Лев Матвеев, «СёрчИнформ»: Российским заказчикам были нужны блокировки «на лету», не тормозящие бизнес-процессы – мы их сделали
Чтобы защищать компанию от утечек информации уже недостаточно просто контролировать перемещение данных за пределы компании. Нужно, чтобы и внутри информация была под контролем, доступ к конфиденциальным данным разграничен, а изменять или удалять файлы могли только сотрудники, которым это положено по должности. Такой контроль обеспечивают системы защиты данных в покое, которые еще недавно были доступны только в зарубежном исполнении. О том, что умеет российский «файловый аудитор» производства «СёрчИнформ», TAdviser рассказал Лев Матвеев, председатель совета директоров компании.
Матвеев
Из-за всеобщей цифровизации риски потери информации так увеличились, что мы даже порой слышим мнения, мол, невозможно организовать полностью защищенную от утечек информации инфраструктуру. Как относитесь к таким мнениям?
Лев Матвеев: Как к свидетельству неграмотности, отсутствию квалификации. Точно так же можно сказать, что невозможно построить дом, в котором потолки не падают. В большинстве случаев они ведь все-таки не падают. Это вопрос контроля. То же самое и с ИТ. Почему, например, пробив информации по одним финансовым учреждениям не представляет проблемы, а по каким-то банкам это практически невозможно? Это говорит только о разных подходах к своей деятельности служб безопасности.
Безусловно, защититься на все 100% нельзя. Бывают форс-мажоры, в которых информация может куда-то уйти. Но в нормальном режиме, если осуществляется контроль, попытки сливов пресекаются, виновники выявляются.
DLP-системы предназначены для предотвращения утечек корпоративных данных. Их достаточно для защиты?
Лев Матвеев: DLP-система успешно предотвращает утечки информации во внешний мир. Но далеко не всегда информация компрометируется в результате выхода наружу. Многое может случиться внутри. Если линейный менеджер в компании получит доступ к информации о всех зарплатах, это нехорошо, а информация наружу не ушла. Информацию нужно «дозировать», выявлять, кто и к какой части имеет доступ, для каких целей.
Так вот контролем за порядком файлов внутри занимается не DLP, а DCAP-система (Data-Centric Audit and Protection) – система аудита и защиты файлов. Она доступ к конфиденциальной информации был только у тех сотрудников, которым это необходимо.
DCAP – относительно новый термин. Поясните подробнее, какие функции по защите данных должны выполнять DCAP-системы?
Лев Матвеев: Проще называть их по-русски – система контроля файлов. Наш продукт этого класса так и называется – FileAuditor. Основная цель системы контроля файлов – исследовать, где какие документы лежат и пристально наблюдать за теми, в которых содержится конфиденциальная информация. Кто создал файл, кто его редактировал, кто удалил. Кто создает копии.
Да, можно разграничить доступ к файлам на сервере, но это решит только часть проблем. Например, пользователь, который имеет доступ к документам, переложит их из конфиденциальной папки в общую – просто потому, что ему так удобно. Скажем, чтобы совместно поработать над ним со своим коллегой. Но так как папка общая, конфиденциальный документ увидят и все остальные сотрудники компании…Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Система контроля файлов такую ситуацию отследит, произойдет сработка, что файл с конфиденциальной информацией появился не там, где надо. FileAuditor также увидит, если какие-нибудь «умники» попытаются обмануть систему и слить файл, переименовав его или поменяв расширение с DOC на XLS, например.
В марте мы еще расширили функционал FileAuditor, теперь он умеет блокировать доступ и пересылку файлов в любых приложениях по меткам конфиденциальности. В них «зашивается» вся информация: каким пользователям и что можно делать с документами. Например, нужно запретить пересылку персданных по любым каналам, и пользователь просто не сможет прикрепить этот файл ни к письму, ни к сообщению в мессенджере.
