Интервью с Кириллом Викторовым, заместителем директора по развитию бизнеса компании «Инфосистемы Джет»

Интервью с Кириллом Викторовым, заместителем директора по развитию бизнеса компании «Инфосистемы Джет»

Кирилл Викторов

Родился в 1976 году в России. Окончил факультет высшей математики и кибернетики Московского Государственного Университета им. Ломоносова.

С 1997 года работает в ИТ-интеграции. Начинал свою карьеру инженером-программистом. В компании «Инфосистемы Джет» работает более 10 лет.

В настоящее время руководит несколькими бизнес - направлениями. Одно из этих направлений – развитие комплекса защиты от утечек информации "Дозор-Джет". Решение в течение нескольких лет занимает лидирующее положение на российском рынке DLP.

...

 На вопросы Anti-Malware.ru любезно согласился ответить Кирилл Викторов, заместитель директора по развитию бизнеса компании «Инфосистемы Джет», руководитель по развитию комплекса защиты от утечек информации «Дозор-Джет». Это интервью продолжает цикл публикаций "Индустрия в лицах".

Как показывают наши расчеты, в России наблюдается рост спроса на DLP-решения. Как вы оцениваете успехи вашей компании за прошедший год? Удалось ли вам достичь поставленных целей?

Да, рост спроса действительно отмечается; мы видим это через призму своих проектов. Количество контрактов и пилотных проектов, выполненных нашей компанией в прошлом году, значительно возросло в сравнении с 2010 годом - более чем на 50%. Это говорит, во-первых, об интересе к этой тематике, а во-вторых - о ее актуальности. Если говорить применительно к компании и оценивать ее успехи, то можно подтвердить, что компания достигла поставленных целей, и мы довольны итогами года по данному направлению.

На ваш взгляд,  каковы перспективы дальнейшего развития этого рынка?

Я прокомментировал бы так: интерес к этой тематике совершенно точно будет возрастать и в дальнейшем, поскольку к настоящему моменту накоплен первый опыт эксплуатации таких систем за несколько лет. Это значит, что владельцы будут модернизировать и развивать их, в то время как те компании, которые еще не развернули подобные продукты, будут внимательно наблюдать за имеющимися на рынке решениями и стараться их приобрести. Часть компаний будет стремиться найти на рынке такие услуги, которые позволят решить задачу по DLP, не осуществляя при этом никаких инвестиций. Думаю, что в данном случае возможны два варианта: либо в течение приблизительно двух лет в этом месте будет лакуна, либо рынок ответит неким предложением, которое будет заключаться, например, в следующем: кто-то из крупных операторов предложит DLP как услугу. С этим будет связано много юридических сложностей, но я допускаю, что их можно будет аккуратно решить. После этого компании, которые в настоящее время не готовы вложить значительные деньги в подобный проект, смогут получить услуги по решению задач по DLP. В первую очередь это касается всех тех организаций, к которым предъявляются требования по ФЗ-152 - например, туристических компаний, которые хранят персональные данные о своих клиентах, или частных клиник; они - первые потребители такой услуги. Если резюмировать, то, с одной стороны, крупный бизнес будет по-прежнему готов вкладываться в DLP-решения, а с другой стороны - средний и малый бизнес будут интересоваться, что можно сделать за небольшие деньги для того, чтобы соответствовать требованиям Федерального закона №152.

Несмотря на развитие технологий, далеко не все даже крупные предприятия развернули у себя DLP-системы.  Как вы считаете, почему все еще существует некоторое недоверие к автоматизированным системам контроля информации на предприятии?

