Компания SearchInform создает софт для противодействия утечкам данных. Они умеют брать под контроль каналы коммуникации в компании, анализировать переписку работников, составлять сложный психологический портрет сотрудника и выявлять злоумышленников. О том, как это работает, рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев.
 

Кто такие «СёрчИнформ»? Какие продукты вы создаете?

Мы разрабатываем решения по защите от утечек данных и противодействию инсайдерам. Главный продукт — DLP-система «Контур информационной безопасности» (КИБ). Она перехватывает всю информацию, которая движется в электронном виде внутри сети, отслеживает сотрудников, которые сливают конфиденциальные данные, шпионят на конкурентов, крадут базы клиентов или ноу-хау и просто бездельничают, получая зарплату.

Исторически от DLP-системы отделился модуль по контролю рабочего времени и стал самостоятельным продуктом. «ТаймИнформер» дает информацию по тому, в каких программах работали сотрудники в течение дня, какие сайты посещали, показывает время простоя, опоздания и прогулы.

У нас масса типовых кейсов от клиентов, когда «ТаймИнформер» помог раскрыть мошенничество. Например, сейлз-менеджер пару часов в день проводил за работой в фотошопе. Выяснилось, что он подделывает печати в коммерческих предложениях.

Третье решение — наша SIEM-система. Она выявляет аномальное поведение и определяет способ получения доступа к информации, а КИБ оценивает содержимое всех коммуникаций. Связка систем дает возможность максимально полно расследовать преступление и собрать доказательную базу.

Для примера приведу один из кейсов: менеджер заходит под своей учетной записью на ПК коллеги-соперника. Получает частичный доступ к информации «конкурента» и с личной почты отправляет сам себе письмо с данными. SIEM сопоставила два события: по правилу «Активность одной учетной записи на нескольких ПК» и правилу «Инциденты AlertCenter» (в DLP сработала политика безопасности по письмам, в которых отправитель совпадает с получателем).

 

Для кого ваши продукты и кто их использует?

Продукты рассчитаны на компании из всех секторов экономики, с числом рабочих станций от 50 ПК. Мы работаем как с небольшими предприятиями, так и с международными корпорациями. Среди клиентов крупные госкомпании, производство, телеком, компании из финансовой сферы, военные предприятия и др. Максимальное внедрение — 53 000 ПК в одной компании.

Как ни странно, государственная сфера, которая владеет максимально критичными данными о населении, почему-то не так уж и рвется их реально защищать. В руках госструктур находятся огромные массивы данных (это набившая всем оскомину так называемая Big Data), с помощью которых можно манипулировать населением всей страны и отдельными жителями (убедились на примере США). И эти данные централизованно не защищаются.

Или другой пример: все мы останавливаемся в гостиницах — во время отдыха, путешествий, командировок и переездов. И в большинстве гостиниц наш паспорт сканируют. Вы уверены, что скан вашего паспорта хранится под защитой, а не продается на сайте-скупщике?

На все эти сферы, которые так или иначе касаются критичных данных, мы и работаем.

 

Чем ваша DLP лучше других?

Мы работаем на рынке IT с 1995 года, в инфобез пришли в 2006-м как специалисты по полнотекстовому поиску среди неструктурированной информации. И привнесли в сферу новый подход: мало просто все перехватывать и складывать в большую «мусорную кучу», важно проиндексировать данные, чтобы быстро отделять зерна от плевел.

Мы анализировали, что нужно безопасникам, и включали в систему необходимую функциональность. Так появилось множество аналитических инструментов: «поиск похожих», граф связей, возможности ретроспективного анализа, распознавание речи и многое другое. Мы хотели повысить результативность работы отдела ИБ, чтобы сотрудник тратил меньше времени на анализ, получал результат быстро и с меньшим количеством ложных срабатываний.

В 2007 году мы перехватили Skype, а основные конкуренты сделали это только пять лет спустя. В 2010 году мы сделали «граф отношений», который визуализирует связи сотрудников. Конкуренты сделали это только спустя шесть лет. Контроль за действиями привилегированных пользователей — ADController — мы добавили в 2014 году, у многих конкурентов этой функциональности нет до сих пор.

