Спецпроекты

Лев Матвеев

Лев Матвеев:
В кризис нужно использовать максимум возможностей DLP

Как изменились угрозы ИБ в последние годы, о чем должны думать заказчики систем безопасности, и почему его не интересует тренд импортозамещения, в интервью CNews рассказывает председатель совета директоров ГК SearchInform Лев Матвеев.

CNews: Какие новые вызовы появились в сфере ИБ в связи с осложнением международной обстановки?

Лев Матвеев: Среди наших клиентов мы отмечаем тенденцию к усилению защиты от террористических угроз. Раньше «антитеррористические» политики безопасности использовали только государственные структуры, теперь и коммерческие компании пришли к пониманию их необходимости. Причины ясны: если в компании обнаружатся пособники террористов, это отразится как на моральном состоянии коллектива, так и на самом бизнесе – никому не хочется видеть в своем офисе «маски-шоу». Не нужна в деловой среде и скандальная известность.

Более 80% из полутора тысяч клиентов SearchInform уже обратились к нам с просьбой установить политики выявления террористической угрозы. Чаще других антитеррористическими политиками интересовались клиенты из нефтегазового сектора, промышленные, государственные и оборонные предприятия, компании кредитно-финансового сектора, ритейл, а также транспортные и логистические организации.

lev_matveev600.jpg

Лев Матвеев: Благодаря тому, что мы плотно работаем с клиентами, мы идем с опережением, предугадывая тренды рынка

Конечно, на практике все сложнее, чем кажется на первый взгляд. Думаю, что никто из руководителей служб безопасности не рассчитывает перехватить открытую переписку террористов, но вот увидеть определенные предпосылки или взять под более пристальное наблюдение «сомнительные кадры» могут.

CNews: Как влияет экономический кризис на рынок информационной безопасности? Какие сегменты растут, какие сокращаются?

Лев Матвеев: Рынок ИБ сокращается в денежном объеме, потому что меньше становится крупных комплексных проектов, да и поставщики идут навстречу клиентам и делают большие скидки. Но в качественном выражении рынок растет: становится больше инсталляций.

Во время кризиса обостряется конкуренция, проблемы безопасности и утечек данных становятся более очевидны и критичны для бизнеса. Компании, которые раньше не задумывались о защите корпоративных данных, сегодня осознают, что цена потери информации может быть слишком высока.

CNews: А как влияют колебания курса доллара на продажи?

Лев Матвеев: Цены на наше ПО устанавливаются в рублях (в этом и прошлом году мы их, кстати, не поднимали), поэтому курс доллара важен лишь в отношении закупки необходимого «железа». В наших решениях аппаратная составляющая крайне незначительна: например, мы делали инсталляцию на 40 тысяч рабочих мест, и все эти компьютеры обслуживают всего 13 серверов. Поэтому влияние только косвенное.

CNews: Как вы оцениваете рост конкуренции на вашем рынке? Какую роль играет импортозамещение?

Лев Матвеев: Мы в основном конкурируем с отечественными решениями. Рынок систем предотвращения утечек данных (DLP-систем) в России очень сильный, причем он был таким изначально, со времени своего старта. И еще до того, как начали говорить об импортозамещении, иностранные решения занимали не более 10–15% нашего рынка.

Таким образом, на рынок DLP в целом импортозамещение не оказало особого влияния – оно просто соответствует основной тенденции его развития. И для нас в импортозамещении нет никакого плюса – мы не можем увеличить свою долю рынка за счет ухода с него западных конкурентов, потому что если даже 10% уйдут, то рынок этого не заметит.

При этом мы внимательно следим за смежными областями. Например, сейчас большие перспективы открываются перед поставщиками Unix-подобных систем. Мы эту тенденцию поддерживаем и готовим к выпуску в этом году решение для ОС Astra Linux.

Но в тех сегментах, где безопасность связана с аппаратными решениями, все обстоит иначе. Там я вообще не вижу успехов импортозамещения по одной причине – нечем заменить иностранное оборудование, наша страна его не производит. Ни за год, ни за пять в России хорошие компьютеры не сделают.