Недоверие, на мой взгляд, существует в любой новой области ввиду недостаточной информированности. Сейчас количество информации на рынке постоянно возрастает, и в прошедшем году мы четко увидели, что заказчики уже очень хорошо разбираются в терминологии, неплохо понимают технологии, которые используются в решениях, и большинство представителей крупного бизнеса ушло от теории покупки продуктов по маркетинговым материалам. Теперь процесс выбора начинается с формулирования требований к системе; после этого они рассылаются крупнейшим игрокам рынка вместе с приглашением развернуть систему с указанной функциональностью на своей площадке в пилотной зоне. В результате этого компания получает представление о том, на что в действительности способен продукт, может ли он быть применимым на имеющейся инфраструктуре, а служба безопасности получает хорошее обоснование необходимости закупки такой системы. Очень часто в рамках пилотных проектов удается выйти на расследование инцидентов, получая результат за очень короткое время. Таким образом, заказчики наглядно видят эффективность такой системы; при наличии результатов они могут быть продемонстрированы топ-менеджменту или хозяевам компании, а, следовательно, вероятность одобрения закупки возрастает.

По вашему мнению, с учетом вашей многолетней практики на рынке, какие каналы утечки информации можно считать наиболее критичными?

Исторически - корпоративная почта. В данном случае ситуация не претерпела значительных изменений: люди нелояльны и невнимательны (в особенности те из них, кто сильно загружен работой), и в силу этого они отправляют документы, которые отсылать не следовало. Это первый канал. Второй канал - веб-почта наподобие Gmail, Mail.Ru, Яндекс.Почты и т.д. Известно мнение некоторых заказчиков, которые убеждены, что им удастся "перекрыть все" и избежать тем самым решения проблем контроля; но наличие у сотрудников мобильных телефонов, смартфонов и подобных носимых устройств разрушает эту теорию, поскольку если человеку неудобно работать, то он найдет способ работать так, как ему удобно. Условно говоря, если в любом банке сотруднику запрещают доступ на сайт "bankir.ru" или "banki.ru", в то время как он общается там на профессиональном форуме, то он будет делать это либо со своего смартфона, либо каким-то иным образом - в конце концов, принесет в организацию домашний ноутбук, подключит его к свободному Wi-Fi, который доступен ныне по всей Москве, и будет по-прежнему выполнять те задачи, которые ему нужны. К традиционным я также отношу те утечки, которые могут происходить через съемные носители - USB-флэшки и т.п. Как и в случае с корпоративной почтой, для контроля внешних устройств обстоятельства складываются, как правило, исторически лучше, нежели для других каналов: компании уже давно используют решения, которые закрывают какую-либо из представленных выше проблем. К каналам традиционным - корпоративной почте и внешнему webmail - добавились также социальные сети, форумы, мессенджеры (такие, как ICQ, MSN) и т.д.  В целом ничего фантастически нового, кроме задачи контроля мобильных корпоративных устройств, на мой взгляд, пока не появилось.

Какая информация в первую очередь должна контролироваться и защищаться?

Я отвечу так, как, мне кажется, ответило бы большинство: та информация, которая является для компании конфиденциальной, или та информация, которая может повлиять напрямую или опосредованно на стратегические планы компании. Системы этого класса на нашем рынке в первую очередь внедряются для решения двух задач – выявление корпоративных сговоров и контроль лояльности сотрудников. Об этом не принято говорить публично, но за последние несколько лет DLP-решения постоянно окупают себя, иногда даже с первого инцидента.

По вашему мнению, насколько имеющиеся на рынке DLP-решения по функциональным возможностям отвечают современным требованиям?

Мое мнение - в целом отвечают, если компания-заказчик подходит к выбору DLP взвешенно и не предпринимает попыток сразу же решить все проблемы и задачи. Многие начинают с того, что говорят: "вот у вас есть «меню» по опциям, по модулям, по пунктам, - давайте нам все". Это обычно не заканчивается успехом, поскольку приходится выполнять слишком большой объем работ, проект растягивается, исполнитель сталкивается со сложностями согласования при необходимости поменять что-либо в инфраструктуре... "Инфосистемы Джет", например, такие проекты не делает: мы всегда разбиваем их на этапы, и выполнение этих этапов занимает определенное время. Совместно с заказчиком мы выявляем те приоритеты, на которые нужно ориентироваться в первую очередь (приоритеты часто определяются по результатам пилотных внедрений); после этого готовится карта развития проекта, что позволяет последовательно решать поставленные задачи. Хотелось бы здесь же упомянуть и о технологиях, т.е. о том, отвечают ли они этим требованиям; "серебряной пули" на рынке нет, но тот набор функционала, который доступен, при правильной его эксплуатации позволяет решать все задачи, которые ставят перед нами заказчики.

