Алексей Раевский, Zecurion: DLP-система — это не серебряная пуля, а продвинутый инструмент внутреннего контроля

Алексей Раевский: Замечу, что мы всегда ориентировались на потребности рынка. Поэтому первый наш продукт был предназначен для шифрования серверных носителей. Конец 90-х, время дикого капитализма, и потребностям бизнеса отвечало средство, которое помогало защититься от силового отъёма информации, хранящейся на серверах и настольных ПК сотрудников. Затем общество и рынок стали приобретать более цивилизованные формы, и начал формироваться тот сегмент ПО, который станет называться защитой от утечек данных. На первых порах это были узконаправленные решения для защиты определённых сегментов корпоративных сетей, например, для контроля утечек по каналам электронной почты или для контроля USB-устройств. Мы начали с решения для контроля устройств, потом добавили контроль почты и сетевых каналов. И постепенно у нас собралось полное решение класса DLP, которое где-то в 2013-2014 гг. мы решили полностью переписать для того чтобы избавиться от «наследственных» проблем стихийного развития на предыдущих этапах.

На основе передовых подходов реализовали единую архитектурную концепцию и единые политики безопасности, единый архив, единую консоль управления. Этого, кстати, до сих пор нет у многих российских вендоров. На сегодняшний день наше решение является одним из самых продвинутых на российском рынке в технологическом плане. И не только на российском. Не могу сказать, что мы были настоящими пионерами в этой области. Но тех, с кем мы конкурировали в начале века, на рынке давно нет. Ну, а среди текущих лидеров рынка, мы находимся в группе основателей этого сегмента.

Алексей Раевский: Знаете, мы не заметили какого-то особого всплеска интереса к DLP-решениям. Определённые движения со стороны клиентов, конечно, были, но они, как правило, не конвертировались в сделки. По предварительным оценкам, год мы закрыли с превышением плана, который составили год назад, еще не зная про все события 2022 года, которые произойдут.

Алексей Раевский: Что касается ухода зарубежных вендоров, на наш сегмент он повлиял незначительно. Доля зарубежных вендоров DLP уверенно сокращалась в течение последних шести-семи лет и снизилась в конечном итоге, если не до нуля, то до статистически незначительных цифр. Это связано с тем, что требования российских заказчиков отличаются от западных, и в целом драйверы развития рынка DLP в России отличаются от тех, которые подталкивают рост этого сегмента в США и Западной Европе. И российские вендоры оказались более гибкими и расторопными, сумев реализовать именно то, что хотят заказчики. Так что задолго до февраля 2022 зарубежных вендоров DLP у нас практически не осталось.

Всплеск кибератак, действительно, наблюдается. И внимание заказчиков приковано, в первую очередь, к защите от внешних угроз, а внутренняя безопасность традиционно оказывается на втором месте, с точки зрения внимания руководства компаний.

Алексей Раевский: Вы правы. Вы можете внедрить антивирус или какое-либо средство защиты периметра сети без особых организационных мероприятий, а с внутренней безопасностью такая история не пройдёт. Должна быть специальная группа или подразделение, которое занимается внутренней безопасностью, а у них — определённый регламент решения своих задач. Обычно они приходят к нам с готовым набором конкретных кейсов контроля, которые необходимо реализовать. При этом спектр задач выходит далеко за пределы собственно защиты от утечек. Заказчиков сейчас интересуют гораздо более сложные кейсы, связанные с внутренними расследованиями, контролем некоторых аспектов действий пользователей, которые классические DLP-системы не контролируют, и т.д.

Алексей Раевский: Знаете, если говорить о влиянии законодательных нововведений на утечки данных, оно весьма невелико… Пока нет оборотных штрафов, это все история про «чисто поговорить». Да, сейчас идет обсуждение серьёзных штрафов за утечки, но можно будет говорить реальном о влиянии законодательных мер на утечки только после того, как они начнут работать, когда будут выписываться реально крупные штрафы. А пока… Весной прошлого года была крупная утечка из сервиса «Яндекс.Еда». Знаете, на какую сумму оштрафовали «Яндекс» за эту утечку? 60 тыс. рублей. Есть смысл дальше обсуждать этот вопрос?