Блокировка по этим меткам реализована теперь и в нашей DLP-системе «СёрчИнформ КИБ». Она позволяет мгновенно остановить операцию в отличие от обычной блокировки «в разрыв», которая есть на март 2021 года в большинстве других DLP. Мы долгое время были против такой реализации блокировок в нашей системе, потому что они мешают нормальной жизни организаций: процессы виснут, на любое решение, разрешать ли пересылку файла, нужно время. Нашей задачей было сделать такие блокировки утечек информации, которые не ставят под угрозу бизнес-процессы в компании. И решением стали метки. Благодаря им DLP-системе не нужно каждый раз перепроверять содержимое файлов, решение о блокировке принимается «на лету», системе не нужно тратить время и вычислительные мощности. Российским заказчикам нужен был такой функционал – мы его реализовали.
Почему вы решили разработать собственное решение для аудита файлов?
Лев Матвеев: Тут несколько причин. Во-первых, был запрос со стороны двух крупных заказчиков, очень заинтересованных в появлении такого решения у нас. Частично это был для них вопрос импортозамещения, потому что западные системы файлового аудита (типа Varonis) стоят космических денег. Прайс у них начинается с 300-400 тысяч долларов. Для очень крупной компании такой ценник возможен, но для компании поменьше, в которой 1000-2000 компьютеров, это неподъемная цена.
Второй момент – возможности интеграции: решение аудита файлов очень хорошо дополняет нашу DLP-систему, так часто бывает в интеграции ПО, когда 1+1=3. Увидели, что файл лежит вне своей папки, в КИБе по графу отношений быстро посмотрели, куда уходил файл, от кого кому. И много другой информации для того, чтобы составить полную картину инцидента. В результате во внешний мир этот файл с конфиденциальной информацией не уйдет, потому что будет вовремя заблокирован.
Когда у конкурентов есть только DLP-система, а у нас и DLP, и DCAP, и контроль баз данных, и SIEM – мы сильно выигрываем как вендор. А клиентам этот модульный подход обеспечивает развитие «на вырост». Как с сервером: стало мало одного – можно добавить в стойку еще один слот. У конкурентов такого комплексного предложения нет, а когда пытаешься интегрировать решения разных производителей, неизвестно, сложится ли полноценное взаимодействие.
Когда заходит речь о внедрении отечественных решений, в рамках импортозамещения, например, заказчики часто сопротивляются, объясняя, что функционал недотягивает, что решение недостаточно отработано. Что вы в таких ситуациях обычно говорите?
Лев Матвеев: Обычно нам ничего не надо доказывать. В секторе информационной безопасности российские решения всегда были сильнее западных. Даже когда не было импортозамещения, и на рынке активно работали Symantec, WebSense, McAfee и т.п., они контролировали максимум 15-20% рынка DLP-систем. Все остальные 80% занимали отечественные решения, потому что они более качественные.
То же и в случае с DCAP. Корпоративный сектор всегда скептичен: не на моей ли компании вендор проводит свои эксперименты? Но у нас было преимущество: крупные заказчики, которые в течение многих лет пользовались нашей DLP-системой, понимали, что мы не новый игрок на рынке, и более лояльно относились к нашему FileAuditor.
FileAuditor «заточен» под русские решения, под русскую аналитику. Ни одно зарубежное решение само по себе не даст такой результат, как интеграция наших продуктов.
Важнейшее значение имеет русская служба поддержки при внедрении и т.д. Менталитет у американцев и у русских все-таки отличается, и подходы к информационной безопасности тоже. Вот почему в России и странах СНГ мы находимся в выигрышной позиции по отношению к западным решениям. Более того, и в остальном мире – везде, где российское происхождение продукта не является проблемой, – наши решения также очень сильно выигрывают у западных. Поэтому госстратегия импортозамещения на нас никакого особого влияния не оказала: мы ориентируемся на весь рынок, а не только на госзаказ. Мы не хотим, чтобы нас покупали из-под палки.
Расскажите, как правильно выбрать DCAP-систему.
Лев Матвеев: Провести качественный тест. Мы даем возможность потенциальным клиентам протестировать FileAuditor на любом количестве ПК. Я считаю, что заказчику нельзя верить ни одному слову вендора. Его нужно вежливо послушать, а затем попросить систему на тест. Причем, давать максимальную нагрузку на всех компьютерах, а не на пяти-шести.
