Интервью с Вениамином Левцовым, директором департамента развития LETA IT-company

Интервью с  Вениамином Левцовым, директором департамента развития LETA IT-company

Вениамин Левцов родился в 1970 году в городе Фрунзе.

В 1996 году окончил факультет Вычислительной Математики и Кибернетики МГУ им. Ломоносова, а в 2000 году - Юридический факультет МГУ.

Более семи лет Вениамин Левцов проработал в группе компаний ГАРАНТ, где с нуля организовал работу отдела по обслуживанию иностранных компаний. Работая в московском филиале банка «Креди Лионе», Вениамин Левцов занимался обеспечением и развитием сервисов «банк-клиент» и интернет-банкинга. Более 5-ти лет Вениамин Левцов был вовлечен в работу, связанную с управлением продуктами и продуктовым маркетингом в компаниях ABBYY и ЗАО «Лаборатория Касперского», где с 2004 по 2007 год занимал должность Директора по продуктам.

В настоящее время Вениамин Левцов руководит Департаментом развития LETA IT-company.

...

Рынок средств защиты от утечки конфиденциальной информации в России активно развивается. Появляются новые игроки и новые продукты, а к бизнесу приходит все большее понимание необходимости внедрения у себя DLP-продуктов.

Чтобы разобраться в текущеей ситуации мы решили поговорить с Вениамином Левцовым, руководителем департамента развития LETA IT-company, одного из ведущих системных интеграторов работающих на этом рынке. Интервью с Виниамином продолжает цикл публикаций "Индустрия в лицах".

1. Каково на ваш взгляд текущее состояние рынка решений для защиты от утечек конфиденциальной информации (Data Leakage Prevention - DLP) в России? Существует ли он вообще или все еще находится на стадии становления?

Рынок систем защиты от утечек конфиденциальной информации в России находится в положении «низкий старт» и готов к очень серьезному рывку.

Первая волна интереса к решениям такого рода возникла в 2005-2007 годах в результате титанических усилий компании InfoWatch. В короткие сроки компания создала новый для рынка продукт, проделала гигантскую работу для продвижения идеи защиты от инсайдеров техническими средствами. Вследствие такой гиперактивности слово InfoWatch для рынка стало более знакомым, чем термин DLP.

Возможно, многие со мной не согласятся, но в результате рынок немного от всего этого устал. Некоторые технические сложности реализации проектов на базе InfoWatch в сочетании с активным маркетингом вызвали падение доверия и к решению как таковому, и к классу продуктов в целом. Мы были тому свидетелями в последние полтора года.

В 2008 году рынок перестал быть полем одного игрока, и началась здоровая конкуренция, а у заказчиков появилась реальная возможность выбора. Именно это подстегнуло интерес к DLP-системам. С февраля этого года я участвовал более чем в шестидесяти пресейлах DLP-решений, а наши технические семинары собирают полные залы заинтересованных клиентов. Итак, мое мнение: рынок находится у подножия второй волны, которая несет рынку потенциал роста как минимум на ближайшие 5 лет.

2. Есть ли у российского бизнеса понимание необходимости внедрения подобного рода решений?

На ранних стадиях интерес к DLP высказывали лишь энтузиасты, преимущественно технические специалисты. Кроме прочих факторов, ими двигало здоровое любопытство. Но это время прошло. Сейчас мы постоянно сталкиваемся с тем, что именно бизнес является инициатором разработки и внедрения решений.

Крупные компании, как правило, формулируют свой интерес в терминах управления рисками информационной безопасности. Средние и небольшие компании отталкиваются от более узких, более утилитарных задач. Но бизнес уже не надо убеждать в остроте проблемы.

3. А кстати, насколько сам термин «DLP» прижился на отечественном рынке?

Его приходится использовать, потому что он короткий и уже более-менее известный. Но термин ужасный, на самом деле.

Посудите сами... Data loss prevention - cистема предотвращения потерь данных. Но ведь на деле данные не теряются, не исчезают! Вариант Data leak prevention - система предотвращения утечек данных - не лучше. Обычно под утечкой понимают тайную передачу отдельных фактов. Но главная беда в том, что утечка - не технический термин! Не вполне понятно, что он означает с точки зрения сценария работы информационной системы.

