מערכת למניעת דלף מידע (באנגלית: Data Loss Prevention Software; בקיצור: DLP) היא תוכנה המנטרת, מדווחת ומונעת פרצות נתונים בתוך הארגון ומחוצה לו.
המערכת מנטרת נתונים ובהתאם למדיניות החוקים שנקבעה מראש חוסמת העברת המידע אל גורמים בלתי מורשים. הדלפות מידע יכולות להתרחש בכוונת זדון או כתוצאה מטעויות אנוש.
תקריות של אובדן ודליפת נתונים הופכות לאירוע אבטחתי כאשר המידע שדלף מכיל נתונים רגישים כגון: פרטים על לקוחות החברה, מידע פיננסי, כרטיסי אשראי ועוד. לעיתים, הנתונים שדלפו עשויים להיות בעלי ערך רב ולהירכש על ידי מתחרים וגורמים בלתי מורשים.
מונחים נוספים הקשורים למניעת דלף מידע:
ניתן לחלק את האמצעים הטכנולוגיים המשמשים לטיפול באירועי דליפת מידע למספר קטגוריות:
חומת אש, מערכת לגילוי חדירות (IDS) ותוכנות אנטי וירוס, הם מוצרים זמינים המגנים מפני התקפות חיצוניות ופנימיות. השימוש בחומת אש, מונע גישה של אנשים מבחוץ, אל הרשת הפנימית. מערכת גילוי חדירות מזהה ניסיונות חדירה של אנשים מבחוץ. באמצעות סריקות אנטי וירוס ניתן לזהות סוסים טרויאניים השולחים מידע רגיש אל גורם מחוץ לארגון.
תפקידם של אמצעים אלה הוא לאתר נתיבים המתירים גישה אל המידע הרגיש למרות שנחסמו מראש (גישה אל מסדי נתונים). בנוסף ליכולות לימוד והכרת המשתמש על ידי ניטור הקשות, תיעוד מעבר בין תיקיות ובדיקת הרשאות וזאת כדי להבין אם למשתמש יש כוונת זדון.
מערכות המנסות למנוע שליחת מידע רגיש אל מחוץ לארגון ובודקת בעיקר משתמשים להם מותרת הגישה אל הנתונים השמורים. כדי לסווג מידע מסוים כרגיש, יש צורך בהתאמת מדויקת כגון: שימוש במילות מפתח, טביעות אצבע, שיטות סטטיסטיות ועוד.
הטכנולוגיה מותקנת בנקודות היציאה ברשת ומנתחת את התעבורה כדי לאתר נתונים רגישים שנשלחו תוך הפרה של מדיניות אבטחת המידע.
הטכנולוגיה מותקנת בתחנות עבודה או בשרתים פנימיים ומנטרת את המידע שעובר בהם. מערכת למניעת דלף מידע מגנה מפני העתקה של קבצים אל מדיה חיצונית, העברה של הנתונים באמצעות הדואר האלקטרוני ותוכנות מסרים מיידיים ועוד. למערכת יכולת בדיקה של מידע שהוצפן על ידי המשתמש. אם הקובץ המוצפן מכיל מידע רגיש, המערכת תחסום אותו ותדווח על כך. יש לשים לב שהודעת דואר אלקטרוני המכילה מידע רגיש שמעולם לא נשלחה, לא תנוטר על ידי המערכת למניעת דלף מידע. לא ניתן להתקין את מערכת למניעת דלף מידע על טלפונים סלולריים ומחשבי כף יד.
למערכות למניעת דלף מידע מספר אפשרויות לזיהוי מידע חסוי או רגיש. בתהליך זיהוי הנתונים, קובע הארגון כללי חיפוש שונים:
פעולה זו מתייחסת למידע המאוחסן בארכיון הנתונים. מערכת למניעת דלף מידע מגנה על נתונים אלה בעזרת הצפנה ושימור נתונים, הגדרת בקשת גישה ועוד.
פעולה זו מתרחשת כאשר המשתמש משתמש בקבצים, מערכות למניעת דלף מידע, מגנות על הנתונים בזמן השימוש ויכולות לנטר ולדווח על פעולות לא מורשות (צילום מסך, העתקה או שינוי של מידע, הדפסה ומשלוח בפקס ועוד).
פעולה זו מתרחשת כאשר הנתונים עוברים דרך רשת פנימית או חיצונית אל נקודת הקצה. מערכות למניעת דלף מידע מגנות ועוקבות אחר הנתונים הרגישים שמועברים ברשת.