Алексей Раевский: На Западе основной драйвер для внедрения DLP-систем — это комплаенс в части защиты персональных данных. Любой банк или сервис по доставке чего угодно понимают, что если произойдет утечка данных, к ним придет проверка. И если выяснится, что у них нет политики безопасности, DLP-системы, отдела, который за всем этим следит, и т.д., их оштрафуют, Причем, штраф будет очень внушительным. Можно считать, справились с проблемой? Не совсем.

Комплаенс предопределяет формальное отношение к вопросам утечек и DLP-системам — «для галочки». Приходит проверка и видит, что все формальные требования выполнены. Но поскольку утечка все же произошла, штраф налагается гораздо меньший, или его даже удается вовсе избежать. Почему? Организация будет виновной в утечке, если она совсем не занималась вопросами защиты, а если она занималась и сделала всё, что от нее требуется по закону (комплаенс!), то в чем ее вина?

Алексей Раевский: Конечно. Поставили DLP-систему, и в ней все политики настроены, то есть «галочка» стоит в полях «Предотвратить утечки» и «Контролировать персональные данные». Все. «Бумажная» защита в чистом виде.

Алексей Раевский: У нас другая история. Во-первых, этот комплаенс никому особо не интересен. А во-вторых, есть гораздо более серьёзные задачи, которые решаются в интересах службы внутренней безопасности. Например, истории, связанные с внутренним мошенничеством, коррупцией, воровством и т.д. Обычно внедрение DLP-системы в крупной организации относится к службе экономической безопасности, а не информационной. И, естественно, требования к ней отличаются. Поэтому и по функциям российская и американская DLP-система существенно отличаются.

Алексей Раевский: Классическое требование российских заказчиков к DLP-системе — это архив. Нужно, чтобы вся информация, которая проходит через DLP-систему, складывалась в архив и хранилась там некоторое время — три, шесть месяцев, год. Чтобы у безопасника была возможность обратиться к этому архиву и посмотреть, что происходило. Кто кому что отправлял? Кто с какими документами работал? Такие инструменты полезны и в плане контроля утечек и в плане более сложных расследований, связанных с корпоративным мошенничеством, воровством денег.

Алексей Раевский: Да. Помнится, в конце 2021 г. проходил круглый стол по DLP-системам, в котором принимала участие парочка западных вендоров. Они подтвердили: у нас нет архива. А мы, между прочим, свой первый крупный тендер выиграли именно по причине наличия у нас архива еще в 2012 или 2011 г. Но они не видят ценности в наличии такой функциональности.

А для нас архив DLP-системы — эта исходная информация, к которой можно применить различные инструменты обработки больших данных. На основе этого архива можно построить, например, диаграмму связей: в центре картинки поместить того пользователя, который в данный момент является объектом расследования, и система отобразит стрелочками, кто с кем обменивается информацией, кто находится внутри периметра сети, а кто снаружи сети, кто с кем как связан. Это очень удобно для того, чтобы выявлять скрытые связи внутри компании, причем, о некоторых руководство может даже не подозревать. Ведь эти связи могут выстраиваться для более эффективной работы, а могут — для нанесения ущерба компании.Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.9 т Такие возможности ценят не только российские заказчики (в лице службы экономической безопасности), но и владельцы бизнеса на ближнем Востоке, в Африке, Юго-Восточной Азии.

Алексей Раевский: DLP-система — это не серебряная пуля. Это не полностью автоматизированное средство: нажать кнопку и сразу получить список инсайдеров, отсортированных по признаку, сколько денег украл, нельзя. Пока таких технологий нет. Но мы над этим работаем.

Что сегодня можно получить от использования DLP-системы? Например, если есть подозрения в отношении конкретного сотрудника, можно незаметно для него провести более глубокое расследование: посмотреть, с кем он общается, какой информацией обменивается, в какое время присутствует на рабочем месте, какие файлы лежат у него на компьютере. Как правило, это дает практически полную картину происходящего. Либо видно, что человек занимается своим делом и у него нет никакой теневой активности. Либо сразу видно, что он чем-то занимается, помимо своей работы. И это «что-то» надо потом дополнительно проверить. Как правило, после этого или в процессе применяются форензик-процедуры для сбора и закрепления доказательств, проводится финансовый или юридический аудит, который отвечает на вопрос, причиняет ли этот сотрудник какой-либо ущерб компании, и если причиняет, то в каком размере.

