Защита от инсайдера — это не затраты, это инвестиции
Современные компании страдают от внутренних инцидентов информационной безопасности (ИБ) гораздо чаще, чем от внешних кибератак. В зоне риска оказывается как крупный бизнес, так и небольшие фирмы. Как отечественный софт помогает обезопасить компании, с какими проблемами сталкиваются заказчики и как вендоры развивают решения для защиты от рисков ИБ, рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев.
Лев Матвеев, председатель совета директоров «СёрчИнформ»
— Российские разработчики средств информационной безопасности всегда были сильными, и до недавних пор иностранные игроки занимали часть рынка. Как вы развивались в таких условиях?
— Мы на рынке с 1995 года, изначально занимались технологиями поиска, хранения и обработки информации. А начиная с 2006 года перешли в сферу информационной безопасности. В начале 2010-х на российском рынке ИБ было достаточно конкурентов. Рынок был неконтролируемым, и многие компании перегибали палку. К примеру, даже пробные версии своего продукта не отдавали бесплатно.
Нас в первую очередь отличало то, что мы пришли с продуктом по защите от инсайдера, а не внешних угроз. К 2009 году мы уже заняли около 50% этого рынка, но именно за счет технологий — они позволили нам выделяться на рынке. Мы развивались по запросам клиентов и часто выступали первопроходцами — реализовывали функционал, которого не было у конкурентов.
Например, первыми начали контролировать Skype в 2009 году, одними из первых — Telegram в 2017-м, в 2018-м выпустили единственный в мире продукт по автоматическому профилированию ProfileCenter. В 2019-м создали российское DCAP-решение, в 2021-м реализовали в DCAP блокировку отправки файлов в любом приложении. В 2022 году внедрили распознавание лиц для защиты от компрометации доступа. И так далее. Это результат запросов крупных клиентов, которые мы стремились реализовать максимально эффективно.
— Вы сделали ставку на защиту от внутренних нарушений. А насколько чаще утечки данных происходят по вине инсайдеров?
— Большинство утечек происходит из-за внутренних диверсий. По данным опроса, который мы ежегодно проводим среди примерно 3 тыс. специалистов по информационной безопасности, 66% утечек информации происходит по вине сотрудников. Кроме утечек специалисты по безопасности отмечали и другие внутренние инциденты: внешние атаки через сотрудников (20%), откаты и взяточничество (15%), дискредитация компании (24%) и многое другое.
При этом даже внешние атаки редко обходятся без сообщника внутри — злонамеренного или невольного. Потому что это могут быть просто халатность, незнание ИБ-правил со стороны сотрудников. Однозначно можно сказать, что внутренние нарушения опаснее, чем внешние атаки. Еще самый известный хакер современности — Кевин Митник — говорил: для любого внешнего вторжения нужен сообщник внутри.
— Какие возможности есть у современного ПО, чтобы контролировать действия сотрудников с точки зрения информационной безопасности?
— Сегодня есть множество защитных решений с самым разнообразным функционалом. Я бы назвал три основных класса продуктов, которые максимально защитят современную компанию от внутренних ИБ-угроз.
Это DCAP-система, которая защитит все критичные для компании файлы от удаления, несанкционированного доступа, копирования и пересылки.
DLP-система, которая контролирует все каналы передачи информации, анализирует переписки, аудио, вложения, шифрует данные, блокирует запись на носители, контролирует облачные хранилища, принтеры и другие устройства и многое-многое другое.
SIEM-система, которая контролирует ИТ-инфраструктуру компании, оповещает о сбоях, аномальных событиях, нарушениях доступа и прочем. Эти три решения максимально закрывают вопросы внутренней безопасности компаний. Все остальное — это надстройки, усиления.
— Если смотреть на пользователей таких решений — кто это? Государство? Бизнес? Мелкие или крупные компании?
— Еще пять лет назад информационная безопасность была прерогативой крупного бизнеса или госструктур. Сегодня ситуация существенно изменилась: инфобез теперь, что называется, «касается всех».
Почти за 25 лет присутствия на рынке ИБ мы получили опыт работы с заказчиками разных отраслей и масштабов. Необходимость защиты не только от внешних угроз, но и от внутренних очевидна финансовым организациям, объектам КИИ, транспортным и ритейл-компаниям, производству, ИТ-бизнесу. Они понимают, что информация о клиентах, персональные данные, технологии и ноу-хау стоят дороже, чем иные материальные активы. Эти данные не запрешь, как раньше, в сейф — сейчас они хранятся в цифре и перемещаются легче и незаметнее, чем бумага.
Государственные структуры хранят наиболее критичную информацию о гражданах, но защищены иногда хуже бизнеса. Например, медицинские организации, школы и университеты, пенсионные фонды и социальные службы. Сейчас ситуация меняется в лучшую сторону, но сделать предстоит еще много.
Приняты новые законы и нормативные акты, которые прямо указывают на необходимость внедрения и использования защитных решений. На подходе закон о штрафах за утечки данных.
Что касается небольших компаний — внедрение защитных решений им на данный момент часто не по карману. Но проблема утечек и внутреннего мошенничества есть, спрос есть. Руководство компаний среднего уровня начало понимать, что внедрение защиты от инсайдера — это не пустая трата денег, это инвестиции. Таким образом бизнес может экономить и обезопасить себя от утечек.
