CNews: Как вы можете охарактеризовать ситуацию на российском рынке ИБ? Какие изменения произошли за последний год? Все ли задачи корпоративной ИБ сегодня могут быть закрыты российскими решениями? Чего не хватает?

Лев Матвеев: За уходящий год каких-то потрясений российский рынок ИБ не испытал. Вендоры планомерно развивают решения, страсти вокруг импортозамещения поулеглись и разработчики снова сосредоточились на продуктах. Сегодня все активно потянулись за концепцией UEBA (User and Entity Behavior Analytics). По мнению некоторых аналитиков (например, Gartner), если тренд сохранится, то рост рынка UEBA составит приблизительно 200 млн долларов к концу 2017 года. Есть и обратное мнение у экспертов – это просто модный термин, для которого нет в настоящее время достаточно сильной технологии и скоро так называемый хайп вокруг него уляжется.

Мы как всегда не погнались за модой, а исходили из практики. Задачи, которые заказчик хочет решать с помощью концепции UEBA, по нашему мнению, лучше решаются с помощью профайлинга. Однако профайлинг – технология неавтоматизированная. Именно эту проблему мы и решаем.

Сегодня мы активно развиваем интеграцию профайлинга и DLP. Мы впервые (причем не только в РФ – во всем мире) реализуем переход теоретической психологии в прикладную технологию.

Скриншот бета-версии ProfileCenter в «КИБ СёрчИнформ»

CNews: Давайте подробнее остановимся на профайлинге. Он подразумевает оценку личности сотрудника для прогнозирования поведения и предотвращения инцидентов ИБ. Это направление появилось у вас совсем недавно. На каких технологиях вы его развиваете, что лежит в основе защиты компании с помощью профайлинга?

Лев Матвеев: Мы решили объединить, на первый взгляд, несовместимое: психологию и высокие технологии. Предугадать поведение пользователя – цель многих компаний сегодня. Ведь человеческий фактор остается «головной болью» ИБ-отделов: мы можем защитить периметр компании с помощью различных технологий, но залезть в голову к сотруднику не сможем.

Однако речь человека, особенно письменная, отражает его мышление, черты характера, ценности и психотип. Такие взаимосвязи изучает психолингвистика. Законы этой науки мы и решили использовать для создания нового модуля.

DLP собирает большой массив информации о сотрудниках: переписку в почте и мессенджерах, поисковые запросы, переговоры и т.д. Изначально мы сосредоточились на письменном общении работников. Понятно, что в любом сообщении есть часть официальная и есть часть неформальная, где человек пишет от себя, «показывает» свою личность: как, какие и в каком порядке человек использует слова, какой тон использует в переписке, использует ли сленг, нецензурную лексику и т.п. Вот по этой части мы можем определить психотип человека, особенности его поведения в той или иной ситуации.

Мы решили, что раз система в любом случае собирает эту информацию, то нам остается лишь по максимуму использовать ее для задач ИБ. Если строгают доски и остается много опилок, логично из этих опилок сделать ДСП. Раньше мы использовали текст только в одном ракурсе, а тут посмотрели на задачу с другой стороны и увидели новые возможности.

Для корректной работы модуля профайлинга достаточно 20 тысяч слов. Чем их больше, тем точнее будет результат. Конечно, не любой текст подходит для психолингвистического анализа. Потому с ним проводится большая предварительная работа по нормализации. Эта обработка включает морфологический, структурный, семантический и другие анализы. Формулу раскрывать я, конечно, не буду, мы планируем ее патентовать.

На самом деле это отдельный, наукоемкий продукт. Мы серьезно вложились в него финансово, нашли редких специалистов. Такой подход в целом нам близок. Так было с поиском похожих по содержанию документов, на волне которого мы стали лидерами рынка. В свое время это был мощный, наукоемкий инструмент. Профайлинг – это та область, которая интересна мне лично: все что можно делать с обработкой текста, создавать корреляции. Это хорошая математика и лингвистика.

Мы представили первую версию модуля Profile Center на Road Show осенью. Видеозапись конференции есть на нашем ютуб-канале.

CNews: Это направление пересекается с задачами DLP Forensic Suite? Для чего предназначена эта система и какие у нее особенности?

Лев Матвеев: Forensic Suite – это другое направление, не связанное с профилированием. Формально мы относимся к форензике, потому что наша DLP позволяет искать не только по слову и фразе, находит документы, похожие по содержанию, находит корреляцию между документами, связи, система производит регрессионный анализ и прочее. По сути Forensic Suite – это мощный аналитический модуль, инструмент расследования, который не просто ищет по словам, а делает на порядок больше. И работает не только в той точке, в которой его включили, но анализирует весь архив. Конечная его цель – не просто борьба с утечками информации, а обнаружение любых мошеннических схем, преступных намерений и других рисков, связанных с неправомерной деятельностью сотрудников.

