Лев Матвеев: «Видим новость про утечку данных по вине хакера, а на самом деле там жирный след инсайдера»

Ранее мы уже беседовали со Львом Матвеевым, председателем совета директоров «СёрчИнформ». Его компания создает ПО для защиты от внутренних угроз — корпоративного мошенничества, утечек данных и рисков, связанных с действиями сотрудников. Сейчас «СёрчИнформ» вывела на рынок сразу два новых продукта и, кажется, пытается заменить ими целые классы отдельных решений. О том, зачем DLP-вендору ломиться сразу во все двери — DCAP, DAM, SIEM, аутсорсинг информационной безопасности, — поговорили в интервью ниже.

— Начнем издалека. Вы в свое время решили сосредоточиться на разработке решений для защиты от внутренних угроз, хотя защита от кибератак была «на пике». Рынок сформирован, спрос стабильный. Почему не пошли в эту область, а занялись «непопулярными» DLP?

— Хотелось применить то, что мы уже хорошо умели, на новом для себя рынке. К моменту, когда мы начали разработку DLP-системы, за плечами уже был долгий путь создания решений на основе технологий поиска по неструктурированной информации, анализа данных. Этот опыт как нельзя лучше подошел для защиты от внутренних угроз.

— Насколько в тот момент был оформлен спрос на защиту данных и как быстро он менялся?

— Спрос был, но маленький. И понятно почему. Сами решения на тот момент были громоздкими, но имели скромные возможности. Чтобы настроить систему, нужно было привлекать лингвистов, все это занимало до полугода, а за триал один из первых игроков на рынке просил — оцените цифру — 5 тысяч долларов. Сейчас это невозможно себе представить. В общем, DLP тогда — это долго, дорого, с непонятным эффектом. Такой «космический корабль», который попробовать решались только единицы.

Мы пришли на рынок с другим подходом, и это позволило расширить его во много раз за короткое время. Изначально сделали ставку на развитие аналитики в DLP-системе. Также создали отдел внедрения, который был на связи с клиентом постоянно и аккумулировал все запросы на доработки. Сосредоточились на контроле корпоративных мессенджеров, первыми среди вендоров научились полноценно контролировать Skype, вводили в DLP функционал, нетипичный для этого класса систем, чем очень раздражали конкурентов. «Зачем клиентам контроль AD в DLP-системе, это же должна делать SIEM?!» — пока они говорили, мы делали то, что необходимо заказчику, потому нас и выбирали.

— Какие угрозы были актуальны на заре становления рынка DLP в России? А какие — сегодня?

— Базовые угрозы остались те же, но поменялась степень их выраженности. 15 лет назад, когда мы начинали, интернет не был так развит и работал на существенно меньших скоростях. Соответственно, никто не мог переслать гигабайты данных, слить базу на 4 млн адресов или скачать в облако чертеж секретной разработки.

Как только интернет стал массовым, он породил множество новых каналов перемещения данных. В результате вся критическая информация ушла в электронный вид. Сегодня соцсети — это мало того, что самый доступный канал передачи информации, так еще и, по сути, СМИ, которое может влиять на репутацию компании.

Но новые технологии позволяют и быстрее распознать мошенничество, успешнее его расследовать. Раньше могли договариваться об откате по домашнему телефону или при встрече. Сейчас в мессенджерах и почте, а это общение уже оставляет цифровые следы.

В результате DLP-системы, которые изначально работали только как инструмент защиты от утечек информации, сейчас используются гораздо шире. Например, сейчас одна из задач — формирование групп риска. DLP собирает массу информации, и не анализировать ее глупо. Совсем недавно заказчик поделился историей: увидел среди алертов, как сотрудники обсуждают в рабочем мини-чате совместно проведенные выходные. Сработало оповещение по тематике «наркотики». Действительно, двое менеджеров обсуждали, как принимали запрещенные вещества и кто что при этом чувствовал. Что делать в таких случаях, каждый работодатель решает сам. Однако иметь в штате сотрудника-наркомана, игромана или нарушителя закона — риск, о котором нужно знать.

— Вендоры идут по одному из двух путей: все разрабатывают сами или интегрируют чужие решения в собственное. Вы выбрали первый путь?

— Не совсем так. Мы разрабатываем сами то, в чем имеем компетенции. Наше — это контроль информации, обработка, анализ, поиск. А, например, распознавание текста на изображении — это не наше. Есть давно работающие инструменты, и мы не будем тратить годы разработки, чтобы повторить чужой опыт. Потому мы встроили в наши продукты OCR от ABBYY, а также бесплатный аналог. Клиентам есть из чего выбрать.

— На чем основываются решения по дальнейшему развитию продукта?

— По большому счету все, что выходило за последние годы, — это ответ на потребности заказчиков. Мы не считаем себя умнее тех, кто каждый день работает с системой, кто видит, как она будет лучше решать задачи защиты бизнеса.

«СёрчИнформ SIEM» появилась после множественных запросов. Клиентов не устраивало, что в классическом понимании SIEM — это «игрушка» для айтишников, что сотрудники ИБ не могут настроить систему под себя без привлечения IT-специалистов — собственных или вендора. Под эти потребности сначала мы дорабатывали функционал «СёрчИнформ КИБ», а после приняли решение выпустить отдельный продукт. В результате появилась система, которая легко разворачивается, настраивается — да еще и бесшовно интегрирована с DLP. Заказчиков это привлекает.

