В гостях у «Хакера» — Лев Матвеев, председатель совета директоров «СёрчИнформ», компании-производителя решений для защиты бизнеса на всех уровнях. В линейке продуктов «СёрчИнформ» — DLP-система против утечек информации, SIEM-система для выявления цифровых угроз в режиме онлайн, а также программа для учета рабочего времени. Однако рынок с каждым днем расширяет спектр задач, стоящих перед этими продуктами. О будущем корпоративных систем защиты — в сегодняшнем интервью.

Расскажите о положении дел на рынке ИБ в России, что им движет сейчас?

— Мы переживаем знаковый период. Цифровизация стала чем-то осязаемым, уже нет заблуждения, что информация в цифровом мире неважна. Поэтому понимание, что безопасность — это не деньги на ветер, а необходимость, появилось и на обывательском, и на корпоративном, и на государственном уровне. И если говорить о корпоративной среде, тут подвижки наиболее заметны. Теперь не только специалисты по безопасности, но и руководители компаний все чаще задаются вопросом, как защитить информацию в компании, а это часто значит, что и бизнес в целом.

Как эта ситуация меняет рынок продуктов для ИБ?

— Мы стали более матерыми. Это естественно. Если раньше требования к DLP-системам были минимальными, то сейчас их много. И значит, новичкам выйти на этот рынок сложнее. Это как с автомобилями: пару веков назад машины были такими примитивными, что повторить их не составляло особого труда. Но повторять теперь — когда клиент хочет джип, который за пять секунд разгонится до ста километров и остановится за пару десятков метров, — стало сложно, трудоемко. Люди сегодня не покупают машин, которые заводятся с кривого стартера — рукояткой из радиатора. И DLP-систему они хотят удобную и чтоб много умела. Эти требования будут меняться постоянно.

Давайте обсудим требования к продуктам подробнее. Рынок систем защиты от внутренних угроз разделился на два лагеря. Представители первого стоят на том, что главная задача DLP — блокировать. Вы представляете второй лагерь и считаете, что для эффективной защиты блокировать мало, добавляете в свою DLP «нетипичные» для этого класса продуктов возможности. Почему?

— Мозги не заблокируешь. Если человек понял, что ему заблокировали один канал связи, он пойдет искать другой. В результате добьется своего, а служба безопасности ничего не узнает. Поэтому мы не советуем использовать блокировку, не говоря уж о том, что это нарушает рабочие процессы. Кроме того, я не видел такую службу безопасности, которая была бы экспертом во всех областях: в ИТ, в продажах, в маркетинге… Никто не может быть на сто процентов уверен, что именно нужно блокировать в каждом подразделении. Можно угадать с частью данных, но что с остальными?

Показательно, что в «КИБ СёрчИнформ» есть блокировка, но ее используют не больше 5% компаний. Остальные предпочитают работать на упреждение инцидентов.

Но разве блокировка — это не упреждение?

— Это такое упреждение «на авось». Вот ситуация: у снабженца с поставщиком устный договор на откат. Ставки известны, и в нужный день поставщик шлет в компанию КП. Это легально и по процедуре — как блокировка поможет от сговора? Никак, блокировать нечего. А компания потеряет лишние деньги.

Или вот еще: сотрудник пишет коллегам, мол, директор — дурак и вообще у нас в компании все по блату. Блокировать ему возможность переписки с коллегами? Нет. И какой смысл — в курилке все равно пообщаются. Иногда такие истории заканчиваются саботажем, а ведь можно заранее разрешить ситуацию: дать другую работу человеку, изолировать или уволить и тем самым избежать будущего инцидента. Это другой уровень взаимодействия и информационной безопасности.

Я не говорю, что блокировка — это однозначно вредный инструмент. Он должен использоваться, но очень точечно — как «замок» на самой критичной информации. В то же время блокировать движение остальных данных нельзя, служба безопасности должна понимать, что происходит с ними, и контролировать эти процессы. Такой подход решает гораздо больше задач безопасности: он защищает компанию от финансовых потерь из-за самых разных инцидентов, не только утечек. Эту формулировку придумали не мы, а один из наших клиентов. Ее же взяли за основу для продвижения продуктов за рубежом.

А чем отличается позиционирование в России и за рубежом?

— За рубежом привыкли, что DLP — это системы очень ограниченной функциональности, чья задача — предотвратить утечку. Но ведь есть и другие «паразиты», которые истощают бизнес: воровство, боковые схемы продаж, откаты, саботаж, шпионаж на конкурентов, внезапные увольнения и другие проблемы. Какие инструменты должны защищать от них? Наши продукты могут, и потому за рубежом мы называем весь комплекс Money Loss Prevention. Инструменты те же, отличается только маркетинг.

Выдержка из маркетингового описания продуктов «СёрчИнформ» для зарубежных рынков
Выдержка из маркетингового описания продуктов «СёрчИнформ» для зарубежных рынков

Поделитесь кейсами борьбы с чем-то, кроме утечек?

— Далеко за примерами ходить не надо. У одного из клиентов был случай: сотрудник службы безопасности заметил, что менеджер по закупкам часто запускает процесс Photoshop. Возник резонный вопрос: зачем сотруднику графический редактор, если он не дизайнер, не маркетолог? Посмотрели скриншоты, видео с рабочего монитора — и обнаружили, что менеджер занимался подделкой коммерческих предложений от поставщиков. Чтобы «нарисовать» печать, особых навыков не требуется, это легко делается в графическом редакторе. Таким образом менеджер лоббировал «своих» поставщиков, хотя цены у других были ниже. Компания теряла деньги.