Профилирование – это другой инструмент, хотя и призван также решать задачи, связанные с человеческим фактором и угрозами, исходящими от сотрудников. Условно, профилирование можно и под Forensic Suite отнести, но базово форензика – это все же аналитический модуль: это наш Alert Center и Report Center. Это – «мозг» «КИБ СёрчИнформ».

Пересекается ли форензика с профайлингом? И да, и нет. Службе безопасности нужно детектировать всех людей в компании, чтобы выявить, кто из них представляет угрозу. Это задачи информационной безопасности. И если кто-то когда-нибудь сможет по сетчатке глаза прогнозировать, совершит человек преступление или нет, то это также будет пересекаться с задачами DLP. Просто станет отдельным направлением. Так мы сделали на зарубежных рынках – выделили из нашего «КИБ СёрчИнформ» DLP и Forensic Suite. Только так иностранным заказчикам мы можем донести все разнообразие и пользу нашего решения. Профайлинг же будет идти отдельным модулем.

CNews: Ваш флагманский продукт «Контур информационной безопасности» уже почти год как включен в Единый реестр российского ПО. Насколько это повлияло на интерес заказчиков к нему? Были ли контракты, в которых факт наличия КИБа в Реестре стал одним из ключевых при принятии решения о покупке?

Лев Матвеев: Да, включение «КИБ СёрчИнформ» в Единый реестр российского ПО повлияло. Но только не на решение выбрать нашу DLP. Просто ряд компаний не имеют права покупать продукты, которых нет в Реестре, даже если они им абсолютно подходят. Вот как раз им пришлось отложить покупку КИБ с 2016 на 2017 год, пока «друзья» по рынку пытались воспрепятствовать нашему попаданию в Реестр. Но так как этим клиентам нужен был именно наш продукт, то им пришлось ждать. Можно сказать, что спрос был отложенным. Потому в результате продажи выросли.

Принципиальный момент: нас покупают не потому что мы в Реестре, это мы пошли в Реестр, потому что наши заказчики иначе не могли бы КИБ приобрести, хотя бы и очень хотели.

CNews: Недавно ваша компания вошла в Magic Quadrant for Enterprise Data Loss Prevention. Это говорит о том, что вы добились определенных успехов на зарубежных рынках.

Лев Матвеев: Да, действительно, попасть в квадрант – задача не из простых. Но Gartner оценивает не только продажи, но и продукт. И мы вошли в Magic Quadrant for Enterprise Data Loss Prevention не потому, что добились успехов на зарубежных рынках. Хотя действительно начали активно на них действовать. Мы планировали попадание в квадрант как раз потому, что это важный критерий для зарубежных заказчиков. В России на это достижение мало кто смотрит, а вот за рубежом аналитики Gartner имеют очень большой авторитет.

Попадание в квадрант с первого раза – это показатель в целом нашего хорошего развития и правильной функциональности. Gartner иногда обвиняют в том, что они платно включают решения в обзоры. Своим примером подтверждаем – это неправда, «КИБ СёрчИнформ» включен в обзор бесплатно. Более того, мы не участвуем в платных рейтингах. Считаем, если продукт качественный, то компанию оценят просто потому, что это сильный игрок на рынке.

CNews: В каких регионах вы работаете, и кто ваши заказчики? Какова динамика объемов бизнеса за рубежом?

Лев Матвеев: Сейчас ведем активную работу в Европейских странах, ОАЭ и Латинской Америке, открыли офисы в Аргентине и Бразилии. По сути мы только в начале пути, чтобы довести эту работу до ума, нужно 2-3 года. В работе на иностранных рынках нам большую поддержку оказывает Российский экспортный центр. В Латинской Америке мы очень качественно стартовали и большой вклад в это внес представитель РЭЦ, Заместитель Торгового представителя РФ в Аргентине Алексей Чигирёв. Именно такая помощь – контактами, организацией бизнес-миссий и встреч с потенциальными клиентами – необходима для продвижения российских компаний за рубежом.

Мы также начинаем работу в ЮАР и Индии. В ближайших планах – Юго-восточная Азия. Активно ищем людей, которые могли бы возглавить офисы в этих регионах.

Восприятие наших ИБ-решений за рубежом крайне позитивное. Российское ПО ассоциируется с технологической продвинутостью и надежностью. Мы опасались предубежденности из-за политических мотивов, но были приятно удивлены! С российскими решениями и с русскими экспертами хотят работать.