Лев Матвеев, председатель совета директоров «СёрчИнформ»
Лев Матвеев, председатель совета директоров «СёрчИнформ»
 

У вас есть модуль ProfileCenter, он умеет составлять и анализировать цифровой профиль сотрудника. Как это работает?

Профайлинг (автоматическое составление психологического портрета сотрудника) — это способ дать ИБ-специалисту определенный сигнал: предупредить о рисках, дать информацию, что сотрудник не на своем месте, или о том, что его поведение резко изменилось и нужно разбираться.

У профайлинга есть все шансы стать прорывной технологией в ИБ, потому что он делает то, чего не может делать просто текстовый поиск. Если человек открыто не ведет разговоры о том, как «нагреть» работодателя, не договаривается об откатах, сливе базы клиентов, то, кроме как с помощью профайлинга, его склонности к аферам и криминальные тенденции не выявить. Сегодня нужно не фиксировать и расследовать инциденты, а работать на упреждение.

Наш ProfileCenter — это модуль для КИБ. Он анализирует все коммуникации сотрудников и формирует их психологические портреты, после чего ИБ-служба может использовать их, чтобы прогнозировать поведение работников в нормальных, критичных и стрессовых ситуациях; рассчитывать кадровые риски и проводить профилактику; выявлять нелояльных сотрудников и предупреждать инциденты ИБ.

Прежде чем выпускать модуль в коммерческий релиз, мы протестировали его в боевых условиях на собственной компании и на нескольких крупных клиентах, которые хотели попробовать ProfileCenter первыми. Только получив положительные результаты испытаний и отзывы клиентов, мы выпустили модуль на рынок. Думаю, до конца года будем оттачивать технологию в России, а затем собираемся поддержать английский и испанский языки.

 

Как ProfileCenter по переписке сотрудника составляет его портрет?

Речь и текст отражают мышление человека. На небольшом количестве текста это не всегда заметно, но на больших объемах работает точно. Именно поэтому для анализа нашему модулю требуется минимум 30 тысяч слов. В этом объеме текста мы ищем структурно-морфологические корреляции. Если говорить проще: у человека дела (который привык действовать, а не рассуждать) на больших текстах будет видно много глаголов и простых предложений. Человек, который привык рассуждать, будет использовать много существительных и причастий. Предложения в его случае будут сложными, с деепричастными оборотами, сравнительными прилагательными и подобным.

Или еще пример: конфликтный человек будет часто писать в повелительном наклонении — сделай, пришли, позвони. А человек спокойный, вежливый, напротив, будет использовать много изъявительного наклонения: не могли бы вы, хорошо было бы, если…

Эгоист много говорит от первого лица. Альтруисты (командные, идейные люди) чаще используют третье и второе лицо.

Отдельно вырванные подобные примеры могут быть ошибочными, но, когда они собираются в систему, достоверно говорят о свойствах характера человека, о личностных качествах.

Теперь к автоматизации. DLP-система собирает переписку сотрудника в почте, рабочих чатах, мессенджерах и других каналах и передает ее в модуль профайлинга. ProfileCenter получает информацию и автоматически запускает серию операций и проверок: данные стандартизируются, сопоставляются, проходят семантический, структурный, лингвистический и другие виды анализа. Модуль отмечает стиль коммуникации, ценностную позицию автора и его отношение к предмету разговора.

В итоге решение оценивает структуру мышления пользователя и определяет криминальные тенденции и склонности, основные черты характера, сильные и слабые стороны, актуальную мотивацию и уровень притязаний. Выясняется ряд черт характера, которые интересны службе ИБ: агрессивность, лояльность, стремление соблюдать или нарушать регламенты, эмоциональная устойчивость, склонность к зависимостям, последовательность или спонтанность и другие.

ProfileCenter SearchInform
ProfileCenter SearchInform

Информация структурируется в «Психологический профиль личности» и появляется в карточке доменного пользователя. Отмечу, что в «КИБ СёрчИнформ ProfileCenter» нет волшебной кнопки «найти инсайдера». Задача модуля — составить прогноз поведения человека и указать на потенциальный риск, чтобы ИБ-служба его учла. Увидеть, как это работает, можно, запросив бесплатную пробную версию.