Гораздо правильнее говорить о системе контроля перемещения данных (Data Move Control). К слову, именно этим термином (перемещение) оперировали специалисты компании «Периметрикс» на своем стартовом показе на выставке Infosecurity-2008. И это правильно - для пользы дела лучше сразу отталкиваться от точного понимания реального назначения продукта.

4. LETA - один из наиболее активных интеграторов на DLP-рынке в России. За счет чего вам удается конкурировать с более крупными компаниями?

LETA имеет партнерские статусы пяти вендоров, представляющих DLP-решения в России. Все решения установлены на тестовом стенде, доступны для демонстрации потенциальным клиентам. И мы действительно предоставляем клиенту возможность подобрать оптимальное для него решение. Итак, наше главное преимущество - подбор решения с участием профессиональной команды инженеров и менеджеров по продуктам.

Второе: за годы работы сформировался пакет типовой проектной документации, а также методики оказания сопутствующих сервисов и подготовки стандартных пилотных проектов. Возможность использовать предыдущие наработки дает более низкую стоимость последующих проектов.

При этом мне кажется, что самое важное для клиента - это возможность на ранней стадии работы услышать адекватную оценку стоимости проекта, пусть самую приблизительную. Понимаете, это ужасно, когда в ответ на вопрос «Примерно сколько?» звучит ответ «Не знаем даже примерно». Наш опыт позволяет нам сразу, на самых ранних стадиях, сообщать примерные ценовые и временные горизонты. Это оказывается мощнейшим фактором, стимулирующим принятие решения о запуске проекта.

5. InfoWatch продолжает оставаться лидером рынка DLP в России. Каковы ваши прогнозы, сохранится ли это лидерство в будущем?

InfoWatch действительно продолжает оставаться в лидерах. По моей оценке, не менее 70% оборота на DLP-рынке в России в 2008 году - это сделки с участием продуктов компании InfoWatch. Но я полагаю, что с 2009 года доля прямых ее конкурентов будет расти стремительно. К слову, не стоит забывать и о непрямых конкурентах, об RMS, о решениях для архивирования и контроля почты и о продуктах класса «контроль внешних устройств». Так что времена для InfoWatch наступают непростые. Но лично я как патриот своей страны очень надеюсь, что InfoWatch не сдаст рынок западным решениям, а все же найдет силы на развитие. И коснется это, в первую очередь, технической составляющей их продуктов.

6. Как, по-вашему, будет развиваться дальнейшая конкурентная борьба на этом рынке?

Она будет жесткой - спрос оформился, сообщество подготовлено, почти все мировые игроки уже работают в России. Я позволю себе предположить следующий сценарий развития конкурентной борьбы.

В сегменте «5000 узлов и выше» основная борьба развернется между Symantec Vontu и Websense DSS. Сложно сказать, кто захватит лидерство, думаю, продукты поделят этот сегмент примерно поровну, возможно, с небольшим перевесом в пользу Symantec. Мощная клиентская база в этом сегменте, наличие ресурсов представительства в России, впечатляющий список успешных проектов в крупнейших мировых компаниях - это очень серьезные предпосылки успеха.

С другой стороны, компания Websense первым начала активное проникновение на наш рынок с DLP-решением. У нее также очень серьезная база инсталляций флагманских решений в сфере web-безопасности, да и продукт у компании отменный, обладающий, пожалуй, наиболее полным DLP функционалом на данный момент. И кстати, в сегменте «1000-5000 узлов», я думаю, что именно Websense в результате окажется лидером в России, разделяя успех с InfoWatch.

В сегменте небольших компаний, интерес которых к DLP уже очевиден, есть очень хорошие шансы на успех у решения компании McAfee. Оно простое в развертывании и настройке, демократичное по цене и несет широкий функционал. Окончательно прогноз по перспективам продукта McAfee можно будет дать только после того, как прояснится механизм интеграции существующего решения с недавно приобретенным Reconnex. Кстати, я бы не стал записывать продукт McAfee только в решение для SMB. Уверен, что в других сегментах оно тоже найдет приверженцев, особенно среди тех, кто уже использует антивирус от McAfee.