Возможно ли в принципе защититься от утечек важной информации на все 100%?

Разве что если перекрыть все доступы в Интернет, отбирать на входе все мобильные телефоны и на выходе "очистить" мозг. На самом деле все, что мы можем сделать при эксплуатации системы DLP - это значительно снизить риски, поскольку голову человека невозможно очистить от информации, равно как и невозможно проконтролировать его поведение вне пределов организации. Именно поэтому при внедрении DLP значительное время уделяется серьезной работе с людьми, а не только внедрению соответствующих технологий. Современные DLP-проекты сопровождаются инструктажами или семинарами для персонала, и немалым объемом административной деятельности, которая позволяет «жить» системе в рамках закона.

На ваш взгляд, какие технологии контроля информации являются более перспективными: на уровне шлюза или непосредственно на пользовательских ПК?

Я думаю, что одно без другого не сможет существовать: с одной стороны, шлюз представляется очень логичным началом, но с другой стороны, на пользовательском компьютере выполняется много задач, так что технологически очень удобно и красиво обеспечить контроль именно там. Но, например, современные системы, которые предусматривают установку агентов на компьютеры, сталкиваются с тем, что в любой компании компьютерный парк обновляется урывками, непропорционально, и при внедрении выясняется, что предъявляемые требования к компьютеру не соответствуют тому, что реально имеется в распоряжении у компании - допустим, не хватает оперативной памяти. А количество всевозможных агентов, которые уже установлены на компьютере, часто бывает весьма значительным - начиная от антивирусов и заканчивая системами бэкапа. В итоге добавление еще и  DLP-агента часто приводит к тому, что компьютер начинает медленно работать; соответственно, человек прекращает работать эффективно. В этот момент все разговоры о безопасности заканчиваются, т.к. безопасность начинает мешать. В случае шлюза могут возникать аналогичные сложности: так, если мы не обеспечим отказоустойчивость системы, то в какой-то момент получим проблему - сетевой сервис будет недоступен, и IT-служба заявит, что служба безопасности своей системой вывела из строя тот или иной компонент в инфраструктуре. В силу этого технологии должны быть как можно более надежными, должны быть ближе к бизнесу и понятны ему; говорить же однозначно - "давайте выберем только шлюзовые решения", или "нет, давайте будем говорить только о решениях, основанных на агентах", - мне кажется, довольно бессмысленно. И то, и другое было бы хорошо.

В последнее время аналитики много говорят о проблеме мобильных устройств на предприятии. По их мнению, использование частных устройств сотрудников (ноутбуки, телефоны и планшеты) создает повышенный риск утечки информации. Согласны ли вы с этим мнением?

Полностью согласен. Все современные мобильные средства, которые имеются у сотрудников, - это дополнительный фактор рисков, связанных с ненадлежащим использованием корпоративной информации. Нужно ли с этим что-то делать? Я вижу один способ: необходимо повышать уровень информированности персонала. Если человек будет отдавать себе отчет в том, что своими действиями он может навредить компании, то, я думаю, люди будут внимательнее относиться к тем данным, с которыми они работают. Без этого мы вряд ли сможем добиться эффективности драконовскими ограничениями. Вообще тема Mobile Security является особой большой проблемой, и в рамках DLP ее рано или поздно придется решать. Часть компаний уже предпринимает попытки сделать это.

Как вы считаете, существует ли необходимость контроля трафика со смартфонов или личных ноутбуков при удаленной работе вне офиса? Если да, то как лучше это делать?

Необходимость существует. Тема сложная, но технологически решаемая. Я думаю, в этом случае организация работы будет выглядеть примерно следующим образом: если устройство корпоративное, то компания может организовывать соответствующий контроль при работе на этом устройстве. Основной риск в данном случае - потеря устройства, на котором находится информация. Если речь идет об устройствах топ-менеджеров, то чаще всего самыми ценными активами на них являются календарь и записная книжка. Все остальное стоит контролировать, но подходить к этому очень избирательно, поскольку компания-работодатель столкнется (и уже сталкивается) с рядом сложностей, связанных с защитой права на переписку, на частную жизнь и т.д. Поэтому без правильной юридической поддержки никакие подобные действия по контролю устройств сотрудников (которые являются корпоративными, я замечу) мы не сумеем осуществить. В свою очередь, не вполне ясно, как поступать с частными устройствами (вопрос в данном случае не о технологиях, а о морали). Если у человека частное устройство, и он передает с него корпоративную информацию, то в данном случае все сложно.

Сегодня очень модно говорить о гибридных технологиях, то есть когда несколько технологий используются одновременно, дополняя друг друга. Многие пытаются  применять этот подход в своих продуктах. Как вы к этому относитесь, имеет ли это смысл?

Мы реализовали такой подход в своем решении в 2008 году. В Дозоре появилась система пассивного перехвата сообщений. Ее основой является использование сигнатур для сетевого трафика того ПО, на котором работают, например, сервисы веб-почты и социальных сетей (mail.ru, odnoklassniki и др.). Регулярно происходят изменения в программном коде  публичных сервисов. Системы Заказчиков сообщают об этом и через очень короткое время в автоматическом режиме получают обновления. Обновления «раздаются» из облака. Такой подход позволяет держать системы Заказчиков в актуальном состоянии.,.На наш взгляд, это очень красиво, удачно, эффективно, и к тому же перспективно. Поэтому я - за гибридные технологии. Однако при этом очень высока цена ошибки, если люди, которые работают с "облаком", сделают что-либо неаккуратно. Учитывая современные тенденции, подобные действия могут послужить попаданию информации в социальные сети - а это очень удобная площадка не только для обмена информацией, но и для ее кражи.

Внедрение новых технологий и функционала обычно подразумевает релиз нового продукта. Однако для заказчиков важным остается вопрос внедрения новой версии, ведь это может сопровождаться нежелательными процессами повторного развертывания. Как вы считаете, возможна ли интеграция нового функционала в уже имеющиеся системы? Насколько это целесообразно?

В настоящее время одна из актуальных задач для всех, кто работает на рынке DLP, - интегрироваться с теми продуктами, которые уже есть у заказчика. Я думаю, что тот, кто сможет с этим справиться, сумеет получить преимущество на рынке: предлагать свой продукт, "убивая" при этом решение, которое было внедрено, допустим, три года назад, недальновидно, и это традиционно сталкивается со значительным сопротивлением как со стороны службы эксплуатации ИТ, так и со стороны финансовых служб. Если речь идет о том, чтобы не разрушить построенное другими, то я считаю, что интеграция - это единственный эффективный способ. Я могу привести пример: во многих компаниях давно реализованы системы контроля внешних носителей. Вендор, который сможет интегрироваться с этими системами, будет более успешен, чем тот, который придет и будет усиленно предлагать заменить систему своей - хоть она и более быстрая, и более комплексная, и вообще лучшая. Все умеют считать потраченные уже время и деньги, и первое, о чем они спрашивают и будут спрашивать, - возможность интеграции. Мне кажется, что это очередной тренд, который появился в прошлом году, и я полагаю, что в дальнейшем он будет развиваться. Если же говорить о собственной продукции, то наша компания развивает свой продукт, регулярно выпускает новые релизы, в них содержится новый функционал, но поддерживается также и старый. Вообще, на мой взгляд, у компании-заказчика должна быть возможность при необходимости "откатиться" на предыдущую версию при каких бы то ни было сложностях. Что-либо может пойти не так, не понравиться, а ведь система является критичной. Возможность вернуться обратно обязательно должна существовать.

