Лев Матвеев, «СёрчИнформ»:
Регуляторы рынок не двигают, его двигают клиенты
Вторая половина ноября – время, когда уже можно подводить первые итоги прошедшего года. О том, какие события существенно повлияли на сферу ИБ в 2019-ом, что нового из защитных решений предлагают отечественные вендоры, какие угрозы нас ждут в 2020-м, мы поговорили с Львом Матвеевым, председателем совета директоров «СёрчИнформ».
Содержание |
Рынок и драйверы
Как вы оцениваете расклад на рынке ИБ. Заметно, что стали появляться новые игроки – начинающие компании, которые показывают головокружительные показатели роста бизнеса?
Лев Матвеев: На рынке внутренней безопасности новых перспективных игроков я лично не знаю. Либо они слишком маленькие, либо вы имеете ввиду весь рынок информационной безопасности. Если второе, то по сути мы не конкурируем с ними, как, например, с производителями антивирусов или файерволов. Скорее наоборот – работаем в связке, со многими – интегрируемся.
На рынок же внутренней безопасности – к которому относятся DLP-вендоры – войти новому игроку крайне тяжело. Прежде всего из-за сложности технологий, необходимости обеспечить контроль большого количества каналов и т.д. Это не год и не два разработки, молодые бизнесмены предпочитают более легкие пути и краткосрочные цели.
Молодая компания сможет составить конкуренцию старым игрокам только в том случае, если мы от всего устанем и не будем развиваться. Но я такой ситуации не могу представить.
А есть у крупных игроков, таких как «СёрчИнформ», возможность «почивать на лаврах», раз стартапам уже не достичь такого уровня развития софта?
Лев Матвеев: В нашей отрасли «почивать на лаврах» не получится. Это как в «Ну, погоди!» – волк за зайцем гоняется бесконечно. Вот и мы так гоняемся за вновь возникающими ИБ-угрозами.
В инфобезе, если остановиться и перестать развиваться, то не останешься на месте, а откатишься назад. Все слишком быстро меняется: чем больше данных переносится в цифру, тем больше рисков, больше возможностей у мошенников что-то с этими данными сделать.
Мы из года в год стараемся не снижать темпы и дорабатывать наши решения под запросы рынка. В этом году, например, выросло количество инцидентов с участием привилегированных пользователей. В итоге мы усилили в DLP функционал для полноценной защиты терминальных серверов, виртуальных сред и средств для удаленного администрирования.
На протяжении последних пяти лет выпускаем самостоятельные ИБ-продукты: сначала это была система контроля рабочего времени (наш младший продукт), затем SIEM-система, программа для профилирования сотрудников. В этом году выпустили FileAuditor для аудита файловых систем, а в начале 2020-го планируем релиз продукта по мониторингу баз данных – Database Monitor.
Все это – не наша блажь, а конкретные запросы клиентов, которым просто удобно, чтобы все продукты были от одного вендора и бесшовно интегрировались между собой.
Для сферы ИБ важным драйвером роста всегда были требования регуляторов. Какие требования из разряда compliance наиболее сильно влияли на характер проектов ИБ-рынка в течение последнего года?
Лев Матвеев: Не могу согласиться, что это главный драйвер. ИБ-рынок развивается в соответствии с требованиями клиентов и реагирует на новые угрозы, регуляторы здесь влияют в меньшей степени. Увы, они больше озабочены бюрократическими изменениями (новых требований ФСТЭК, например), чем реальной защитой.
Простой пример: мне непонятно поведение Центробанка. В даркнете свободно торгуют информацией из крупнейших банков. Из года в год ситуация не меняется, банки либо не понимают, как это остановить, либо им наплевать. Вот здесь бы ЦБ и взяться за дело, ведь очевидно, что далеко не все банки заинтересованы в защите данных. Но этого не происходит, увы.
Старт большого проекта Единой биометрической системы (ЕБС) и соответствующей активности в части применения биометрических данных стал одним из символов ИБ-активности 2019 года. Вы как относитесь к такого рода проектам?
Лев Матвеев: Помимо ЕБС было несколько других больших законодательных инициатив: «цифровой профиль», ужесточение ответственности в части хранения на территории РФ. Везде одно и то же – идеи выглядят здраво, проблемы поднимаются актуальные, но вот реализация предполагает скорее не защиту (часто как раз о прикладных аспектах защиты ни слова), а контроль.
Скажу откровенно: я боюсь введения биометрической системы. Если данные будут так же защищены, как и во всех наших госструктурах – это будет эффект разорвавшейся бомбы.
Я видел проект, но не видел там ничего конкретного про информационную безопасность. Должна быть внятная техническая спецификация: как данные будут защищаться – антивирусы, файерволлы, DLP – как будет построена ИТ-инфраструктура, как она будет разделена и изолирована. Но ничего же нет. Потому все будет течь как сквозь решето. И если бы у меня был выбор, я бы не сдавал биометрические данные, т.е. предпочел бы неудобство риску.
Софт эволюционирует, утечки остаются?
Лев Матвеев: Что самое печальное, это не первая утечка в крупнейшем банке страны. Но увы, после первой оргвыводы не были сделаны, не были усилены системы защиты, боюсь, что даже аудит не был проведен. Успокоили себя и общественность, что данные сотрудников – это не утечка. И в итоге пришли ко второму скандалу. Поначалу тоже пытались «замять ситуацию», но в итоге – только подставили руководство, которое публично заявило про утечку 250 строк данных, когда в даркнете 5000 срок гуляли.
Я сам клиент Сбербанка – мне тревожно все это. Со страниц СМИ, конечно, звучат заявления о «борьбе с предателями» и «усилении защитных мер». Посмотрим, превратятся ли слова в реальные дела.
Почему существующие DLP не предотвратили эти утечки? Ведь банки-то защищены, считается, лучше всех.
Лев Матвеев: Такие заявления не корректны. Системы работают, утечки предотвращают, но об этом не принято рассказывать. Тогда как про слив, тем более крупный, расскажут все СМИ. DLP, как и службы безопасности, – успешно работают во многих банках, но мы о них не слышим. Потому что «у нас все спокойно, ничего не утекло» – это не инфоповод.
Ситуация со Сбербанком, по моему мнению, проста и понятна: не работает либо DLP, либо служба безопасности. При нормально работающей DLP уход из банка больших массивов информации не может остаться незамеченным. Все вскрывается, остаются следы. И снова оговорюсь, при слаженной работе СБ виновники находятся быстро. Не назначаются постфактум – когда утечка попала в прессу, а упреждаются. При правильном подходе утечка была бы раскрыта и предотвращена еще на стадии подготовки.
На Уральском форуме много говорилось про внутреннюю безопасность. Можно ли сказать, что в этом году произошел слом и банковские ИБ-специалисты перешли от констатации факта «во всем виноваты сами пользователи» к поиску проблем внутри?
Лев Матвеев: Вы слишком обобщаете. Думаю, особого переворота не произошло. Просто в некоторых банках очень сильные СБ, которые не прячут голову в песок, а поднимают актуальные, пусть и неудобные вопросы.
Здесь же все зависит не только от технического решения, но и от людей, которые с ним работают. Если мы дали хороший экскаватор, чтобы копать траншею, а люди не хотят копать, то результат от экскаватора будет хуже, чем, если один человек, который «хочет», будет копать лопатой.
Когда выполняются два условия – хороший инструмент и хорошая СБ – тогда проблема решается. Когда специалисты из службы безопасности хотят работать, так они требуют от вендоров делать еще больше. Наш DataBase Monitor появился именно из-за запросов банков. Представители СБ заявили – этого функционала не хватает, да есть другие решения на рынке, но будет эффективнее, если оно будет интегрировано с DLP бесшовно. И мы разработали под них это решение, сейчас альфа-версию тестируют как раз эти доверенные заказчики.
Вы говорите про бесшовную интеграцию – давайте подробнее, что это и как работает?
Лев Матвеев: Есть разные классы продуктов, направленные на защиту от внутренних угроз. Можно использовать их от разных вендоров и настраивать, чтобы они передавали информацию друг другу, объединять как-то все отчеты, анализировать. Однако наиболее сильное решение получается, когда все продукты от одного производителя, т.к. они изначально интегрированы между собой – это и называется бесшовная интеграция. Когда ваши DLP и SIEM-системы, система файлового аудита и контроля баз данных работают фактически в единой консоли, и еще дополнены инновационным решением по профилированию сотрудников – это уже совсем другой уровень.
По сути, все наши новые продукты так или иначе «выросли» из DLP-системы «СёрчИнформ КИБ» или работают на основе данных из нее. Они дают дополнительные сигналы, на что обратить внимание, а DLP выступает инструментом оперативного расследования.
В июне компания запустила услугу аутсорсинга информационной безопасности, ориентированную, в том числе, на малый бизнес. Насколько этот рынок «вкусен» для компании с точки зрения потенциальных доходов?
Лев Матвеев: Не все можно мерить деньгами, которые получишь уже сегодня. Сейчас ИБ-аутсорсинг уже дает финансовый результат, но он не сравним с доходами от продажи продуктов. Мы, по сути, готовим определенную часть рынка – эти компании пока не доросли до собственных служб безопасности и, соответственно, до собственного защитного решения. Потому они эту службу и решение арендуют. Когда дорастут – у них не будет вопроса, какую систему выбрать.
Второй момент: компании с 50-100 ПК находятся в замкнутом круге. У них с одной стороны нет системы, потому что ее некому обслуживать, нет специалиста по ИБ. С другой – нет специалиста, потому что компания небольшая, нецелесообразно создавать ИБ-службу, нет и защитного решения, с чем ему работать?
Это напоминает ситуацию из жизни: нет прав, потому что нет машины, не покупаю машину, потому что нет прав. Но человек пробует такси и понимает, что это удобно, экономит время, дает возможность успевать больше. И он задумывается о покупке автомобиля.
Мы думаем, что собственники, попробовав аутсорсинг, увидят преимущества, которые дает DLP и ИБ-специалист и задумаются о покупке системы и найме специалиста инхаус.
В этом году вы выпустили еще один новый продукт – файловый аудитор. Что это за система и как ее восприняли заказчики?
Лев Матвеев: Начнем с того, что мы сделали систему под запрос клиентов. Так что было прогнозируемо, что на нее будет спрос и она быстро окупится. Программа помогает навести порядок с доступами к файлам и хранением документов. Если совсем просто – FileAuditor отвечает на 3 вопроса:
- Какие документы содержат критичную для бизнеса информацию, где они хранятся?
- Кто имеет к ним доступ и может их редактировать?
- Кто и как работает с этими документами - полная история.
Если компания обрабатывает ПДн, разрабатывает ноу-хау или просто владеет информацией, которую критично потерять или доверить не тем людям – ей необходима такая система.
Рынок замечательно воспринял продукт, с начала года его протестировали 452 компании, несколько десятков уже купили, многие – заложили бюджеты на следующий год.
Если судить по данным вашего недавнего исследования, сотрудники на рабочих местах целыми днями пишут в интернете негатив о компании, «сливают» сведения конкурентам, собираясь увольняться, и даже ведут переговоры в Даркнете о приобретении наркотиков. Получается, что сотрудников может реально сдерживать лишь страх быть пойманным с поличным?
Лев Матвеев: Человеческая природа такова, что далеко не все люди «белые и пушистые». Однако, знакомясь с нашей аналитикой, нужно понимать, что процент таких сотрудников в организации, как правило, не очень высок. В среднем, 2-3% сотрудников в каждой компании – случайно или намеренно вредят работодателю, либо склонны к деструктивному поведению. Мы помогаем их выявить.
Контроль – это норма управленческого процесса. Другое дело, что противятся ему в основном работники, которые как раз и нарушают правила. Те, кому нечего скрывать – спокойно относятся к контролю, я бы даже сказал – с пониманием.
Но и работодателям нужно не перебарщивать. Если вы будете по секундам отслеживать сколько раз человек пил кофе или ходил в туалет – это будет справедливо воспринято негативно. Контроль нужен, чтобы пресекать незаконную деятельность, махинации, откаты и взяточничество, для соблюдения трудовой дисциплины. Пока он не выходит за эти рамки – сотрудники не будут воспринимать его негативно.
Иногда в необходимости контроля нужно убедить собственника. Тогда я привожу простой пример: допустим сотрудник с заработной платой 120 000 в месяц в течении 4 рабочих часов выбирает себе новую плитку в ванную. Эти 4 часа – это около 3000 рублей, потраченных работодателем впустую. Вопрос – это воровство или нет? Почему-то, если человек забрал с работы пачку бумаги – мы считаем это воровством. А систематическая пустая трата рабочего времени считается нормой. Восприятие, что воровство – это только кража того, что можно взять с полки, уже должно уйти в прошлое.
Ваша работа за рубежом переросла этап «разведки». На каких регионах фокусировались в этом году? Тенденции спроса, понимание угроз у иностранных заказчиков схожее или отличное от российских?
Лев Матвеев: За рубежом мы работаем уже несколько лет, пробовали разные подходы и сейчас, думаю, нашли правильный. Мы продаем тот же продукт, просто немного меняем позиционирование. Регионы, интересные нам – это Латинская Америка, Южная Африка, Ближний Восток. Эти страны отличаются и менталитетом, и взглядами на первостепенные угрозы, и подходом к ИБ в целом. Так что нормально, что подход должен быть другой.
В этом году мы также сосредоточились на Малайзии, Синапуре, Бангладеш, Индонезии. Здесь хочу отметить помощь организаций RITE и RIEXP. В сотрудничестве с этими структурами сбылись мои давние слова: я всегда говорил, что господдержка ИТ-компаниям в виде денег не так важна. Помогайте нам связями, продвижением, консультациями, мероприятиями.
То, что мы так широко выходим на международную арену с отечественными защитными решениями, то, что наш софт вызывает вау-эффект – это огромный сдвиг и для бизнеса, и для страны.
Подводя итог разговору, как думаете, какие тенденции будут определять развитие ИБ в будущем году?
Лев Матвеев: Во-первых, отмечу подвижки в общественном мнении вплоть до властей и ФСБ. Я, наконец, услышал от правительства, Госдумы и даже ФСБ, что то, что сейчас творится на государственном и на бизнес-уровне в области информационной безопасности данных – это бардак. И нужно этот подход искоренять. Думаю, что раз об ИБ заговорили в таком тоне, то это даст понимание всем компаниям, что безответственности в отношении ИБ государство больше не потерпит. Одно повышение штрафов для юридических лиц чего стоит.
Сами компании тоже стали сознательнее и увидели в утечках фактор репутационного риска. При том, что еще очень много крупных утечек, которые пытаются «замять», многие компании начали уведомлять об инцидентах. Это говорит о том, что не все потеряно. Есть бизнес, готовый брать на себя ответственность.
Что касается угроз, которые кажутся сейчас наиболее опасными, это инциденты, связанные с социальной инженерией, их стало больше. А ведь на пороге уже «дипфейки». Есть технологии, которые довольно успешно борются с социнженерией (наш профайлинг нацелен в т. ч. на это), но что делать с дипфейками пока никто не понимает.
Утечки с участием привилегированных пользователей. Мы говорили об этом выше – количество инцидентов увеличивается, при том, что и данные утекают наиболее критичные. Нужно закрывать эту «дыру» всеми имеющимися способами – как техническими, так и предупредительными.