Думаю, в этом же сегменте поборется за свою долю и решение от Trend Micro. По моим оценкам, этот сегмент вообще обладает очень хорошим потенциалом - 20-30 миллионов долларов на ближайшие 3 года. 1000 российских заказчиков со средней ценой проекта в 25 тысяч долларов там точно наберется.

7. Не секрет, что самым главным двигателем мирового DLP-рынка являются законодательные требования. Именно появление нормативных актов вроде HIIPA и SOX дало мощный толчок развитию рынка. До недавнего времени у нас не было законодательной базы, которая обязывала бы компании разворачивать DLP-решения. Что-то меняется в этом вопросе?

На самом деле, ни серия стандартов Центрального Банка России СТО БР ИББС, ни PCI DSS, ни закон о персональных данных не несут четкого императивного требования внедрить системы защиты от утечек конфиденциальной информации. Хотя кое-что там имеется. Например, известная статья 19 закона о персональных данных гласит: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Обращаю внимание - распространения! Оператор сам вправе определять технические средства для реализации требований закона и вправе внедрить DLP-систему для борьбы с несанкционированным распространением персональных данных. Да, это не единственное средство, наличие которого будет интересовать орган власти, проводящий проверку оператора. Но наличие такой системы, безусловно, будет положительно отмечено при возможной проверке.

8. Лидеры мирового DLP-рынка, такие как Vontu, Reconnex, Provilla были поглощены антивирусными компаниями. В последнее время много говорится об интеграции классических средств защиты от внешних угроз c DLP-функционалом. В новых продуктах эта тенденция находит отражение?

Да. Мне известно о планах Symantec обогатить новые версии ряда своих продуктов DLP-функционалом. В решение Symantec Endpoint Protection будет встроен агент DLP. Также в другие существующие решения Symantec будет добавлен функционал проверки хранения конфиденциальных документов на файловых серверах, почтовых хранилищах и в резервных копиях. Должна произойти также некая интеграция со шлюзовым решением для проверки корпоративной почты, ну а управлять агентами научится Altiris. В целом, эта интеграция направлена, в первую очередь, на упрощение развёртывания. При этом само решение Vontu DLP, к счастью, сохраняется как самостоятельный продукт.

Пока мне не очень понятно, как будет интегрировано решение Reconnex в продукты McAfee. Скорее всего, будет реализовано управление с помощью McAfee ePolicy Orchestrator (ePO), возможно, появятся интегрированные отчеты. Теоретически шлюзовое решение, отслеживающее, в том числе, и почтовые протоколы, может быть для каких-то целей интегрировано с антивирусной защитой почтового трафика, но будет ли это реализовано - предполагать пока сложно.

Также мне неизвестно о какой-либо интеграции нового продукта LeakProof, созданного на базе решения Provilla, с антивирусными продуктами Trend Micro. LeakProof имеет собственную веб-консоль управления и настройки, не связанные с антивирусом. В перспективе возможна интеграция на уровне агентов на конечной станции.

К слову, другое важное направление интеграции пролегает между DLP-решением и системой web-фильтрации. По этому пути сейчас довольно успешно идет лидер рынка web-безопасности Websense.

9. И все же, на ваш взгляд, насколько перспективной является интеграция антивируса и DLP?

Важнейшая и неотъемлемая часть DLP-решения - это агент, который контролирует действия с конфиденциальной информацией на рабочей станции. Он отслеживает задания на печать, сохранение на флешки, формирование сообщений в IM и т.д. Полагаю, что с точки зрения минимизации нагрузки на ресурсы конечной станции, программной совместимости и развития функционала перехвата операций - объединение антивирусного и DLP агентов оправдано.

Польза для клиента также очевидна. Представьте, что в компании уже установлен антивирус от того же вендора, что и приобретаемое DLP. Если при этом процесс установки сведется к активации скрытого ранее функционала в уже развернутом агенте - это не может не порадовать. Кроме того, так будет гораздо проще, в одной консоли контролировать текущий статус агента, распространять обновления и т.д.