У нас есть целая подборка кейсов от клиентов — недобросовестные сотрудники организуют фирмы-боковики, берут взятки, занимаются промышленным шпионажем, просто ничего не делают весь день, при этом получают зарплату. Один из недавних нестандартных примеров: специалисты заказчика обнаружили в облаке документ с подозрительным содержанием. В документе в одной колонке были вписаны граммы, во второй — адрес, в третьей, как позже выяснилось, указание на «закладку» (например, «слева от двери под первым окном»). Скриншоты документа показали руководству и связались с отделом по борьбе с наркотиками.

Любой из подобных кейсов — не утечка информации как таковая. Однако подобные случаи однозначно подпадают под задачи специалистов по безопасности, и им нужен инструмент, который позволит такие инциденты обнаружить и расследовать.

И мы с вами вернулись к злободневной для нашего ИБ-рынка теме: должна ли DLP делать больше, чем предотвращать утечки.

— Я считаю, российскому рынку тоже нужно больше, чем DLP. Просто нового названия для этого класса решений пока не нашлось, а исторически все задачи решаются силами систем против утечек. Наши клиенты приходят к нам за доработками, предлагают расширять функциональность продуктов, потому что угроз много, они разноплановые, для всех нужны инструменты. Но для оперативной работы эти инструменты должны быть интегрированы между собой. Если у клиента десять аналитиков, которые постоянно проводят расследования, такая хорошая интеграция продуктов в одном решении сэкономит каждому аналитику по двадцать минут в день, это в конечном итоге огромные деньги для компании.

Поэтому мы активно расширяем линейку продуктов (за последние три года — это два новых инструмента: SIEM и ProfileCenter), а также дополняем флагман «нетипичными» для DLP возможностями. Из последних обновлений — файловый аудитор в составе «КИБ СёрчИнформ».

Разве КИБ не отслеживал работу с файлами раньше и почему это нетипичная функция DLP?

— Контроль контролю рознь. Естественно, любая DLP позволяет контролировать оборот файлов с каким-либо критичным содержанием, но аудит активности всех операций файловой системы — возможность нетиповая. При этом очень нужная при расследованиях, реконструкции нарушений. Вы правы, в нашей системе эта возможность присутствует давно. Файловый аудитор же является функциональным продолжением, который объединяет контекст и контент, дает новые инструменты аналитики. Фактически для решения этой задачи заказчики сейчас должны использовать отдельный вид систем, называемых DCAP — Data Centric Audit and Protection. Мы же предлагаем его в составе нашей DLP.

Как планируете дальше развивать продукт?

— Прежде всего, работаем над улучшением производительности. По предварительным тестам она уже увеличилась на 30–40%. Дальше — оптимизация требований к железу, это критично для больших клиентов. Планы конкретизированы, их много, но я не вижу смысла раскрывать их подробно. Мы — компания практиков и стараемся не анонсировать, а рассказывать и сразу показывать.

Кроме того, мы видим, что конкуренты на нас равняются и выпускают аналогичные продукты, правда, с опозданием в три-четыре года, но мы бы не хотели давать им дополнительной форы. Пусть лучше смотрят на наши решения, когда они выйдут в релиз, как получилось с ProfileCenter.

А как получилось с ProfileCenter?

— Пока все говорили про UEBA и UBA, мы решили, что статистического анализа мало, и пошли другим путем: сосредоточились на психологии инсайдера. Спустя год выпустили продукт, и сегодня ProfileCenter уже говорит сам за себя. У нас есть десять продаж, порядка 200 компаний тестируют возможности, делятся кейсами. И это конкретные задачи информационной и собственной безопасности: разрешить конфликт с минимальными потерями для компании; проверить тех, кого хотят повысить; найти тех, кто будет возмущен повышением коллеги и настроит коллектив против; собрать команду, которая не разругается в длительной командировке и не сорвет проект. Мы активно развиваем продукт, видим спрос и теперь уже уверены, что не прогадали с выбором направления.

Интерфейс риск-рейтингов ProfileCenter
Интерфейс риск-рейтингов ProfileCenter

В завершение вопрос о недавней новости: вы готовы инвестировать в IT-проекты и создаете корпоративный венчурный фонд. Почему приняли такое решение?

— Создать венчурный фонд решили летом этого года. Мы стабилизировали собственный продукт, систему продаж и схему сопровождения клиентов. Имеем свободные ресурсы, считаем, что знаем, как нужно работать в корпоративном секторе, и умеем это. Так почему бы не монетизировать эти ресурсы и знания? До сих пор мы много инвестировали ресурсы и знания в собственный бизнес, вкладываясь в первую очередь в людей. Это всегда дает отдачу.

За период с мая 2017 года по текущий момент открыли два офиса: в Аргентине и Бразилии. Все это благодаря тому, что удалось найти надежных людей, которые будут достойно представлять наши интересы в регионе. Сейчас наша стратегия предполагает экспансию в Индию и Юго-Восточную Азию с центром региона в Сингапуре, но пока не нашли достойных представителей. Кстати, если кто-то подскажет, будет классно. А пока мы ищем людей для своих проектов, готовы поддержать и интересные сторонние ИТ-проекты.

Досье

Компания «СёрчИнформ» — разработчик средств информационной безопасности, который входит в тройку лидеров на российском рынке DLP-систем.

Представительства компании есть во всех ФО России и странах СНГ, а также в Европе, Латинской Америке и на Ближнем Востоке.

Продукты «СёрчИнформ» лицензированы ФСБ, сертифицированы ФСТЭК, входят в реестр отечественного ПО и помогают выполнять требования регуляторов. Продукты подходят компаниям из разных отраслей, от банковского дела до машиностроения.

Среди клиентов «СёрчИнформ» есть такие именитые фирмы, как «РуссНефть», «Газпром нефть», Московская биржа, НПФ Сбербанка, «Лукойл-информ» и ФГУП «Гознак» — всего более 2000 клиентов в 17 странах мира.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии