Лев Матвеев, «СёрчИнформ»: Нам нужно усиливать бренд не конкретного вендора, а «Made in Russia» целиком
В июне 2021 года президент подписал закон об увеличении наказания за незаконное разглашение персональных данных – штрафы вырастут в 10 раз. Правда речь про отдельные категории защищаемых государством лиц, а ситуация с ПДн обычных граждан остается плачевной. Лев Матвеев, председатель совета директоров «СёрчИнформ», член правления «Руссофт» и Генсовета «Деловой России» рассказал в интервью TAdviser, какие должны быть первые шаги по изменению закона, как бизнесу придется менять обычные бизнес-практики и почему нужно экспортировать российский опыт ИБ за рубеж.
Матвеев
На ЦИПРе во время дискуссии о персональных данных возник спор. Вы говорили о том, что рынок стал более зрелым, вам оппонировали, что на самом деле бизнес готов внедрять защитные инструменты только из-под палки. Смогли вас переубедить?
Лев Матвеев: Нет, потому что я вижу ситуацию по своему сегменту рынка – нет такого, что компании ставят ПО из-под палки. Да и палки-то никакой нет! Ни в одном законе до сих пор не написано, чтобы DLP или другие программы для защиты от утечек, инсайдеров были обязательными. При этом мы видим, что число крупных контрактов на закупку защитного ПО в разных отраслях увеличилось. Раньше нам, например, приходилось объяснять, почему внедрение только на часть ПК – это не решение проблемы. Сейчас руководители все чаще сами понимают, что контролировать нужно всех.
Есть сфера, где ПО насаждается из-под палки – это происходит в государственных компаниях, которые часто отталкиваются от указаний сверху, а не из оценки реальной необходимости. Поэтому они могут закупать защитные программы только потому что того требует закон. Бизнес так не делает, он изучает качество софта очень вдумчиво.
Но тем не менее вы последовательно высказываетесь о необходимости ужесточения закона, чтобы решать проблему утечек ПДн. Какое регулирование разумно, а какое, по-вашему мнению, будет слишком жестким?
Лев Матвеев: Мое мнение, что все компании, которые собирают и хранят персональные данные, должны их защищать и нести ответственность, если произойдет утечка. И здесь я вижу как минимум три проблемы на уровне законов. Первая – к организациям нет требования регистрироваться в качестве оператора персданных. Как результат: фактических операторов 5 миллионов, в реестре Роскомнадзора – всего 422 тысячи организации. Вторая проблема – объёмные и запутанные требования по защитным мерам. Из ФЗ-152 вытекают бесконечные отсылки к приказам других регуляторов, например, ФСТЭК России и ФСБ. В их текстах разобраться еще сложнее. Ну и третий момент – штрафы за утечки данных, прописанные в КоАП РФ, по-прежнему маленькие. Мы говорим об этом давно, видимо были услышаны – небольшие подвижки стали происходить как раз в последние год-два.
Есть и другие проблемы регулирования, но чтобы начать хоть с чего-то, я бы конкретизировал требования по защите данных. Должны быть названы конкретные шаги, которые реально защитят оператора ПДн от утечек. Условно, если обрабатываешь ПДн на листочке – будь добр, купи сейф для хранения бумаг. Но если в цифровом формате – покупай ПО для предотвращения и расследования утечек информации, а также решения для категоризации данных. Иначе даже не уследишь, где среди всего файлового бардака персональные данные.Догнать и перегнать: Российские ВКС прирастают новыми функциями 
Сейчас ответственные компании без дополнительных указаний используют DLP для защиты информации. Но мы не можем рассчитывать только на личную сознательность отдельных руководителей.
Вы говорите о том, чтобы компании понесли существенные траты. С крупными компаниями все понятно, а вот малый бизнес потянет такие расходы?
Лев Матвеев: Меры по защите ПДн в малом бизнесе я вижу по-другому. Ужесточение требований для него – не самое правильное решение. МСБ, действительно, часто не по карману защитное ПО, но главное – его некому обслуживать. Я выступаю за то, чтобы эти компании собирали меньше персданных и без лишней нужды просто не становились операторами ПДн. Если же малому бизнесу все-таки надо собирать данные, ему нужно помогать защищать их. Нужно двигаться по пути создания Центров аутсорсинга информационной безопасности для небольших компаний. Ведь не держит малый бизнес в штате клининг или сисадмина, они сотрудничают с аутсорсерами. Обращение к ИБ-специалисту вне штата станет таким же привычным бизнес-процессом.
Других вариантов я не вижу. Не можем же мы сделать исключение: вы, крупные компании, давайте защищайте персданные россиян, а они будут вовсю утекать из какого-то интернет-магазина. Так вопрос не решить! Мы же почему-то требуем, чтобы в торговых центрах были пожарные извещатели, а у водителей – права? Пора привыкнуть, что информационная безопасность – это реальность. Бизнесу придется перестраиваться и искать варианты решения проблемы.
Так что – заставлять компании внедрять эти инструменты?
Лев Матвеев: Должна быть комплексная мотивация: кнут и пряник. Если совсем не применять требования, мы с вами вернемся в средневековье. Но требовать можно по-разному. Одно дело заставить всех перестроиться за один день под страхом миллионных штрафов. Совсем другое – давать время на внедрение, снабжать информацией, решениями, поддержкой, чтобы не бросать бизнес как щенка в воду. Государство может предоставлять субсидии на закупку защитных решений, и кстати, такие программы поддержки уже есть: 1 июля 2021 года правительство утвердило субсидирование.
И потом, речь не идет про навязывание чего-то бесполезного. Защитные решения нужны не только для защиты персданных «во благо общества». Это программы для безопасности всего бизнеса, они окупаются с каждым предотвращенным инцидентом. Бизнес очень быстро осознает пользу от предотвращения утечек коммерческой информации, мошенничеств, откатных схем и т.д.
В разговорах о защите ПДн часто забывают про жертв утечек. Как по-вашему должны быть обеспечены их права?
Лев Матвеев: В России, увы, никто не считается с интересами граждан, данные которых утеряны. Даже если наши законы заработают, виновники утечек будут найдены и осуждены, жертва не получит ничего. Штраф будет перечислен в пользу государства.
Для примера, в ЕС все обстоит по-другому. Виновник там отвечает перед государством огромными штрафами, но главное – люди получают денежную компенсацию, и чтобы ее получить, им не нужно доказывать понесли они ущерб, моральный вред или нет! Считаю, что в России мы должны стремиться к защите интересов пострадавших, чтобы люди тоже получали компенсации.
Да, все профессионалы знают, что реальных виновников утечки сложно установить и, главное, доказать в суде их вину. Но было бы желание, ведь технологии есть! Скажу за свою вотчину – защиту от инсайдерства. Действия злоумышленников или просто разгильдяев можно отследить: если данные пересылались – выявит DLP, если кто-то мухлевал с файлами – DCAP, с базами данных – DAM. Даже того, кто сделал фото с экрана, можно отследить, есть технологии.
На ЦИПРе и ранее на ПМЭФ вы говорили, что у России есть все возможности, чтобы сформировать образцовую практику по защите ПДн. И что ее даже можно экспортировать за рубеж. Почему вы так уверены в этом?
Лев Матвеев: Потому что сходятся интересы всех сторон. Если Россия бок о бок с вендорами предложит дружественным государствам работающее обкатанное платформенное решение, верю, что оно будет востребовано. Мы в своем сегменте уже видим, что иностранная практика сближается с российской. Все, что мы говорим здесь про комплексную защиту, находит все больший отклик у иностранного бизнеса.
Государству тоже выгодно вкладываться в экспорт ИТ, а тем более в экспорт инфобеза, потому что весь мир с каждым годом все больше и больше тратит на киберзащиту. Есть данные, что в 2021 году объем мирового рынка ИБ составит 202 млрд долларов. Очевидно, что отрасль продолжит рост, и России нужно как можно быстрее освоить это поле. Особенно рынки Азии, Африки, Ближнего Востока и Латинской Америки, где российские разработки традиционно встречают позитивно.
Но я говорю о том, что продвигать надо не отдельные решения, а комплекс. Так будем усиливать бренд не конкретного вендора, а «Made in Russia» целиком. Центры информационной безопасности нужны, чтобы продвигать платформенный подход, от этого выиграют многие разработчики. Они своими силами уже сделали за рубежом немало. Если государство сейчас придаст процессу ускорение, результат будет лучше в разы.
Что вас не устраивает в существующей поддержке экспорта?
Лев Матвеев: Начну с того, что многое из того, что делается, мне нравится. Но, увы, иногда поддержка превращается в бизнес-туризм. Мы видели ситуации, когда компании приезжали на международные мероприятия неподготовленными – презентационные материалы и софт были на русском языке, никакой адаптации. Смысла в поддержке таких вендоров я не вижу. И возникает резонный вопрос к институтам развития – как отбираются поддерживаемые компании, как ведется их отбор?
Наш опыт показывает, что часто поддержка несистемная, а положительный результат мы получаем, потому что в отдельных странах в российских институтах развития работают люди, как говорится, «с мотором». Так у нас получилось выйти в Аргентину, где со стороны РЭЦ работал очень толковый и неравнодушный человек.
Но что меня радует – это открытость отдельных людей в институтах развития. На ЦИПРе еще не закончилась пленарная сессия, где я озвучил проблемы, а вице-президент РЭЦ уже написал мне о готовности продолжать разговор. Это позитивное восприятие критики – вызывает огромное уважение.
Кстати, из предложений по улучшению поддержки экспорта: на пленарной дискуссии ЦИПР возникла идея – хорошо бы подключать к поддержке МИД, у них есть возможность организовать нетворкинг на совершенно другом уровне!
После сюрпризов пандемии, мы все можем соревноваться в пессимистичных прогнозах. Есть у вас оптимистичные ожидания на ближайшие 5-6 лет?
Лев Матвеев: Я уверен, что перспективы у отечественной информационной безопасности очень хорошие. Пока в России занято только 10% рынка, через 5-6 лет, думаю, будет занято 50%. Зрелости российское ИБ достигнет лет через 8, когда будет занято 70-80%. Процесс распространения ИБ уже не остановить, потому что киберриски – это наша новая реальность.
Также думаю, что через 5 лет мы начнем лидировать на рынке инфобеза в ряде зарубежных регионов: странах Африки, Ближнего Востока, в Латинской Америке и в арабском мире. Я всегда говорил, что нашу DLP-систему за рубежом встречали на ура. Сейчас могу дополнить наблюдения – так же активно продается SIEM. Но интереснее для меня выглядит ситуация с FileAuditor, динамика его продаж за полгода сильно обгоняет то, что мы видели по другим продуктам.
Понятно, что из-за пандемии это развитие идет на порядок медленнее, чем хотелось бы. Но мы предпринимаем активные действия, как говорится «бежим еще быстрее», чтобы не останавливаться в развитии.
