Рынок защиты от утечек данных сравнительно молод — ему чуть более десяти лет. Российская компания InfoWatch (в прошлом — дочернее предприятие «Лаборатории Касперского») была пионером в этом сегменте, приложила немало усилий для его формирования и до сих пор остается лидером. Несмотря на то что заказчики порой находят оригинальные, не предусмотренные разработчиком применения для систем DLP, основной рынок для этих решений по-прежнему узок. Определенную надежду на его расширение дает закон о персональных данных, для выполнения требований которого ФСТЭК в ближайшее время планирует включить системы защиты от утечек в разряд рекомендованных к использованию. О перспективах развития данного рынка рассказывает Наталья Касперская, генеральный директор InfoWatch.
Журнал сетевых решений/LAN: Почему на российском рынке средств защиты от утечек доминируют отечественные разработчики?
Наталья Касперская: Я считаю, что именно так и должно быть — причем не только в сегменте защиты от утечек. Ведь в России есть хорошая школа программирования, наши разработчики способны создавать продукты мирового уровня. Как раз в сегменте безопасности довольно много отечественных разработок, хотя, конечно, есть области, где ситуация весьма плачевна.
Рынок защиты от утечек в России, по сути, был сформирован компанией InfoWatch — мы занялись этим направлением еще в рамках «Лаборатории Касперского» в 2003 году. Тогда никто не думал, что такого рода ПО будет востребовано. Мы очень много усилий приложили к тому, чтобы объяснить, что есть утечки конфиденциальной информации и с ними надо бороться.
С 2004 года мы ведем статистику утечек. Со временем это начинание выросло в целый аналитический центр, который публикует несколько отчетов в год по разным странам, вертикальным рынкам и т. д. Раз в год мы проводим крупную специализированную конференцию по защите информации, участники организованного нами сообщества делятся опытом борьбы с утечками и прочими ИТ-угрозами для предприятий — вот только некоторые примеры наших усилий по формированию рынка.
И хотя со временем на рынке появилось много конкурентов, в том числе иностранных компаний, мы до сих пор лидируем в этом сегменте. Надо сказать, что не всем удается сохранить лидерство с ростом рынка — порой те, кто формирует рынок, вытесняются более агрессивными игроками, но мы пока держимся.
LAN: В этом нишевом сегменте работает немало компаний, и среди них пять российских. Почему так много?
Касперская: В свое время мы, видимо, настолько хорошо преуспели в раскрутке этой идеи [защиты от утечек], что некоторые компании сочли ее весьма привлекательной. На самом деле рынок действительно очень маленький, объемы продаж незначительны — около 50 млн долларов за 2013 год в ценах для заказчиков, и бороться особенно не за что. Наличие множества конкурентов при небольшом рынке создает сложности.
LAN: При внедрении InfoWatch Traffic Monitor предприятия стремятся достичь каких-то конкретных показателей KPI или просто хотят защититься «на всякий случай»?
Касперская: Заказчики все разные. Некоторые не очень понимают, зачем им нужна такая система. Другие же ставят вполне конкретные задачи, иногда такие, которые нам и в голову не приходят. Например, одна крупная нефтяная компания стала использовать InfoWatch Traffic Monitor в качестве системы контроля за человеческими ресурсами — в частности, за теми, кто собирается уволиться.
Поясню. В регионах есть уникальные специалисты: если такой человек покинет компанию, замену ему придется искать долго. Поэтому руководству хотелось бы заранее знать о его намерениях — поймать его за полу раньше, чем он положит заявление на стол, и предложить какие-то бонусы. InfoWatch Traffic Monitor позволяет решить эту задачу, хотя речь тут не идет о защите от утечек.
И таких клиентов, придумывающих разные нетипичные способы использования нашего продукта, немало.
LAN: Это все же побочные задачи, а при решении основной — защиты от утечек — ставятся ли конкретные цели в ходе внедрения системы?
Касперская: Вы имеете в виду, что сейчас случаются три утечки в квартал, а клиент хочет свести их количество к нулю? К сожалению, клиенты неохотно делятся результатами внедрения InfoWatch Traffic Monitor, так что нам даже референсы трудно получить. После настройки системы о ее дальнейшем использовании нам редко сообщается. Поэтому у нас даже на визитках написано «Because your data is your business» («Ваши данные — ваше дело») в том смысле, что мы не имеем никакого доступа к клиентским данным. О некоторых результатах нам известно, поскольку впоследствии к нам обращались за помощью при внесении изменений, о большинстве же мы не знаем ничего.
LAN: Заказчики осуществляют контроль за окупаемостью внедренного решения?
Касперская: Обязательно, и мы рекомендуем это делать. В первую очередь об этом заботятся заказчики из банковского сектора. Как правило, они отслеживают конкретные вещи — например, утечки баз данных клиентов: отток клиентов обычно является следствием ухода менеджера, прихватившего с собой клиентскую базу.
После установки нашей системы они ожидают, что этот процесс замедлится. Эффект от сохранения клиентов можно посчитать в деньгах — такое упражнение мы проделали с несколькими крупными банками и получили весьма показательные результаты. Так, утечка 1000 записей кредитных карт оценивается аналитиками в среднем в 20 млн рублей (прямые финансовые потери от ухода клиентов). Репутационные потери от утечки всего одной тысячи записей кредитных карт составят примерно 130 млн рублей. Таким образом, ущерб от единичного случая потери существенного объема критичной информации может составлять десятки и даже сотни миллионов рублей. В то же время стоимость внедрения и обслуживания системы защиты от утечек соизмерима с размером только прямых потерь от одного среднего инцидента.
Основные каналы утечек по данным аналитического центра InfoWatch, I полугодие 2014 |
LAN: Насколько справедливо утверждение, что InfoWatch Traffic Monitor защищает только от непредумышленных утечек данных? И как защититься от остальных?
Касперская: Системы DLP — не только InfoWatch Traffic Monitor — блокируют в основном непредумышленные утечки. Как устроена DLP? Это система мониторов, которые устанавливаются на каждый канал потенциальной утечки данных. Дальше информация анализируется на лету и либо блокируется, либо пропускается с одновременной отправкой сообщения офицеру безопасности, либо задерживается до принятия решения офицером безопасности.
Но надо понимать следующее. На некоторых каналах очень трудно реализовать блокировку. Например, если попытаться реализовать ее на мобильном устройстве, это может привести к его полной неработоспособности. Даже на рабочих станциях блокировка представляется рискованной, потому что обработка информации (особенно лингвистические технологии) чрезвычайно ресурсоемка. Поэтому она выполняется, как правило, на сервере.
Если злоумышленник знает о наличии системы DLP и знаком с принципами ее работы, то у него есть принципиальная возможность отправить информацию, хотя и с риском быть позднее обнаруженным. Особенно трудно обнаружить утечку, если перед отправкой файлы зашифровываются и переименовываются.
Не вдаваясь в дальнейшие подробности, замечу, что схемы обхода DLP существуют. Впрочем, это относится ко всем средствам защиты — их всегда можно обойти. Например, даже если в доме установлены хорошие дверные замки, всегда найдется тот, кто сможет их сломать, либо вор заберется через крышу или окно.
К сожалению, с умышленной кражей информации система DLP справляется хуже, поэтому использовать ее как панацею от всех видов утечек неправильно. Необходим комплексный подход. Мы всегда рекомендуем применять организационные меры — в частности, реализовать определенную методику работы с конфиденциальными документами: хранить их в предназначенных для этого местах, назначить ответственных за их безопасность, разграничить доступ, продумать регламенты использования шифрования и т. д.
Помимо организационных мер, следует использовать целый класс других продуктов. Система безопасности должна быть построена по принципу луковицы, каждый слой которой защищает от определенного вида угроз, и при этом слои перекрываются. Например, обязательно применение антивируса, так как информация может быть украдена с помощью троянских программ.
LAN: А можно ли автоматизировать защиту от кражи данных?
Касперская: Мы сейчас думаем над тем, как бороться с предумышленными утечками. Как только компании начали массово внедрять системы DLP, процент таких утечек резко возрос, поскольку случайные предотвращаются системой DLP. В результате становится очевидной проблема кражи информации. При отсутствии системы DLP о факте кражи (кто, куда, каким образом) вообще вряд ли узнали бы, а при наличии системы защиты от утечек можно провести расследование и выяснить, кто именно украл информацию.
Для защиты от краж данных необходима более сложная интеллектуальная система, которая отслеживала бы поведение человека и могла бы предугадывать некоторые его действия, блокируя утечку до того, как она произойдет. Пока я не могу сказать, в какой мере эта идея реализуема и не обернется ли она множеством ложных срабатываний. Тем не менее подобная система нами разрабатывается, но пока она находится еще на стадии предпрототипа. Если ее удастся реализовать, это будет новый шаг в обеспечении безопасности — выявление злоумышленника на основании его намерений.
LAN: Внедрение системы DLP представляет собой проект. Какой подход к ее продвижению, с вашей точки зрения, является правильным: этим должен заниматься сам разработчик или системный интегратор?
Касперская: Природа DLP такова, что вендор вынужден работать непосредственно с клиентом, потому что внедрение системы предполагает трудоемкий и сложный предварительный этап — так называемый pre-DLP, на котором строится модель угроз и определяются объекты для анализа. До некоторой степени этот этап может быть упрощен и сокращен за счет использования опыта, накопленного при выполнении предыдущих аналогичных проектов в определенном секторе, — так, основные задачи у банков совпадают. Благодаря этому можно использовать одни и те же словоформы (библиотеку контентной фильтрации).
Мы идем по пути вертикализации решений: пытаемся создать полуготовые блоки для конкретной вертикали. У нас есть DLP для банковского сектора, нефтегазовой отрасли, энергетики, телекоммуникационных операторов и т. д. — всего 13. Они отличаются разной степенью проработки. Лучше всего дело обстоит с заготовками для банковского сектора — здесь при реализации проекта стадия pre-DLP сводится к минимуму.
Для некоторых секторов экономики, например производства, такие заготовки вообще невозможны — кто-то производит машины, кто-то булочки, кто-то духи, то есть в каждом отдельном случае приходится делать свои предустановки. Но когда типизация возможна, мы стараемся идти по этому пути.
LAN: Среди ваших прямых конкурентов есть системные интеграторы, самостоятельно внедряющие свои системы защиты от утечек. Есть ли у них преимущество в отношении внедрения DLP?
Касперская: И да и нет. Да, потому что они, безусловно, фокусируются на крупных проектах, а мы все-таки больше специалисты в разработке. Хотя мы совершенствуемся в этой области. В 2007 году, когда я пришла в InfoWatch, отдел внедрения у нас был очень слабым. С тех пор он значительно расширился — сейчас в нем работает 25 очень квалифицированных инженеров, которые имеют опыт работы с самыми разными заказчиками. Процесс поставлен на поток, есть программа обучения и различные курсы. Система стала проще настолько, что мы пытаемся делегировать задачу внедрения партнерам и уже добились определенных успехов — пять-шесть наших партнеров (в 2013 году был только один) могут выполнять этап pre-DLP своими силами. Надеюсь, автоматизацию удастся довести до такого уровня, что партнер сможет осуществлять все внедрение самостоятельно.
Однако у интегратора как поставщика системы есть один определенный недостаток — мы работаем со многими партнерами, интегратор такой возможности лишен. Если какой-то заказчик взаимодействует с определенным интегратором, то другой интегратор со своим продуктом к такому заказчику не пробьется. Да и сам интегратор не станет продвигать решения другого интегратора.
LAN: Поможет ли опыт создания продукта для малого бизнеса InfoWatch Traffic Monitor Standard в работе над стандартизацией корпоративной версии?
Касперская: К сожалению, опыта создания продуктов для малого бизнеса у нас меньше — мы спускаемся сверху вниз, а не идем снизу вверх. Любой переход из сегмента в сегмент всегда очень сложен. В «Лаборатории Касперского» я пыталась выйти на корпоративный рынок из сегмента решений для домашних пользователей и малого бизнеса. В России за счет известности бренда каких-то успехов удалось добиться, но на мировом рынке продвигать это направление было крайне трудно. И по сути, «Лаборатория» в головах пользователей так и осталась розничным продуктом. В InfoWatch, наоборот, большое и сложное решение мы пытаемся как-то ужать до масштабов коробочного продукта. Пока это нам не вполне удалось.
InfoWatch Traffic Monitor Standard в некотором смысле компромисс между безопасностью, глубиной аналитики и простотой. С моей точки зрения, сделать более-менее качественный продукт для SMB можно при помощи стандартизации сценариев работы по отраслевым вертикалям. У нас уже есть InfoWatch Traffic Monitor Standard для банков, операторов и др. Полагаю, мы предпримем еще более глубокую детализацию — банковский набор 1, банковский набор 2, банковский набор 3. Выявленные задачи будем компоновать, осуществлять предустановки и предоставлять в виде готовых модулей. Это единственное, на мой взгляд, решение.
Проблема в том, что это невозможно сделать без клиента. Поэтому сначала все равно настройку приходится выполнять у клиента вручную, а потом этот опыт агрегировать и воплощать в продукте.
LAN: Но данное решение подходит скорее для среднего бизнеса, а не для малого...
Касперская: Безусловно. Про малый бизнес вообще речь не идет. Это решение для компаний от 100 (может, от 50) до 500 сотрудников. Сейчас мы в основном работаем с организациями, в штате которых свыше 500 человек. Клиентов с меньшим числом сотрудников у нас пока немного, а хотелось бы их иметь, поскольку в этом сегменте намного больше компаний. Но для этого необходимо создать «полукоробочный» вариант.
Что же касается совсем мелких предприятий, то устанавливать DLP для них нецелесообразно, так как в компании такого размера каждый человек на виду, а DLP — в любом случае решение дорогостоящее и сложное в эксплуатации. Вероятно, со временем, когда разработчики научатся делать виртуозные технологии автоматического перехвата, можно будет предложить что-то для совсем мелких компаний.
LAN: Защита от утечек со временем может стать таким же обязательным компонентом информационной безопасности, как и антивирус?
Касперская: Я не думаю, что система защиты от утечек получит очень широкое распространение, поскольку не всем нужно от них защищаться — у некоторых предприятий нет критической информации, либо они не считают ее настолько важной, чтобы специально защищать. Таких довольно много, особенно в малом бизнесе. Те сектора, где это действительно требуется, я уже перечислила, в остальных подобные решения не столь необходимы.
Однако я хотела бы обратить внимание на одну задачу, которая, скорее всего, будет важна для всех предприятий, — защиту персональных данных. Этого требует регулятор, и сейчас ФСТЭК разрабатывает документ, который, в частности, будет рекомендовать системы защиты от утечек к использованию российскими компаниями для реализации требований ФЗ № 152 («О персональных данных»). Мы уже разрабатываем систему, которая будет сфокусирована на защите персональных данных. Это еще одна возможность сократить предварительный этап внедрения (pre-DLP). Да, взаимодействовать с клиентом все равно придется, но с самого начала понятно, какие данные придется искать, то есть этап pre-DLP в этом случае минимален.
Есть определенные стандарты персональных данных (ПДн), которые эти данные описывают, стандарты хранения, значительное количество шаблонов — например, паспортов и других документов, которые относятся к ПДн. Все эти шаблоны заложены в продукт, и мы можем предложить клиенту готовый набор технологий для защиты ПДн. Это не InfoWatch Traffic Monitor в чистом виде, поскольку ряд технологий из продукта исключен, но взамен добавлены другие, ориентированные на ПДн. По сути это другой продукт на базе InfoWatch Traffic Monitor.
Мне кажется, такое решение заинтересует компании, у которых значительное количество сотрудников или клиентов, вследствие чего они подпадают под закон о защите ПДн — а такие законы есть практически во всех развитых странах.
LAN: В интернет-магазинах выбор продукта обычно сопровождается предложением «С этим продуктом покупают также…». Что из продуктов группы компаний InfoWatch внедряют вместе с InfoWatch Traffic Monitor?
Касперская: К сожалению, рынок DLP невелик и растет не теми темпами, какими бы нам хотелось, — взрывного роста так и не произошло, поэтому для поддержания своего существования приходится предлагать клиентам что-то еще. В результате у нас появились другие продукты, тем более что средства для инвестирования были.
Истории их появления разные. Так, мы решили, что было бы полезно иметь простое инфраструктурное решение для защиты конечных устройств наподобие DeviceLock, и приобрели продукт EndPoint Security вместе с компанией EgoSecure. Нам понравилось качество продукта, и сейчас мы используем его для входа на рынок SMB. Пока это удается с переменным успехом, зато получилось реализовать пару крупных проектов с InfoWatch EndPoint Security.
Другой продукт — система защиты от целевых атак. Он появился случайно. Группа молодых разработчиков предложила мне свою технологию защиты от вирусов, которая показалась интересной. В результате мы выделили проекту инвестиции. Когда стала актуальной тема защиты от целевых атак, выяснилось, что продукт идеально подходит для этой задачи. Решение предназначено исключительно для крупного бизнеса, поскольку небольшие компании мало кому интересны как объект атаки. Заказчики здесь те же самые, что и у DLP, поскольку лицо, принимающее решение, то же самое. Распространением продукта мы занялись только в середине прошлого года, пока идут пилотные проекты, готовых внедрений еще нет. Но, на мой взгляд, направление очень перспективное.
LAN: Насколько независимы или интегрированы эти продукты?
Касперская: У нас есть еще пара решений, но, честно говоря, мне не очень нравится, что их так много. В некотором смысле это ведет к расфокусировке бизнеса. Я вообще хочу объединить их в два блока — предлагать защиту инфраструктуры (включая защиту от целевых атак, сканер уязвимости исходного кода, InfoWatch EndPoint Security) и контентный анализ (включая Web-фильтры, анализ внешнего окружения и т. д.).
К слову, анализ содержания — сложная задача, но технологий у нас достаточно. Каким будет результат — один продукт или набор продуктов, пока сказать трудно. Скорее всего, некоторый набор, но именно в рамках контентной защиты, которую мы можем предложить с точки зрения аналитики. Я думаю, это будет система в стиле Business Intelligence с целью управления безопасностью предприятия.
LAN: В одном из интервью вы сказали, что «использование иностранного ПО заключает в себе определенные риски». Но и на других рынках российское программное обеспечение в области безопасности может быть воспринято как риск. Каковы в этом контексте перспективы InfoWatch по продвижению на зарубежных рынках?
Касперская: Наши продукты никакой угрозы не несут. Мы честны и разрабатываем продукты без закладок. И, как я уже говорила выше, продукты наши отделены от нас и не поставляют нам обратно никакой информации от клиентов в отличие, например, от антивирусов.
Вместе с тем практически все инфраструктурные продукты в мире — американские. На Ближнем Востоке и в Азии в целом многие компании понимают, что использование средств информационной безопасности от американских же вендоров делает эти регионы незащищенными. Применение средств безопасности собственной разработки было бы хорошим вариантом, но на Ближнем Востоке нет ни одного разработчика в этой области. Да, конечно, есть израильские разработчики, но для арабов это не вариант. Хорошего европейского ПО немного, а в области утечек вообще нет. Поэтому альтернативы российским средствам у них нет.
Но даже на Западе далеко не все стремятся использовать исключительно американское. Например, тема импортозамещения широко обсуждается в Германии в связи со скандалом вокруг Сноудена. И в этом контексте российская система вполне себе может быть конкурентоспособной.
Поэтому я считаю, сейчас имеется хорошая возможность продвижения наших технологий в другие страны. Для импорта в Западную Европу и США момент, конечно, не лучший, но для выхода на все остальные рынки, которые к тому же быстро растут, он весьма благоприятный.