«Большой брат» или инструмент предотвращения утечек: что такое DLP и для чего она нужна

Что умеет DLP

Функциональность DLP-систем в России и ряде других стран СНГ серьезно отличается от, например, решений из ЕС. По словам CISO MTS URENT Германа Обручникова, этот класс решений за пределами СНГ попадает под GDPR (General Data Protection Regulation, Общий регламент по защите данных граждан ЕС) и применяется, преимущественно, для контроля рабочего время сотрудников. «В основном этот инструмент используется для запрета передачи (выгрузки) данных, но не более того. У зарубежных вендоров развита система маркировки документов, отслеживание их пересылки за предел контура», – комментирует Обручников.

Ведущий юрист компании 3Side, Павел Селекзянов, выделил следующие нормативно-правовые акты, регулирующие применение DLP-систем в России:

• 152-ФЗ «О персональных данных»;
• Статьи 22, 81, 85 Трудового Кодекса РФ;
• 98-ФЗ «О коммерческой тайне»;
• 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Приказ ФСТЭК от 1802.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
• Приказ ФСТЭК России №17 от 11.04.2025 г. «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», вступающий в законную силу 01.03.2026г.

Также есть ряд стандартов, которые применяются в отдельных экономических сферах и направлениях, например, Банка России.

Типовые запросы российских заказчиков к DLP-системам:

1. Контроль каналов передачи данных: электронная почта, веб-трафик (в том числе HTTPS), мессенджеры, облачные сервисы, съемные носители, принтеры, буфер обмена, сетевые ресурсы, мобильные устройства.

2. Контентный анализ: сигнатурный поиск, фингерпринтинг документов, регулярные выражения, семантический анализ текста, распознавание текстов на изображениях (OCR).

3. Контроль действий пользователей: запись переписки, отслеживание операций с файлами (копирование, удаление, отправка), съем скриншотов, учет активности и времени, анализ поведенческих аномалий (UBA/UEBA).

4. Управление политиками безопасности и реагирование: создание правил обращения с конфиденциальной информацией, автоматическая блокировка или уведомление пользователя, генерация инцидентов, интеграция с SIEM/SOC, механизмы согласования и отчётности.

5. Аналитика и расследование инцидентов: централизованное хранение событий, полнотекстовый поиск, визуализация коммуникаций и связей, временные ленты активности, формирование отчетов.

Среди международных производиетей DLP можно выделить компании Symantec, Forcepoint и McAfee. В России развитием DLP-систем занимается более десяти вендоров, среди которых InfoWatch, Солар, ГК «Гарда», SearchInform, Стахановец и другие. Также DLP-система может быть модулем внутри более комплексного решения, как, например, в решении «Лаборатории Касперского».  По данным исследования К2 рынок DLP в 2024 году составил 4,3 млрд руб., что на 20% больше, чем в 2023 году. По мнению экспертов, темпы роста в этом году останутся в том же диапазоне.

«Спрос на средства защиты информации в целом и на DLP-системы в частности растет, и этот рост коррелирует с увеличением количества утечек данных и внешних атак, который мы наблюдаем» – комментирует директор департамента развития продуктов ГК InfoWatch Рустам Фаррахов.

Руководитель продукта «Гарда DLP» Арен Торосян также отметил подъем спроса на DLP-системы после принятия закона об оборотных штрафах за утечки данных.

ФЗ № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» был принят 30.11.2024 и предполагает ужесточение наказания за допущение компанией утечки персональных данных: штрафы в размере до 15 млн руб. при первом нарушении и до 3% от суммы выручки при повторном.

Менеджер по развитию бизнеса Solar Dozor ГК «Солар» Максим Мальцев считает, что сегмент будет расти на 10% год к году на горизонте до 2030 года, ссылаясь на аналитический отчет Б1. Согласно исследованию, домен защиты данных, в который входит DLP, составляет 10% от всего продуктового рынка ИБ, или 21 млрд рублей.

Как бизнес применяет DLP

Эксперты назвали три типовый сценария применения DLP-систем:

1. Предотвращение утечек информации. Это основной функционал, следующий из названия. На основе настроенных правел и метрик служба ИБ получает уведомления о попытках нарушений заданных политик безопасности.

2. Расследование инцидентов. Логи и срабатывания DLP могут стать основой для внутреннего расследования и пост-анализа.

3. Сбор юридически значимых артефактов как доказательной базы для суда. Как правило, дела, в которых фигурирует DLP, связаны с незаконной передачей информации, составляющей, например, коммерческую тайну.

«Примерно в 3 из 20 компаний DLP представляет собой эффективно настроенную систему, которая была бы направлена на предотвращение утечек. В остальных случаях DLP, скорее, инструмент для внутренних расследований», – считает Герман Обручников.

Часто к функционалу DLP относят, например, контроль рабочего времени сотрудника или его занятости в течении рабочего дня, но эти задачи никак не относятся к задачам информационной безопасности.

По словам Обручникова, компании часто используют DLP в так называемой «серой» зоне – без нормативной документации. Часто это влечет за собой риски для организации, особенно если дело доходит до судебных разбирательств с действующим или бывшим сотрудником. Важно, чтобы вместе с наличием DLP-системы были соблюдены все юридические нормы – начиная с уведомления сотрудника об уведомлении мониторинга, заканчивая корректностью проведения увольнения. 

В качестве примера успешных судебных дел можно рассмотреть:

• №2-11976/2014 – для компании;
• №33-90/11 – для сотрудника.

В приватном диалоге несколько представителей компаний-заказчиков рассказали о том, что DLP-система может помочь выявить весьма нетривиальные задачи. В частности, один из собеседников из добывающей отрасли отметил, что в его практике был случай, когда с помощью DLP была выявлена попытка рейдерского захвата бизнеса: внутренний нарушитель, пользуясь своими правами в системе, переносил и пытался вносить изменения в ряд документов. 

