуется несколько решений (DLP, IdM, PAM, MFA…), которые позволят комплексно закрыть такую задачу. DCAP-система – не волшебная таблетка, но со своей зоной ответственности справляется полностью.

Интеграция DCAP может быть затруднена, если в компании уже есть решения с похожим функционалом. Например, если стоит DLP-решение, то нужно учитывать возможность интеграции с ним и разделение задач. Также при внедрении нужно помнить о том, что потребуется обучение сотрудников и выделение ресурсов на поддержание работы системы.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Я бы разделил сложности на две большие группы – технические и организационные. С техническими всё более-менее понятно – увеличение объемов данных, трудности интеграции с существующей ИТ инфраструктурой, обеспечение информационной безопасности. А вот с организационными сложностями все несколько труднее. Если не брать во внимание довольно высокую стоимость решения и необходимость в обучении сотрудников, многие компании просто не готовы перестраивать архитектуру работы с данными, чтобы DCAP в принципе мог начать эффективно работать.

Перед тем, как принять решение о внедрении той или иной системы DCAP, специалисты рекомендуют проводить пилот нескольких продуктов. Тестировать решения необходимо на своей инфраструктуре и информации, с которой предстоит работать. Это поможет учесть существующие процессы в компании, снизить риск неверного выбора и оценить необходимость ввода решения в эксплуатацию.