— Если даже у крупных компаний не все еще в порядке с защитой, как обеспечить информационную безопасность в сегменте малых и средних компаний?
— По нашему исследованию компании МСБ не используют защитные системы по трем основным причинам. Во-первых, не по карману закупка и внедрение ПО, оборудования. Во-вторых, дорого нанимать ИБ-специалиста в штат, нерентабельно для небольшого бизнеса. В-третьих, специалист по безопасности не идет работать в небольшую компанию: неинтересно, растеряет навыки.
Я долгое время говорил и в прессе, и в специализированных государственных комитетах, что государство должно помочь МСБ с обеспечением безопасности — субсидировать закупку ПО. Но сейчас дело не только в софте, но и в дефиците кадров. Поэтому мы пришли к идее аутсорсинга информационной безопасности. Когда заказчик получает услугу под ключ от специализированной компании. Мы в «СёрчИнформ» это направление активно развивали с конца 2019 года, а с 2023-го запустили франшизу.
Аутсорсинг ИБ по своей сути не отличается от уже привычного аутсорсинга бухуслуг. Компания-аутсорсер устанавливает защитное ПО (при необходимости предоставляет облачные мощности), настраивает, предоставляет ИБ-аналитика, который контролирует работу сотрудников за ПК, готовит отчеты с оговоренной регулярностью, об экстренных ситуациях оповещает клиента немедленно.
Существенным плюсом для небольших компаний будет демократичная стоимость услуги, а также отсутствие затрат на инфраструктуру и персонал. По нашим подсчетам, сейчас около 220 тыс. российских компаний могут стать потенциальными заказчиками этой услуги.
— А какие требования у крупных заказчиков к средствам ИБ? Что приходится дорабатывать под них?
— У крупных компаний сложная ИТ-инфраструктура, нагрузка на нее больше, поэтому подобным заказчикам важны стабильность и работоспособность софта. Также крупным компаниям важна скорость поиска утечки, так как необходимо обрабатывать информацию не с десяти компьютеров, а с условных 100 тыс. устройств. При этом стоит понимать, что системы начального уровня не подходят большим организациям, точно так же, как и системы максимального уровня для маленьких.
Мы работаем с крупными клиентами много лет, запросы от таких заказчиков часто индивидуальны. Но основной запрос касается производительности систем, уменьшения требований к железу и т. п.— это мы и совершенствуем в системах.
— Можете рассказать о специфических ИБ-проблемах, с которыми сталкиваются крупные компании?
— У крупных заказчиков иногда случаются кейсы, достойные экранизации в фильмах. Понятно, что у них есть и рядовые проблемы: халатность, откатные схемы, воровство, безделье. Но есть и ситуации, которые возможны только в большой компании.
У нашего клиента был кейс, когда DLP-система обнаружила сеть распространения наркотиков в логистической компании. Экспедитор делал закладки в грузовых машинах, которые позже развозили по всей России. Хорошо, что компания сама это обнаружила и сама вызвала представителей органов.
Подобных кейсов множество. Потому я всегда говорю, что внутренние угрозы — это не только утечки информации, но и мошенничество, воровство, подделка документов, взятки, «боковики», безделье сотрудников — масса различных нарушений.
— С какими проблемами сталкиваются сами разработчики информационной безопасности?
— Главная проблема компаний-разработчиков — это дефицит высококвалифицированных специалистов. Часть из тех, кто мог бы претендовать на должность, уехала из РФ; тех, кто остался, не хватает для всех компаний. Надежда, что после ухода зарубежных организаций из РФ на рынке окажется много доступных высококвалифицированных специалистов, не оправдалась. Уходящие с российского рынка компании, имевшие тут R&D-центры, забрали вместе с собой лучшие кадры, оставив на рынке специалистов второго и третьего классов. В связи с этим зарплаты высококвалифицированных специалистов начали сильно расти. Для вендоров это критично, ведь их затраты на 80% — это ФОТ. Логично, что в итоге это увеличивает конечную стоимость продукции.
Тем временем государство требует от разработчиков не повышать стоимость софта, что в теории выглядит правильно. Однако вместе с тем обсуждается возможность вернуть налог на прибыль для IT-компаний и даже увеличить его. Сейчас он нулевой, однако он может вернуться на уровень 20%. При таком подходе просто невозможно «заморозить» стоимость софта и не повышать ее. Компании будут вынуждены прекратить вкладывать в собственные разработки.
— Рассматриваете ли вы выход в другие страны? И какие перспективы у российского инфобеза за рубежом?
— Мы накопили достаточный опыт в России, закрепились на отечественном рынке как ведущий вендор ИБ-систем. И понимаем, что информационная безопасность — это одна из немногих отраслей, где Россия может побороться за мировое влияние. Потому мы активно выходим на рынки «дружественных» стран. В нашем активе — рынки СНГ, MENA, LATAM, Юго-Восточной Азии. Мы учитываем особенности этих регионов, поэтому дополнительно инвестируем в адаптацию продукта под некоторые страны и ожидаем хорошего результата в ближайшие пять лет.
СЕРЧИНФОРМ ООО
Реклама