Наш опыт работы с Бразилией, Аргентиной, ОАЭ и другими странами показал, что там под DLP подразумевают продукт гораздо ниже по функциональности, чем наша система. По этой причине нам и пришлось разделить «КИБ СёрчИнформ» на два решения: SearchInform DLP и Forensic Suite.

Наша аналитика, поиск похожих, граф отношений между пользователями, многообразие и глубина отчетов сильно удивляют зарубежных заказчиков. Это очень хорошо: DLP и информационная безопасность в целом – это то, в чем Россия впереди планеты всей. И это реальная гордость за отрасль.

CNews: Чем интересны ваши продукты иностранным компаниям, чем вы отличаетесь от других вендоров?

Лев Матвеев: Самое главное я, наверное, уже отметил: мы отличаемся тем, что решаем более широкий круг задач. Мы не просто обнаруживаем и предотвращаем утечки информации. Мы помогаем в расследовании инцидентов – именно для этого КИБ хранит всю базу перехвата, а не только информацию, связанную с нарушением ИБ-политик. Такие проблемы, как откаты, коррупция, фирмы-боковики, сговор с конкурентами и использование служебного положения – это же все не утечки. Какая система должна выявлять и предотвращать эти проблемы? Мы считаем, что DLP и даем заказчику все нужные для этого инструменты.

«КИБ СёрчИнформ» – это продукт другого класса. SearchInform DLP плюс Forensic Suite – комплексная защита бизнеса от утечек информации и всех видов внутреннего мошенничества, а не только предотвращение утечек данных. Один из потенциальных клиентов во время переговоров сказал такую фразу «Коллеги, ваш продукт защищает не данные, он защищает деньги». Действительно – возможность контроля продуктивности сотрудников, PUM-инструменты, контроль телефонии, инвентаризация оборудования и ПО – всех этих полезных инструментов просто нет в привычных западу DLP-системах. В зарубежном понимании DLP решает только одну задачу – контроль пересылки чувствительных данных. Антивирус защищает от вирусов, спамфильтр – от спама, а DLP – от утечки конфиденциальных документов. Мы же предлагаем гораздо больше.

Выходя на иностранные рынки, мы видим вау-эффект, который производит наш КИБ – заказчики удивляются: «Неужели DLP может работать без заранее заготовленных цифровых отпечатков, категоризации данных, неужели она может самостоятельно определять, что несет потенциальную угрозу?». Когда видишь такую реакцию, понимаешь, что перспективы на зарубежных рынках у нас отличные.

CNews: Какие конкретно функциональные возможности ваших систем наиболее интересны клиентам за рубежом?

Лев Матвеев: Из функциональных возможностей заказчики отмечают наш «поиск похожих», мощную аналитику и отчеты, множество каналов перехвата, преднастроенные политики по выявлению инсайдеров, мошеннических схем, сотрудников из групп риска и т.д.

Заказчиков интересуют наши преимущества, например – интеллектуальный поиск текстов, схожих по смыслу или содержанию с эталоном. Детектирование визуально похожих изображений (изображения, похожие на паспорт, водительское удостоверение, служебный пропуск и др.), документов с определенными печатями. Очень нравится клиентам возможность применять одни и те же политики безопасности к тексту, изображениям и аудиопотоку. На данный момент мы единственная DLP-система, полноценно защищающая еще и аудиоканалы.

Также самые положительные эмоции вызывает функционал форензики: аудио- и видеозапись действий, фиксация нажатых клавиш, аудит любых файловых операций, контроль продуктивности – таких инструментов просто нет в западных DLP.

«КИБ СёрчИнформ» способен анализировать огромные объемы информации, хранить гигантские объемы данных. Например, в России у нас самое масштабное внедрение – на 50 000 ПК. И главное, что действительно привлекает, – благодаря крутой аналитике и мощности системы один ИБ-специалист может контролировать до 2500 сотрудников.

CNews: Есть ли у иностранных клиентов опасения, что вместе с установкой систем ИБ они «передадут вам все свои секреты», и если есть, то каков ваш ответ?

Лев Матвеев: Понимаю, что этот вопрос связан с ситуацией вокруг Лаборатории Касперского. Но антивирус использует интернет, иначе он работать не может. Наша система работает в рамках DMZ (прим. – демилитаризованная зона) и это можно доказать технически. Мы и сами рекомендуем ставить софт на сервер без доступа к интернету. И любой грамотный специалист понимает: опасения, что через наше решение мы получим секреты заказчиков, просто нелепы.