Не так давно на рынок вышла новая версия «Дозор-Джет». Специалисты отмечают некоторую сложность в управлении и настройке для малознакомых с продуктом пользователей. Планируется ли как-то исправить этот недостаток в будущем и улучшить юзабилити продукта?

Мы постоянно улучшаем юзабилити: даже сейчас, в момент нашего разговора,  наши специалисты ведут такую работу. Мы активно занялись вопросами юзабилити в тот момент, когда поняли, что количество функционала, которое оказалось в системе, настолько велико, что им стало неудобно управлять. На мировом рынке существует мнение, что традиционно интерфейсы русских продуктов не интуитивно понятны, неудобны, а пальма первенства в юзабилити принадлежит американцам. Мы очень хотим сломать этот стереотип и иметь возможность говорить о том, что наш продукт интуитивно намного более понятен, чем предыдущие версии нашего же продукта (это уже положительная динамика), а также аргументированно заявлять, что мы конкурируем с большими американскими игроками. Улучшение интерфейса осуществляется постоянно, и мы идем по этому пути, проверяя то, что было спроектировано в интерфейсе, на лояльных нам заказчиках. Иными словами, мы приходим к таким заказчикам, показываем им прототипы системы (и части интерфейса в том числе) и просим помочь и оценить - ведь они работают с этим каждый день. Процесс работы анализируется вплоть до движения мышки, поскольку заказчику приходится обрабатывать много информации.

Некоторые специалисты упрекали «Дозор-Джет» в отсутствии контроля данных на уровне рабочих станций. Но не так давно появилась интеграция с Lumension Device Control, а также возможность контроля Skype. Насколько это оказалось востребовано на рынке?

Интеграция с Lumension востребована, так же, как и интеграция с DeviceLock и другими решениями по контролю внешних устройств. Контроль Skype - это то, о чем долго мечтали большие компании, но технические средства не позволяют "раскрыть" Skype - хотя на уровне агентов, установленных на рабочих станциях, такое возможно осуществить. Мы реализовали этот функционал, и он пользуется успехом.

Не могли бы вы немного рассказать нашим читателям о планах относительно следующей версии «Дозор Джет»? Какие новые функции и технологии будут использованы  в ней? Когда планируется ее релиз?

Новая версия характеризуется рядом отличительных особенностей. Так, повысилась производительность системы, улучшен контроль почтовых сообщений, контроль документов, подсистема анализа неструктурированных текстов; возросла эффективность метода "цифровых отпечатков". Кроме того, можно отметить более удобный интерфейс, а также уточненные и ускоренные поисковые алгоритмы. Релиз планируется выпустить в мае.

Как вы оцениваете развитие компании на будущее? Учитываются ли новые тенденции в технологиях в развитии продукта, какие технологии планируется реализовывать?

В настоящее время я смотрю на этот рынок с большим интересом и позитивным настроем, поскольку, во-первых, еще далеко не весь крупный бизнес выбрал для себя решения, а во-вторых, я очень четко вижу, что средний бизнес уже пытается решить похожие задачи - он просто не может заплатить много денег. И есть идеи, как можно помочь этому,. Поэтому мы очень внимательно наблюдаем за всеми новыми тенденциями в технологиях (речь идет об облачных платформах, о новых технологиях и алгоритмах анализа текстов, распознавании графиков, статистических алгоритмах), и те технологии, которые мы посчитаем успешными, а главное - эффективными, мы, безусловно, будем использовать и реализовывать в своих продуктах.

Cпасибо!