У нас было немало комичных ситуаций при тестировании DLP-систем. Клиент тестировал программу на 100 компьютерах из 5000. В итоге покупал решение конкурента, потому что тот «упал» в цене в пять раз. Потом начинается внедрение: на 50 компьютерах все работает замечательно, а когда разворачивают на тысячах, все тормозит и падает. Через 2-3 года приходят закупаться к нам. Так что пробуйте продукт в «боевой» сети, а не в оранжерейных условиях. Вы увидите много интересного.
Что именно?
Лев Матвеев: Например, число ложных сработок. Естественно, любой вендор будет говорить, что у него процент ложных срабатываний близок нулю. Положа руку на сердце, это неправда. Процентов 10 всегда будет, и это минимум. Важно, чтобы эта цифра не была намного больше, потому что в противном случае нужно иметь больше специалистов по безопасности в штате, больше аналитиков. Это можно проверить в течение пробного периода, который у всех вендоров бесплатный. Не всегда это было так.
Имеет значение также сколько «железа» нужно для работы. И расчет нужно делать на перспективу 3-4 лет эксплуатации. Тогда вполне может выясниться, что система, у которой лицензия на старте дороже, окажется в 2-3 раза дешевле.
Это как с автомобилем. Если ты много ездишь, то автомобиль, который «съедает» 5 л на 100 км, будет на порядок эффективнее, чем тот, который «ест» 15 л, несмотря на то, что первый может быть дороже.
А есть у компаний сегодня варианты сэкономить?
Лев Матвеев: Мы запустили в конце 2019 года услугу ИБ-аутсорсинга для всей линейки наших продуктов. Можно привлечь к работе нашего аналитика – внештатного ИБ-специалиста, ведь, во многих компаниях (особенно, в тех, в которых 50-200 компьютеров) его нет. Аналитик возьмет всю работу на себя (внедрит решение, будет мониторить, что происходит с информацией, предоставлять отчет заказчику). Вместо своего «железа» компания может использовать наше облако – это тоже не так дорого.
Аутсорсинг лучше, чем частичное решение проблемы с безопасностью. Нельзя ставить ПО только на часть компьютеров. Ты ведь никогда не знаешь, кто из сотрудников способен себя вести некорректно.
Поэтому, когда клиент говорит, что он готов прямо сейчас купить ПО на 50 компьютеров из 500, мы его отговариваем: не надо, не покупайте прямо сейчас. Лучше возьмите аутсорсинг, но на все 500 машин.
Мы начали разговор с того, что системы защиты данных в компаниях постоянно эволюционируют, появляются новые решения. И через некоторое время системы контроля файлов тоже станут обычными, рутинными инструментами работы ИБ-служб. А что уже просматривается впереди из будущих решений?
Лев Матвеев: Будущее – за комплексностью функционала. Подобно тому, как FileAuditor дополняет DLP-систему, в этот комплекс добавятся другие системы. В частности, контроль баз данных – не так давно мы выпустили на рынок это решение – DataBase Monitor. Я думаю, что через несколько лет DLP, DAM, DCAP-системы станут стандартом для всех компаний.
Я хорошо помню, как еще 15 лет назад клиенты размышляли, нужно ли тратить деньги на межсетевые экраны и антивирусы. Распространение троянов, вирусов-шифровальщиков всех приучили, что на этом ПО точно не надо экономить.
Еще одно личное наблюдение. Я провел около десяти интервью с директорами по безопасности на телеканале «Про бизнес», у всех гостей я спрашиваю о предполагаемом сроке окупаемости защитных систем. Все говорят, что если речь про DLP-систему или DLP вместе с «файловым аудитором», окупаемость происходит за 2-3 месяца, максимум год. Иными словами, в топовых компаниях уже отлично понимают, чего ждать от систем и что это не затраты, а инвестиции. Так что подвижки в психологии есть, правда, пока только в компаниях с наиболее продвинутым менеджментом.
Завершаем разговор на позитивной ноте – мыслью о том, что информационная безопасность постепенно становится естественным состоянием бизнеса. Спасибо, Лев Лазаревич, за интересный разговор!