Алексей Раевский: Безусловно! Ведь большой плюс DLP-системы заключается в том, что она умеет анализировать контент. То есть не просто выявлять факт коммуникации между двумя людьми, но и содержимое этой коммуникации. Например, если сотрудник тендерного отдела получает тендерную заявку от одного из потенциальных участников по неофициальным каналам, это уже большой вопрос к нему. Или он, например, может отправить заявку конкуренту, чтобы аффилированная компания ее изучила и дала лучшее предложение. Это тоже нарушение. Если поставить соответствующий фильтр на тендерные документы, можно быстро выявлять ситуации нарушений конкурсных процедур.

Алексей Раевский: Да, голосовой разговор можно записать и сохранить в архиве в виде файла MP3 для последующего анализа. Причем, это может быть не только телефон, но и разговор с помощью какого-либо мессенджера: Skype, Telegram, WhatsApp и т.д. Более того, можно в любой момент включить микрофон на компьютере пользователя и записывать то, что в этот микрофон слышно. Например, сотрудник открыл CRM-систему, и в этот момент включилась запись микрофона. А сотрудник позвонил кому-то по мобильному телефону и диктует сведения из CRM-системы. Сейчас мы работаем над тем, чтобы добавить функцию преобразования речи в текст (speech-to-text), чтобы вместе с голосовым файлом в архиве хранить текстовое содержимое. При этом такой текст уже можно индексировать, осуществлять полнотекстовый поиск, выявлять сущности и т.д.

Алексей Раевский: Это зависит от того, кому вы зададите этот вопрос. Если спросите у вице-президента по безопасности любой организации, он скажет: «Да! Круто! Пишем всё». Но сразу возникают вопросы: где это хранить? Сколько это будет стоить? Я всегда говорю: все, что связано с безопасностью, это вопрос экономический. Как страховой полис: вы вкладываете в безопасность определённые средства и при этом понимаете, что таким образом страхуете себя от гораздо больших потерь. Однажды мы считали проект DLP вместе с собственником бизнеса в области птицеводства. Он знал, что на его птицефабрике есть нечистые на руку сотрудники и даже приблизительно знал масштаб воровства. Однако анализа потерь и оборота бизнеса показал, что стоимость внедрения и поддержки DLP-системы (нужен отдельный специалист) вряд ли окупятся.

Приобретение DLP — это всегда вопрос экономической эффективности. Тут есть определенный порог входа. Например, компании из 20 человек, где руководитель находится в одном помещении с сотрудниками и в курсе всего происходящего в коллективе, такая система скорее всего не нужна.

Алексей Раевский: С удалёнными сотрудниками не все так просто. С одной стороны, их сложнее контролировать, поэтому средства класса DLP играют в условиях «удалёнки» важную роль. С другой стороны, когда человек работает дома, записывать звуки с микрофона его компьютера или видео с камеры — это уже может трактоваться как вторжение в частную жизнь. Здесь надо достигать баланса с учетом юридической проработки и здравого смысла.

Алексей Раевский: Как правило, это человек из службы безопасности, у которого бэкграунд связан либо с правохранительными органами, либо с информационной безопасностью. В любом случае DLP — это явно не айтишная история. Более того, для ИТ-департамента средства DLP — это досадная помеха, от которой они мечтают избавиться. Так что конфликты между ИТ и ИБ, о которых периодически приходится слышать, — это реальность, мы с этим нередко сталкиваемся в проектах внедрения DLP-системы.

Действительно, DLP-система зачастую может стать точкой отказа в ИТ-системах организации. Ведь это система, через которую проходит вся почта, весь веб-трафик, её агенты стоят на каждом компьютере. И вдруг почта не работает. Претензии обычно предъявляют ИТ-отделу, а в процессе анализа инцидента отказывается, что так сработала DLP-система: безопасник создал такую политику, которая начала блокировать письма генерального директора. Это страшный сон айтишника и, к сожалению, реальный сценарий.

Алексей Раевский: Можно. Более того, в ранние времена, когда DLP-системы были не столь зрелыми, как сегодня, заказчики предпочитали использовать в «прозрачном» режиме, когда блокирующих политик нет или они не срабатывают. Вся информация проходит через систему и складывается в архив, чтобы потом на базе этого архива проводить расследования и осуществлять другой анализ. Такой подход в принципе снижает риск отказа информационных систем: DLP все контролирует, но ничего не предотвращает. И в этом случае в аббревиатуре DLP исчезает последняя буква — «P» (Prevention). В таком режиме никакого предотвращения утечек нет, любая информация проходит туда, куда ее направили, в том числе конфиденциальная, и лишь постфактум, заглянув в архив, можно обнаружить, что была утечка данных.