 

Какие возникают трудности при управлении командой ITSec-инженеров, как избежать типовых проблем?

Мы из-за быстрого роста столкнулись с серьезным дефицитом кадров. Потому начали брать сотрудников на удаленку. Трудности появились типовые: нет возможности вживую увидеть друг друга и, если необходимо, быстро собрать живое совещание; есть сложности с совместным обучением и необходимость внутренней мотивации удаленных сотрудников. Решали проблемы более жестким подбором кадров, более строгим контролем с нашей стороны (все же DLP-систему делаем, ее и применяем), ну и понятно, подготовили технические инструменты для удаленной работы.

С открытием офисов по всей стране — от Хабаровска до Москвы, а потом и в СНГ, Европе, Латинской Америке и ЮАР, стало легче с кадрами, но пришлось разбираться с часовой разницей.

Еще опытным путем поняли, что не нужно растить в команде универсальных солдат. Разделили обязанности по поддержке клиента между сейлами, отделом внедрения и техподдержкой. Отдел внедрения — это вообще наша находка. Если инженеры техподдержки заинтересованы в том, чтобы у клиента просто «все работало», то внедрение заинтересовано, чтобы работало эффективнее, чем вчера. Они настраивают вместе с клиентами политики безопасности, обучают работе с софтом и делятся опытом других компаний из сферы клиента. Думаю, высокой лояльности от наших клиентов мы добиваемся именно потому, что не бросаем их наедине с системой, когда все настроили и заработало, а продолжаем работать сообща весь период действия договора.

Еще важен вопрос мотивации. Мы построили систему так, что у нас в продаже заинтересованы очень многие подразделения, а не только сейлы. Свой «кусочек» от сделки получает и специалист внедрения, и специалист техподдержки. С одной стороны, разработка и тестировка отделены от сейлов, но с другой — все работают единой командой, потому что от результатов зависят бонусы каждого. Объемы продаж влияют и на премии программистов и тестировщиков — все знают, что работают в связке.

 

Как и с какой целью «СёрчИнформ» обучает специалистов?

Цель — как с автомобилем: если его не уметь водить, он принесет на порядок меньше пользы, а может, даже и вред. Мы заинтересованы, чтобы ИБ-специалисты использовали наш софт по максимуму.

Мы организовали учебный центр в 2010 году по запросам клиентов. Сначала проводили программы только для действующих ИБ-специалистов, а со временем запустили работу с вузами. Для нас это не точка прибыли, а попытка принести пользу ИБ-отрасли в целом.

У «СёрчИнформ» почти две тысячи клиентов, есть опыт в любой отрасли, огромное количество кейсов, ну и есть средства, чтобы разрабатывать учебные программы, приглашать сторонних спикеров, прорабатывать новые темы.

Для действующих специалистов ИБ есть несколько курсов. По сути, мы, тесно работая с заказчиками, аккумулируем их опыт, политики безопасности, кейсы, которые они решают внутри компании, и делимся этим опытом. Инфобез — это довольно закрытая сфера, где работают только личные связи, где нельзя постучаться в соседнюю компанию и спросить, как у них там все устроено. Мы же, обезличивая кейсы, можем передать нашим коллегам и клиентам эти знания.

Со студентами работа нацелена на боевую подготовку профессиональных кадров. В вузах учат теорию, при этом люди выходят без понимания, что делает специалист по безопасности, с какими инструментами ему придется работать. Сейчас у нас 65 вузов-партнеров. Мы разработали программу, обучили преподавателей, подготовили платформу для дистанционного обучения студентов, по окончании курса предлагаем им сдать экзамен и получить сертификат.

 

Какие есть проблемы ИБ-отрасли в РФ и сценарии их решения?