Вообще, обогатив персональный антивирус функционалом слежения за конфиденциальной информацией, мы получим скорее что-то вроде антивируса с возможностью управления USB-флешками. Это не будет этапом внедрения полноценного решения для борьбы с утечками данных, но свой рынок такое решение, безусловно, найдет.

10. Сохранятся ли отдельные (stand-alone) DLP-продукты как класс?

Сохранятся, и, боюсь, именно отдельные DLP-продукты будут доминировать на рынке в ближайшие 3 года. Попробую объяснить, почему, на мой взгляд, интеграция функционала борьбы с утечками в антивирусное решение не приживётся на рынке.

Дело в том, что антивирусы и DLP-продукты продаются по-разному.

Понимаете, антивирус является основой информационной безопасности любой компании, он нужен всем. У продавца нет нужды говорить о том, зачем нужен классический антивирус для рабочей станции, от каких угроз он защищает. Можно помочь клиенту определиться с выбором антивируса и затем провести поставку. Можно продать какие-то дополнительные услуги, вроде подготовки частной политики использования антивирусной защиты. Но суть процесса останется прежней - это отгрузка лицензий.

С DLP-системой так не получится: придется убеждать, преодолевать недоверие к новому классу решений, обосновывать необходимость, продавать сервисы, без которых решение попросту не заработает. Как видите, это не отгрузка лицензий, это очень непростая, растянутая по времени продажа решения корпоративного уровня. Готов ли к таким продажам антивирусный канал? Не думаю.

Давайте не будем забывать о том, что антивирус - это, по сути, технический сервис. Его главная задача - обеспечивать техническую функцию защиты информационной системы от вредоносного кода. Непосредственным заказчиком тут выступает подразделение, которое отвечает за бесперебойное функционирование информационных сервисов, необходимых для бизнеса.

А DLP - это бизнес-решение. И покупает его непосредственно бизнес. И это предполагает совершенно иной цикл продажи, иной уровень преподнесения информации о решении, вовлечение продавцов другого класса. Проекты по DLP развиваются как бизнес-проекты, а не как внедрение технического средства защиты.

Теперь давайте посмотрим на ситуацию с другой стороны. Представьте, что клиент приобрел (продлил) антивирусный пакет и обнаружил в нем функции контроля за перемещением информации. Для того, чтобы этот новый функционал заработал, надо, например, выделить и утвердить (!) виды конфиденциальной информации, определить и утвердить (!) матрицу прав сотрудников и еще много-много всякого... Коротко говоря, придется, по сути, инициировать внедрение системы борьбы с утечками. Уверен, что подразделение, отвечающее за надлежащую эксплуатацию антивируса, не будет даже пытаться запустить этот процесс.

11. Практически всегда в рамках всевозможных круглых столов по проблеме борьбы с утечками данных поднимается вопрос о DLP-системах для небольших предприятий. Ведь по-прежнему небольшим компаниям не под силу запустить подобный проект. Когда, по-вашему, появится решение для них?

Они есть на нашем рынке! Просто участники дискуссий не всегда о них знают. Возьмите тот же McAfee DLP. В сети на 100 узлов реально развернуть отличное решение для контроля утечек стоимостью 10 тысяч долларов в срок около 1 месяца. По-моему, это вполне подъемная цена и адекватный срок. Конечно, придется дополнительно инвестировать какие-то средства в подготовку рубрикатора конфиденциальной информации, провести несколько семинаров (для персонала и технических служб), написать частную политику обращения конфиденциальной информации. Но эти траты не столь существенны для компании такого масштаба.

12. Итак, внедрение системы по борьбе с утечками данных - это длительный процесс, проходящий в масштабах предприятия, который требует порой пересмотра многих бизнес-процессов. Вы поддерживаете это мнение?

Внедрить InfoWatch или Vontu с положительным результатом, не выходя из IT-департамента, невозможно. С этим спорить глупо. Но мой опыт подсказывает, что изначальная установка на глубокую реорганизацию каких-то бизнес-процессов губительно сказывается на перспективах DLP-проекта. Бизнес-подразделения обычно отказываются по команде предоставлять списки конфиденциальных документов, тратить время на описание сочетаний полей баз данных, которые необходимо отслеживать. Бизнес по определению не настроен отрываться от своего основного занятия. Поэтому искусство эффективного запуска DLP-проекта как раз и заключается в том, чтобы провести первый этап внедрения и показать какой-то результат без серьезного вовлечения бизнеса.