CNews: Как меняется поведение заказчиков в кризис?

Лев Матвеев: Службы ИБ всегда контролировали «группы риска» в компаниях. Это зависимые от алкоголя и наркотиков, азартные игроки, сотрудники, которых можно шантажировать – при определенных обстоятельствах такие работники могут нанести ущерб компании. Сейчас предметом особого внимания стали люди, имеющие кредиты. Заемщики, особенно имеющие валютные кредиты, могут находиться в безвыходной ситуации, когда денег на погашение кредитов не хватает. На них легко надавить извне или подкупить для получения конфиденциальной информации.

Клиенты сейчас обращают особое внимание на контроль облачных сервисов, программ удаленного доступа (VPN, TeamViewer), анонимайзеров.

Еще одна группа задач – отслеживание атмосферы в коллективе, жалоб, недовольства, мониторинг людей, настроенных на увольнение.

Ну и традиционный для служб ИБ контроль клиентских баз, спрос на которые неизменно растет. А где есть спрос, будет и предложение. Инсайдеры не упускают случая завладеть ценной информацией.

Также в кризис компании стремятся использовать решения по виртуализации рабочих мест. Для бизнеса это снижает затраты на лицензии, на обслуживание систем, на оборудование. Но виртуализация дает дополнительную нагрузку на DLP-системы. Мы давно научились поддерживать все варианты виртуализации, сегодня это требование времени: DLP-система должна уметь работать во всех виртуальных средах.

Следующее изменение рынка, связанное с кризисом, заключается в том, что если раньше, в «тучные времена», клиенты не придавали значения контролю маленьких филиалов и региональных офисов, то сейчас такая потребность есть. При этом на каждый офис из 10 компьютеров затратно ставить полноценный сервер. Для таких заказчиков мы выпустили решение, способное работать даже на слабом компьютере. Оно аккумулирует данные и отсылает их в центральный офис, когда не загружен канал связи. Это тоже важное условие, потому что в регионах, особенно на Дальнем Востоке, до сих пор есть проблемы и со скоростью доступа в интернет, и даже с самим доступом.

CNews: Какие, по-вашему, сейчас должны быть приоритеты в ИБ у бизнеса?

Лев Матвеев: Более 60 тысяч российских компаний объявили о грядущих сокращениях персонала (данные кадровой компании «СТС Групп» – Прим. CNews). В прошлом году эта цифра составляла чуть более 25 тысяч. Задача компаний, не уволить при сокращениях эффективных и нужных организации людей. Решения ИБ помогают в том числе и с этой задачей: предоставляют инструменты для оценки эффективности работы персонала.

Что касается приоритетов, в нынешних условиях я бы порекомендовал руководителям бизнеса и начальникам ИБ-отделов обратить внимание на эффективность работы сотрудников. Все больше работодателей ловят сотрудников на том, что они просто занимаются фрилансом в рабочее время. Или, например, играют на курсах валют на форексе.

Сосредотачиваясь на новых направлениях контроля, не нужно забывать про старые. Неизменные помощники инсайдера – флешка и почта. Подавляющее большинство инсайдеров, присваивают информацию именно этими способами.

В кризис нужно использовать максимум возможностей DLP. Новые клиенты при тестировании часто отказываются от модулей: «не ставьте аську, у нас в компании ей не пользуются». Мы уговариваем и ставим. В итоге оказывается, что аськой в рабочее время пользуется значительная часть сотрудников компании.

И еще одна рекомендация: проводите регулярный мониторинг установленного на ПК софта. Админам должно быть известно, к примеру, кто использует VPN, TeamViewer. Через такой канал можно слить практически что угодно!

CNews: Как изменилась стратегия вашей компании?