Проблем у России в ИБ, как показывает опыт, полученный в Латинской Америке и ЮАР, меньше, чем у других. Но они есть. Я вижу проблему на государственном уровне: никто не пытается поднимать коммерчески невыгодные проекты, тот же Минздрав например. Это большая проблема, что медицинская тайна у нас есть только в законах. А по факту любую информацию ты можешь получить не то чтобы даже специально, а просто гуляя по соцсетям или проходя мимо мусорки какой-нибудь поликлиники.

Здесь же можно привести в пример постоянные утечки из налоговой, на которые жалуется половина «Фейсбука». Открыл человек ИП, через несколько часов ему уже звонят из коммерческого банка с предложением услуг. То есть у них там все это на поток поставлено, а мы о правах граждан говорим. Это проблема, которая должна решаться на государственном уровне. И не на бумаге, как у нас любят делать, а в реальности.

Проблемой для ИБ стало и быстрое развитие технологий, пять лет назад было проще защищаться, так как не было ни облаков, ни социальных сетей, ни IoT-устройств. Сотрудники не использовали на работе собственные девайсы и не могли легко выгрузить на съемный диск большой объем данных. Сегодня новые технологии распространены повсеместно и решениям по информационной безопасности приходится успевать закрывать «дыры», образующиеся в ИБ-периметре компании.

Еще проблема — доступность информации и продвинутые пользователи. Любой сотрудник может найти в интернете схемы мошенничества или исполнителя для них. Это работает и с другой стороны: преступники вербуют специалистов внутри компании и обучают их.

В итоге ИБ-специалистам нужно работать с сотрудниками, чтобы они не попадались на методы социальной инженерии, каким-то образом опережать намеренные действия сотрудников, больше работать на уровне психологии с людьми. Опять же, возвращаясь к профайлингу, почему мы этим начали заниматься. Потому что сейчас это насущная проблема.

 

А если говорить о проблемах со стороны технологий?

С внутренними технологиями проблема на поверхности: сегодня существует большой «зоопарк» различных фреймворков, стеков технологий, хранилищ баз данных, служб обмена сообщениями, выбрать между которыми по множеству критериев, удовлетворяющих наших заказчиков, очень сложно. Например, кому-то нужна только Windows, кому-то — только Linux, кому-то и то и другое. Кто-то хочет работать только со свободно распространяемыми системами, кому-то необходимо наличие сертификатов ФСТЭК, ФСБ. Все это, несомненно, накладывает свои ограничения и трудности. Стараемся находить компромиссы.

Некоторые технологии, на первый взгляд перспективные, спустя несколько лет морально устаревают или в них обнаруживаются серьезные архитектурные проколы. Получается, что ты три года работал, а сегодня нужно часть кода переписывать, потому что это перестало удовлетворять первоначальным требованиям. И хорошо, если это просто некоторые участки кода, а если приходится с нуля переписывать ядро?

С внешними технологиями все еще интереснее. К нам регулярно обращаются заказчики с предложениями перехвата специфичных мессенджеров, протоколов. Часто необходима интеграция с тем или иным (используемым в рамках одной-двух компаний) ПО или оборудованием. Или, например, просят построить схемы для анализа информационных потоков, которые 99% других заказчиков в принципе не будут использовать.

Но мы понимаем, что заказчики не просто так просят этой специфики. Они тоже в какой-то мере «заложники технологий». Часто компания использует определенный стек технологий, в который по историческим причинам попало что-то сильно специфичное. При этом защита и контроль в любом случае необходимы. Мы стараемся входить в положение клиентов и помогать по мере возможностей.

 

Какие есть тонкости продвижения российских ИБ-продуктов за рубежом: Ближний Восток, Латинская Америка, ЮАР?

Главная тонкость — найти рынок, где не будет мешать русское происхождение продукта. Это особенно актуально в сфере ИБ.

Второй момент, который мы учитывали, — это связи, которые помогли бы зайти в профсообщество, чтобы мы не стучались в закрытые двери. И здесь нам очень помог Российский экспортный центр и его представитель в Аргентине Алексей Чигирев. Мы не избалованы поддержкой государства и качественной работой госструктур, так что в случае с РЭЦ я был более чем удивлен. Мы получили консультации по множеству прикладных вопросов в стране пребывания, нам организовали встречи с потенциальными партнерами и заказчиками, помогли с участием в местных мероприятиях.

