CNews: Многие российские вендоры сейчас возлагают большие надежды на импортозамещение в госсекторе. Как вы считаете, не сведутся ли попытки заместить иностранное ПО к тому, что заказчики просто научатся объяснять, почему российские продукты не обладают той же функциональностью, что и западные?

Игорь Ляпунов: Нет, импортозамещение — очень сильный драйвер, и я уверен, что если он сохранится, то российские госкомпании полностью перейдут на российское ПО. Все движется в этом направлении. Эта история с объяснениями может длиться еще какое-то время, но потом использование зарубежных средств защиты сведется к минимуму.

Без импортозамещения было бы очень сложно развивать информационные технологии в России — у нас нет тех бюджетов, которые западные вендоры тратят на продвижение и разработку. Если в российской компании эти затраты исчисляются десятками миллионов рублей, то в западных корпорациях — сотнями миллионов долларов. При этом наш интеллектуальный потенциал, как минимум, не ниже чем у западных компаний, но нам нужно время, чтобы нарастить мышцы. На какое-то время российским компаниям нужны тепличные условия, чтобы они могли встать на ноги. Однако хочу заметить, что этот период не должен быть бесконечно долгим, иначе мы получим все минусы производства на неконкурентном рынке.

CNews: Ослабит ли импортозамещение позиции западных вендоров? Если да, то какие технологии станут наиболее сильным конкурентным преимуществом в борьбе за рынок между российскими компаниями?

Игорь Ляпунов: Безусловно, западные вендоры уже сократили свое присутствие в стране. Мы уже наблюдаем этот процесс в самых разных сегментах рынка информационной безопасности. У многих из этих компаний сейчас цель — «перезимовать», оставить точку, из которой потом, когда санкции ослабнут, можно будет расти. Однако если тенденция к импортозамещению останется такой же сильной, многие могут совсем уйти с рынка.

CNews: Какие ИБ-решения будут пользоваться наибольшим спросом в 2017 году?

Игорь Ляпунов: С точки зрения объемов продаж самый высокий потенциал сейчас у классических средств защиты — VPN, фаерволлов, IDS, DLP и т.д. Все, что создает основу информационной безопасности, будет хорошим, растущим, денежным направлением.

Если же говорить о самых быстрорастущих направлениях, то это, безусловно, средства мониторинга и управления ИБ. Сейчас очень быстро развиваются и ИТ-системы у заказчиков, и технологии атак. Способы нападения становятся все более технологичными. Скорость изменений в сценариях атак исчисляется не годами и месяцами, а часами. Эти условия требуют нового подхода к безопасности, и зрелые компании измеряют свою защищенность не наличием или отсутствием инцидентов, а скоростью реакции на них.

Сейчас в сфере защиты от внешних атак происходят определенные изменения: на первый план выходят не блокирование и предотвращение, а технологии мониторинга и выявления корреляций. Многие таргетированные атаки не ловятся в явном виде, на средстве защиты не загорается надпись: «На вас идет таргетированная атака». Их выявляют по косвенным признакам. Однако эти косвенные признаки надо суметь выделить в общем потоке данных от различных систем защиты, развернутых в компании, а затем сопоставить и выявить корреляцию.

CNews: Меняется ли подход к защите от инсайда и других внутренних атак?

Игорь Ляпунов: Разумеется, ведь современный сотрудник — это не тот человек, который выполняет свои обязанности в рамках строго оговоренных бизнес-процессов. Для него работа — это продолжение жизни. Такие сотрудники работают по ненормированному графику — из дома, из отпуска.

Кроме того, современный сотрудник живет в цифровом мире. Смартфон или ноутбук — это продолжение его самого, половина его контактов и социальных взаимодействий происходит через средства электронных коммуникаций.

И здесь та цифровая реальность, в которой люди живут, пересекается и с их рабочими активностями. Человек может общаться в мессенджерах как по рабочим, так и по нерабочим вопросам. Модель «запретить сотруднику использовать что-либо, кроме рабочей почты» не выдерживает столкновения с реальностью. Традиционные запретительные подходы вызывают или непонимание и демотивированность, или желание обойти запреты и сделать по-своему, но уже в неподконтрольном безопаснику поле.

CNews: Учитываете ли вы эти изменения при разработке продуктов?

Игорь Ляпунов: Да, безусловно. Идеология наших продуктов строится на том, чтобы позволить сотрудникам делать свою работу наиболее удобным и эффективным способом. Мы не ограничиваем людей в инструментах, но задаем определенный набор правил, принципов работы и оставляем за собой право контролировать их исполнение. Поэтому краеугольным камнем безопасности становится мониторинг, а центральным объектом внимания — человек. Эту тенденцию можно видеть на примере DLP-технологий: скажем, в Solar Dozor основная часть аналитики построена вокруг человека.