Алексей Раевский: В основном, вызовы связаны с размыванием периметра сети. Когда половина сотрудников работает дома, а половина данных лежит в облаке, контролировать происходящее сложно. Ведь, по сути, для чего нужна DLP-система? Для контроля пересечения информацией периметра сети, и у утечки данных есть простое определение – внутренняя информация утекла за периметр сети. А если половина информации хранится в облаке, это можно назвать утечкой или нет? Ответ на вопрос зависит от того, кто это облако контролирует, кто имеет к нему доступ, какие условия хранения информации там созданы? Это очень сложная и неоднозначная история.

На рынке даже появился отдельный класс продуктов — Cloud Access Security Broker (CASB), именно потому, что нужно как-то контролировать ситуацию с облаками. Западные вендоры предлагают для этих целей отдельное решение. Но, на мой взгляд, эти возможности должны составлять часть DLP-функционала.

Алексей Раевский: Этому есть объяснение. На Западе все DLP-системы когда-то были скуплены крупнейшими вендорами: Symantec, McAfee, Websense и др. В начале «десятых» было несолидно крупному вендору не иметь своей DLP-системы. Но проблема в том, что крупнейшие корпорации не очень способны к инновациям. По большей части они занимаются адаптацией своих систем к новым версиям ОС, исправлением ошибок и т.п. А когда появляется принципиально новый вызов типа тех же облаков, стартапы реагируют на них гораздо быстрее. Поэтому и получается ситуация, когда проблема утечек эволюционирует, а DLP-системы в основной своей массе эволюционировать не могут. И вот Gartner придумывает новую аббревиатуру (CASB), у больших вендоров появляются новые цели для поглощений, а заказчики послушно все это покупают и пытаются заставить вместе работать, чтобы решить свои задачи.

По моему глубокому убеждению, умение контролировать облачные хранилища — это такая же естественная функция DLP-системы, как контроль USB-устройства или электронной почты.

Алексей Раевский: У нас поддерживается ограниченно. Дело в том, что для нас приоритет №1 — российский рынок, где облачные потребности не столь развиты, как на Западе.

Алексей Раевский: Первый мы уже отметили — это облака, мы движемся в этом направлении в соответствии с потребностями наших российских заказчиков. Второй важный тренд — повышение интеллектуальности DLP-систем. Речь идет о том, что сама система сама способна определять факт утечки данных, мошенничества, коррупции и т.д. и сообщать информацию сотрудникам службы безопасности.

На мой взгляд, DLP-системы буду эволюционировать в этом направлении. Тут хорошо подходят технологии машинного обучения: на основе нескольких примеров, описанных сотрудником, система создает профиль нарушения, и если в ходе дальнейшей работы распознает признаки такой ситуации, дает человеку сигнал о возможном нарушении определенного типа. Думаю, что работающие системы такого рода мы увидим достаточно скоро — в перспективе трех-пяти лет.

Конечно, никто не ожидает, что умная система совсем заменит человека. Скорее, стоит ожидать, что за счет автоматизации и интеллектуализации рутинных функций один человек сможет выполнять такой объем работ, для которого раньше требовалось 3-5 человек. Или этот человек будет заниматься инцидентами внутренней безопасности примерно половину своего рабочего времени, а вторую половину будет, скажем, администрировать файерволы. Искусственный интеллект не отнимет работу у людей. Он сделает ее более производительной и эффективной.

И третий тренд развития DLP-систем — дополнительный контроль тех каналов коммуникаций, которые классическая DLP-система не контролирует. Я уже приводил пример записи звука с микрофона. Аналогично можно в любой момент включить на любом компьютере веб-камеру и превратить его в инструмент видеонаблюдения. Причем, этот функционал может быть полезен и для классических сценариев защиты от утечек.

Например, у вас пользователь скопировал секретные данные на флешку. В архиве системы появилась информация о том, что это произошло на компьютере конкретного пользователя. Но этот пользователь может заявить: это был кто-то другой, а я в это время вышел покурить, но забыл залочить компьютер, задумался, извините. А если настроить DLP-систему таким образом, чтобы в момент копирования секретных файлов осуществлялось фотографирование пользователя встроенной камерой, будет понятно, кто именно совершил проступок.