«СёрчИнформ ProfileCenter» — ответ на желание клиентов предотвращать, а не отрабатывать уже случившийся инцидент. Мы первыми создали рабочий модуль, который позволяет просчитывать риски там, где еще нет видимых признаков нарушений.

Рейтинг пользователей

На «СёрчИнформ FileAuditor» было много предзаказов: рынок нуждался в отечественном решении с широким функционалом по приемлемой цене. До сих пор были представлены только иностранные аналоги, которые этим требованиям не соответствовали. Один из заказчиков пришел с конкретным кейсом. Он увидел дорогостоящее исследование рынка, которое стоило его компании около 100 тысяч долларов, в интернете. Как выяснили, права доступа к файлу были у нескольких десятков человек, но кто-то переложил документ в общую папку, и исследование оказалось в доступе у 300 сотрудников. Так от запросов конкретных клиентов появился новый продукт для всего рынка.

Все последующее развитие тоже будет происходить от задач клиентов. До нового года мы выпустим в релиз еще один новый продукт — «СёрчИнформ Database Monitor», который решит проблему контроля действий с базами данных.

Тут отмечу, что мы не просто делаем защитные решения: наша цель — построить полноценный контур информационной безопасности компании. Это комплексный подход к ИБ, о котором много говорят, но мало кто делает. Мы избавляем заказчика от «зоопарка» решений в части внутренней безопасности и даем ему несколько классов решений в едином интерфейсе.

— Как оцениваете защищенность отечественных компаний сегодня?

— Картина очень разношерстная. Даже в банках, где, как принято считать, все хорошо, ситуация бывает плачевной. Но если пытаться нарисовать какую-то общую картину, тяжелая ситуация в компаниях со штатом до 250 человек. Бизнесы уже не маленькие, угроз хватает, но оснащенность ИБ-решениями еще недостаточная. При этом с развитием цифровизации число утечек и инцидентов будет увеличиваться просто из-за того, что самой цифровой информации становится больше.

Госорганы наши — вообще отдельная тема для разговора. Утекает отовсюду, при этом зачастую никто даже не планирует разбираться. После утечек в МФЦ в Москве руководящие работники переложили ответственность на самих граждан — мол, это они должны были понимать все и удалять с компьютеров персональные данные. Вообще, проблема с госорганами системная: они обладают самой критичной информацией о гражданах, а защищать ее не спешат. Пока директивно не введешь конкретные меры и инструменты защиты, никто не зашевелится. Это нужно сделать, ИБ-эксперты много лет об этом твердят, но воз и ныне там.

Справедливости ради нужно отметить, что даже в бизнес-компаниях, которые вооружены до зубов ИБ-решениями, есть проблемы. Они часто используют не все функции защитных программ, у них много рутины, есть проблема кадрового голода — в компаниях просто нет достаточного количества ИБ-специалистов.

В том числе чтобы помогать решать эту задачу, в этом году мы открыли направление ИБ-аутсорсинга. Мы забираем на себя самое трудоемкое: технический аудит, настройку оборудования, анализ данных, расследования. Аутсорсинг подойдет и тем компаниям, где вообще нет ИБ-специалиста, и тем, где отдел нужно усилить.

— И как, доверяют аутсорсингу?

— Когда выводили продукт на рынок, опасались, что встретим сопротивление. Это нормальная настороженность: как это взять и отдать на сторону контроль над критической информацией? Но мы сами верили в эту услугу, и рынок встретил аутсорсинг приветливо. Первые результаты хороши, клиенты видят, что мы экономим им время и деньги, закрываем большой пласт работы.

У первого же клиента на пилоте обнаружили десятки фактов злоупотребления служебным положением и воровства, в том числе среди топ-менеджмента. Одна только оптимизация штата принесла ощутимый эффект в реальных деньгах. А там кроме простых бездельников был топ-менеджер с собственной фирмой-боковиком, куда он уводил клиентов; был еще начальник отдела закупок, погрязший в откатах, и масса рядовых сотрудников, которые в рабочее время выполняли задачи для других компаний, в том числе для конкурентных организаций. И ведь руководитель этой компании-заказчика искренне недоумевал, почему бизнес в последнее время затормозился, «болеет и чихает».

— Каковы ваши прогнозы по угрозам и путям развития ИБ-рынка?

— Пока растет цифровизация и данные продолжают переходить в цифру, будет нарастать и число угроз. А этот процесс продолжается и в бизнесе, и в госсекторе. В последнем вообще заявлены мегапроекты, например сервис «Цифровой профиль», в котором государство объединит вообще все данные о человеке — от персональных данных, включая биометрию, до диагнозов. И если от хакерских атак все худо-бедно научились защищаться, то инсайдерские угрозы, судя по текстам законов, вообще не учитывают. В госпрограмме цифровизации нет директив на использование решений eDiscovery, DLP-систем, решений для контроля активности сотрудников, инструментов расследования.

Так что настораживает, что информатизация идет быстрее оснащенности защитными средствами. Поэтому видим новость про утечку данных по вине хакера, а на самом деле там жирный след инсайдера.

С 24 сентября по 21 ноября «СёрчИнформ» проводит серию конференций RoadShow SearchInform, где будут продемонстрированы 50 реальных инцидентов, которые были расследованы с помощью ИБ-программ. Посмотреть программу и зарегистрироваться можно на сайте мероприятия.