В качестве негативного примера в контексте DLP-систем можно привести кейс из книги Валерия Комарова «Опасная профессия. Будни работы в сфере информационных технологий», где описан случай, когда DLP была установлена в инфраструктуру одним из сотрудников без ведома не только коллег, но и руководства компании – это повлекло судебное разбирательство.  

«Есть случаи, когда работник пересылал сведения, относящиеся к конфиденциальным, иным лицам, не имеющим доступа к такой информации; также, когда работник использовал «мощности» работодателя в рабочее время в личных целях; когда работник в целом не исполнял свои должностные обязанности, что было выявлено в результате анализа работодателем сведений из DLP-системы», – отметил адвокат, младший партнёр Адвокатского бюро «Бельский и партнёры» Константин Шорыгин.

При таком широком диапазоне решаемых задач и функциональных возможностей, особенно на фоне роста цифровизации бизнеса, у компаний-заказчиков растет запрос и на новые возможности DLP-систем.

Развитие DLP: проблемы и точки роста

К числу типовых запросов заказчики относят, в первую очередь, покрытие новых каналов коммуникации, которые используют сотрудники.

Арен Торосян: «В первую очередь речь идёт о подключении к корпоративным мессенджерам и сервисам видеоконференций: заказчики хотят мониторить обмен сообщениями и файлам, автоматически выявлять и блокировать передачу конфиденциальных данных, анализировать чаты и записи встреч на наличие чувствительной информации».

Традиционно часто компаниям требуются механизмы интеграции с другими средствами защиты. SIEM, EDR, SOAR и любые другие – часто от разных производителей. Максим Мальцев отмечает, что типовые запросы также включают: «оптимизацию настроек системы для минимизации ложных срабатываний, интеграцию с существующими ИТ-инфраструктурами, обучение сотрудников работе с системой и повышение эффективности мониторинга. Часто запрашиваются консультации по улучшению процессов обработки инцидентов и адаптации системы под специфику бизнеса заказчика». 

Герман Обручников отдельно выделяет вопрос функциональности DLP-систем в контексте разработчиков. По его мнению, «инструментов, позволяющих гибко реагировать на утечку в git или пересылку кода через сторонние ресурсы в динамике попросту нет, это можно обнаружить только пост-анализом». Также эксперт отмечает востребованность решений, способных контролировать MDM-решения на базе iOS – ввиду закрытости архитектуры продуктов Apple реализовать подобный функционал особенно сложно, существующие решения весьма ограничены.

Перспективы DLP

Большой вклад в дальнейшее развитие систем предотвращения утечек вносят нейросети. 

«Рынок продолжит развитие в сторону повышения автоматизации, интеграции с искусственным интеллектом и машинным обучением. Будут востребованы решения, обеспечивающие предиктивный анализ рисков и адаптивную защиту данных. Важным направлением станет расширение возможностей аналитики поведения пользователей», – считает Максим Мальцев.

«ИИ и ML позволяют уходить от шаблонных правил к анализу контекста и поведенческих аномалий. Вместо простого поиска ключевых слов системы учатся понимать семантику корпоративных данных, выявлять нетипичные действия и прогнозировать риски на основе исторических паттернов», – отметил Арен Торосян.

По мнению, Германа Обручникова, «как бы хорошо специалист по кибербезопасности не использовал внутренние правила, они весьма ограничены. ИИ позволяет уйти в корреляцию инцидентов по нескольким признакам». 

Эффективность синергии ИИ-агентов и DLP также подтверждают и специалисты Сбера. «ИИ можно использовать в связке не только с DLP, но и с другими системами, например, для поиска конфиденциальных данных в файловых хранилищах, а также в качестве сервиса, помогающего работникам классифицировать данные», – говорится в статье от экспертов банка. 

В свою очередь, CISO сервиса «Грузовичкофф», Дмитрий Ляхов, отмечает актуальность DLP как системы защиты от утечек через ИИ-ассистенты, в частности – «внедрение многоуровневого контроля на основе DLP-систем, шифрования и анонимизации данных, а также использование прокси-шлюзов для фильтрации контента перед его отправкой внешним провайдерам».

Рост спроса на системы по предотвращению утечек информации подтверждается и исследованиями угроз. В частности, ISACA относит инсайдерскую деятельность (главный вектор, который закрывается DLP) к третьей по уровню опасности угрозе после шифровальщиков и фишинга с применением нейросетей на 2026 год.

Так на чьей же стороне DLP?

DLP – это софтверное решение, сценарии применения которого могут быть разными. Службы ИБ применяют их не для поиска среди сотрудников тех, кто проводит рабочее время в социальных сетях или на маркетплейсах, а по прямому назначению – для выявления аномалий, алертов и вредоносной активности. В первую очередь – для защиты от потенциального внутреннего нарушителя.

«Использование DLP в компании зачастую может влечь за собой два правовых последствия, которые не всегда просто легитимизировать: вмешательство в частную жизнь работника и обработку дополнительных персональных данных о работнике, третьих лицах без законного основания», – считает руководитель практики Tech и партнер Comply Сергей Сайганов.

«Для того, чтобы избежать издержек и нарушения законодательства, необходимо провести серьезную организационно-правовую работу по созданию и внедрению новых документов, регулирующих, как кадровые и трудовые вопросы, так и организационно-штатные процессы внутри самой компании», – добавил Павел Селекзянов.

Важно доносить это до сотрудников – как с точки зрения компании, так и с точки зрения возможных последствий, в случае выявления инсайдера и необходимости передать информацию из системы защиты для суда.