Лев Матвеев: Стратегия в области ИБ у нас не изменилась. Мы как работали на конечный результат, так и продолжаем работать. Я всегда говорил про коэффициент эффективности проекта: если в большой компании внедряется система информационной безопасности, то через 3–4 месяца должно быть уволено от 0,2% до 1% персонала. Любая компания численностью более 30 человек – это уже не домашний офис, а определенные умонастроения, интриги – все люди никак не могут быть «белыми и пушистыми».

Что касается стратегии развития, то мы первыми вывели на рынок методику, предполагающую не только инсталляцию систем, но и настройку политик, обучение и полное сопровождение клиента. Это дало потрясающий эффект. Благодаря тому, что у нас много заказчиков, сотрудники отдела внедрения часто знают лучше самого клиента, что для него критично и наиболее важно, – они уже работали с компаниями этого размера и этой отрасли.

Мы видим, что коллеги по рынку повторяют некоторые наши шаги. Благодаря тому, что мы плотно работаем с клиентами, мы идем с опережением, предугадывая тренды рынка. Например, перехват сообщений Skype мы сделали в 2007-м году, а коллеги – в 2012-м. Или недавно на CNews вышла статья о том, что НР разработала систему поведенческого анализа для выявления инцидентов, а у нас подобное решение («типовое поведение» в составе Контура информационной безопасности) было уже 5 лет назад. Его задача – на основе статистики выявить аномалии в поведении сотрудников и обратить на них внимание службы ИБ.

CNews: Повлиял ли кризис на план выпуска продуктов?

Лев Матвеев: Благодаря опережающим шагам мы оказались готовы к кризису. Еще до его начала мы начали готовить «младший» продукт для контроля рабочего времени – WorkTime Monitor. Это один из модулей нашего «Контура информационной безопасности». Мы понимали, что для небольших компаний с 10-50 компьютерами лицензии КИБа будут очень дорогой покупкой. К тому же, DLP-система для малого бизнеса слишком продвинутое решение.

В начале 2015 года мы вывели на рынок WorkTime Monitor – ПО дешевле и проще Контура информационной безопасности. Тем не менее решает не только задачи по повышению эффективности, но и минимальный набор задач ИБ. И для многих компаний «Контроль рабочего времени» стал именно тем решением, которое они смогли приобрести. На сегодняшний день насчитывается уже более 500 инсталляций.

Мы говорили о том, что импортозамещение не отразилось на нашем бизнесе. Нужно уточнить, что мы все же делаем один продукт в связи с этим трендом. Это SIEM (система класса Security information and event manager, которая называется SearchInform Event Manager, т.е. сокращенно тоже SIEM. – Прим. CNews) для управления событиями безопасности. Мы начали разработку, потому что некоторые крупные заказчики говорили, что к концу 2016 года они должны будут отказаться от западных систем, а нормальных отечественных аналогов нет.

В чем главная проблема SIEM-систем? Как правило, это большой агрегатор данных, в котором никто не знает, как найти нужную информацию. С этой системой должен работать специалист, который пишет скрипты и настраивает ее. Представьте, что вы купили машину и каждый раз вызываете механика, чтобы завести ее. Смысл в такой машине теряется – проще вызвать такси.

Мы же постарались сделать так, чтобы система не нуждалась в дополнительных настройках, чтобы она была понятна в том числе и сотрудникам службы ИБ. У нас в составе КИБа уже были два модуля, которые решают задачи SIEM – это контроль Active Directory и контроль файловых серверов. Для начала мы их перенесли в SearchInform Event Manager и начали расширять его функциональность. К концу 2016 года мы планируем выпустить этот продукт. Он не станет копией существующих на рынке решений, а будет представлять собой принципиально иную систему.

CNews: Как вы развиваете свой бизнес за пределами России?

Лев Матвеев: Основной бизнес SearchInform сосредоточен в России, здесь мы получаем около 80% оборота. Среди других стран наибольшее число клиентов у нас в Украине (6%) и Казахстане (2,5%). В целом за рубежом мы представлены в СНГ, странах Балтии, Польше, Иордании. Есть планы движения в Южную Америку.

Вернуться на главную страницу обзора