CNews: Рынок DLP сейчас находится на довольно высоком уровне зрелости. Как, на ваш взгляд, он будет развиваться в дальнейшем?

Игорь Ляпунов: Действительно, считается, что рынок DLP достиг высокого уровня зрелости и насыщения и вышел на плато, однако мы наблюдаем уверенный рост спроса на наше решение.

Сейчас существуют два подхода к защите от внутренних угроз — с акцентом на информацию и с акцентом на действиях сотрудников. При внедрении DLP-системы первый вопрос — что является конфиденциальной информацией? Академичный подход, при котором поставщик сначала помогает заказчику составить перечень конфиденциальной информации, затем описывает ее в DLP, подключает систему и считает работу выполненной — в реальности не работает. Уже через полгода в компании появляется огромное количество новой чувствительной информации, которая нигде не отражена. Мало кто об этом говорит, но регулярное обновление этого перечня защищаемой информации — отдельная задача, которая требует серьезных ресурсов, особенно если речь идет о большой организации. В итоге через какое-то время DLP перестает быть адекватной реальному положению дел в компании.

Разумеется, все эти стандартные технологии выявления конфиденциальной информации входят и в наше DLP-решение. Но основной акцент мы делаем на людях, на анализе их действий, построении профиля стандартного поведения сотрудника и выявлении отклонений от него, аномалий. Этот механизм позволяет обеспечивать и конфиденциальность данных, и контроль рисков, исходящих от сотрудников, в том числе и с точки зрения потенциального ущерба для бизнеса. Это может быть корпоративное мошенничество, конфликты интересов сотрудников внутри компании, взаимодействие с конкурентами и т.п. Таким образом, DLP-система может решать более сложные задачи, нежели обеспечение конфиденциальности определенной информации.

Во-вторых, мы понимаем, что наши пользователи не ИТ-специалисты. Их главный навык — не умение писать SQL-запросы или как-то конфигурировать ту или иную систему. Поэтому мы делаем Solar Dozor очень простым и удобным, чтобы пользователи тратили на DLP минимум времени. Система предлагает готовые сценарии, подсказывает безопаснику следующий шаг в работе, «подсвечивает» конкретных сотрудников, на которых нужно обратить особое внимание.

Основной акцент мы делаем на визуальной аналитике. Безопасник не должен сам сводить в единую картину разрозненные данные и результаты разнообразных запросов. Поэтому мы предоставляем визуальные инструменты, которые наглядно отражают ситуацию в компании и помогают безопаснику решать свои задачи.

CNews: Вы говорите о том, что реальность сегодня требует от ИБ-специалистов нового подхода к защите информации. Насколько они готовы к этому, на ваш взгляд?

Игорь Ляпунов: По моим наблюдениям, «ортодоксальных» безопасников, которые работают исключительно по принципу «тащить и не пущать», становится все меньше.

Главный актив бизнеса — люди, они формируют компанию, ее бизнес-процессы, ее экспертизу и, в конечном счете, положение на рынке. Они являются источником развития. Если безопасник начинает запугивать моих сотрудников тем, что они нарушают политики ИБ, общаясь с заказчиками в WhatsApp, я, скорее, предпочту расстаться с ним, чем с сотрудниками. Безопасник должен понимать бизнес и людей, которые им занимаются, и не должен им мешать.

И сейчас действительно формируется новый тип офицера безопасности, который умеет общаться с бизнесом, не прибегая к запугиваниям и манипуляциям. Он вникает в задачи бизнеса, понимает, какие угрозы являются наиболее важными. Ведь если спросить руководителя компании о ключевых бизнес-рисках, он не скажет ни слова об ИТ или хакерах. Скорее, перечислит такие вещи, как недружественные поглощения, недобросовестная конкуренция, коррупция и мошенничество сотрудников, конфликтные увольнения. А безопасник, в свою очередь, должен преломлять эти риски через призму своей экспертизы, своих знаний о том, как и с помощью каких решений можно обезопасить компанию.

CNews: Чего вы ждете от рынка ИБ в следующем году в экономическом и технологическом плане?

Игорь Ляпунов: С точки зрения структуры спроса — с повышением зрелости рынка все большей популярностью будут пользоваться решения по управлению безопасностью. Аутсорсинг безопасности и облачные модели тоже получат более широкое распространение — рынку надоели сложные, трудоемкие и дорогие проекты внедрения, клиенты хотят решение здесь и сейчас. Кроме того, облачные сервисы очень удобны для сравнительно небольших компаний, и можно предположить, что в этом сегменте на них будет устойчивый спрос.

И я искренне ожидаю появления новых интересных российских технологий. Несмотря на все сложности, многие компании ведут собственные весьма перспективные разработки, и в следующем году многие из них могут «выстрелить». По крайней мере, для такого взрывного развития созданы все условия.

CNews: Спасибо.