Тонкости продвижения на чужих рынках в основном в менталитете, законодательстве и в отношении к контролю на работе. Вот, например, мы сейчас проехали с Road Show SearchInform по семи странам Латинской Америки — это серия конференций для ИБ-специалистов, в России она проходит осенью в 20–23 городах. Пообщались с потенциальными заказчиками, познакомились с ведущими юридическими фирмами региона. Специфика нашей сферы в том, что мы находимся в точке столкновения интересов трех сторон: работодателя, работника и государства. Поэтому мы помогаем клиентам находить компромисс, оформлять использование систем корректно с юридической точки зрения. В Латинской Америке сильны профсоюзы — это тонкость, которую следует учитывать в продвижении. Но с другой стороны — сильное желание компаний защищаться.

Вообще, это глобальная проблема — столкновение интересов работника, компании и государства в разрезе контроля данных и контроля работы сотрудника. С одной стороны этих баррикад работник и его «личное пространство», с другой — компания, которая стремится защитить данные и предотвратить инциденты. С третьей стороны — государство, которое требует от организации защиты персональных данных клиентов, коммерческой тайны и одновременно соблюдения прав работников на тайну переписки, например. Все это вызывает путаницу и приводит к незащищенности компаний, сотрудников, клиентов. Поэтому, мне кажется, главная проблема — прийти к единому мнению, как эффективно защищать все стороны в этом треугольнике.

 

Каких сотрудников вы сейчас ищете?

Мы ищем разработчиков с большим опытом, увлеченных и нацеленных на достижение конкретного результата. Без соответствующего опыта, мы уверены, невозможно сделать так, чтобы наши программы работали корректно и качественно у тысяч заказчиков на миллионах компьютеров. А без увлеченности работой нельзя достигнуть выдающегося результата.

В прошлом году мы открыли офисы в Аргентине, Бразилии и ЮАР. В 2018-м нацелены на Индию и Юго-Восточную Азию. Так что ищем талантливых управленцев, которые готовы «поднять рынок с нуля», имеют соответствующий опыт и стремления.

Подробное описание вакансий можно посмотреть на нашем сайте или прислать резюме на job@searchinform.ru.

3 комментария

  1. towstt

    26.04.2018 at 18:32

    Интересно, кто захочет у них работать. Свою систему они, наверное, в первую очередь тестируют на собственных сотрудниках

  2. mark.mitrushkin

    08.05.2018 at 18:48

    Интересно, на каких лингвистических исследованиях основаны выводы относительно разных профилей.
    Как устанавливаются границы шкал в психологическом профиле?
    Возможно ли в этой системе следить за этими показателями в динамике? Чтобы например понять, изменилось ли что-то после определенного события? Ну или просто посмотреть насколько показатели гуляют изо дня в день.
    Полученную информацию сложно будет использовать как доказательство.

    • a.filatov

      11.05.2018 at 15:51

      Mark, в основе работы модуля – довольно большое количество лингвистических исследований. Из российских авторов – работы Л.Выготского, В.Петренко, В.Белянина, А.Леонтьева, А.Шахнаровича, И.Горелова, А.Василевича, С.Цейтлин, М.Новиковой-Грунд и др. Из иностранных авторов – Н.Хомский, М.Косински, А.Шварц и М.Сэлигман.
      Психолингвистические сравнения происходят по разным алгоритмам: относительно друг друга (например, кто наиболее/наименее агрессивный в коллективе) и в динамике по конкретному человеку (например, агрессивность «тогда» и «сейчас»).
      Отслеживать показатели в динамике можно, да. Пока интерфейс фиксирует изменения на каждых 5.000 единиц текста пользователя.
      Что касается доказательств – не совсем понятно, о чем вы спрашиваете. Если имеете ввиду психолингвистическую экспертизу, то она проводится согласно специальному регламенту специальными людьми. И сам по себе текст пользователя, который он написал, – может являться таким доказательством.

Оставить мнение

Check Also

Творческая Iskra. Делаем аппаратный менеджер паролей своими руками

Давай рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ храни…