13. Значит, полноценный DLP-проект может развиваться без оказания существенного влияния на бизнес?

Если вы обратили внимание, я сказал, что проект может быть запущен без существенного влияния на бизнес, однако в дальнейшем какие-то важные процессы, безусловно, будут затронуты. Поверьте, после первой же зафиксированной утечки, которую обнаружит DLP-решение, бизнес-руководители сами попросят вас подготовить предложение о пересмотре бизнес-процессов. Именно поэтому важнейшей и необходимой стадией DLP-проекта я считаю пилотный запуск.

14. Какие факторы наиболее важны для запуска успешного пилотного проекта?

По нашему опыту можно выделить несколько главных принципов успешного запуска проекта .

Первое: никаких тестовых сред. Запускать надо только на реальной информационной системе компании и реальных документах.

Второе: только мониторинг. Случайная ошибочная блокировка важного письма генерального директора может убить проект на взлете.

Третье: секретность. Сотрудники не должны быть осведомлены о запуске системы.

Четвертое: срочность. У DLP проектов есть негативный налет «долгостроя». Максимальный срок запуска и тестирования не должен превышать трех месяцев, что вполне реально при работе с большинством представленных продуктов.

15. Исходя из вашего опыта, какой функционал вы рекомендовали бы реализовать в продуктах основных игроков рынка?

Консоли управления решений должны отражать основные процессы. Сейчас же это скорее просто совокупность отдельных инструментов. Откровенно говоря, проводить показы таких решений - это целое искусство. Наши инженеры постоянно скатываются в детали каких-то настроек J. Понимаете, процессы не находят отражения в интерфейсах.

Надо разделить интерфейсы настройки и эксплуатации. Это совершенно разные функции и совершенно разное использование этих данных.

Кстати, я думаю, преимущество на рынке самых крупных клиентов получит тот продукт, в котором четко и внятно будут прописаны механизмы разделения полномочий и интерфейсов офицера безопасности как пользователя системы и ее администратора. Первый задает логику работы и отслеживает отчеты. Второй отвечает лишь за технические аспекты эксплуатации и его возможности влиять на настройки правил контроля и формирования отчетов должны быть строго ограничены. Клиенты хотят именно этого!

Кроме того, следует более четко реализовывать механизмы эксплуатации систем в условиях распределенной инфраструктуры.

И отдельное пожелание для продуктов InfoWatch. Настройка по ключевым терминам - процесс длительный, и, строго говоря, не вполне понятно, когда его завершать. Т.е. в какой момент множество ключевых слов для данного документа может считаться достаточным. Будет здорово, если в будущих версиях продукта появится некая среда отладки, позволяющая в удобном и простом интерфейсе «играть» с множеством этих характеристических терминов. Добавили слово, нажали на кнопку, получили от системы ответ в виде посчитанного уровня проработки описания. К слову, для отдельных категорий такие термины могут предлагаться вообще автоматически.

16. На что следует обращать внимание потенциальным заказчикам DLP-решений? Как подходить к выбору продукта? Какие ставить цели для проекта в целом?

Если опустить общие установки, ставшие едва ли не банальностями, вроде поддержки руководства и достаточного финансирования, то я бы выделил несколько пунктов.

Первое: иметь адекватное ожидание от проекта. Система предотвращения неконтролируемого перемещения конфиденциальной информации может существенно снизить уровень риска утечки, но не может исключить его вовсе. На деле, достичь приемлемого для бизнеса уровня защиты более чем реально. Поэтому самое важное - так сформировать ожидания от внедрения у всех участников проекта, чтобы избежать разочарования.

Второе: вовлечь экспертов и изучить различные варианты решения стоящих задач. Следует использовать все возможности для знакомства с разными DLP-продуктами и смежными решениями. Кто знает, может вам вообще лучше всего подойдет Microsoft RMS или EMC IRM?

Третье: всегда начинать с технического пилота.

И четвертое: использовать итерационный подход в построении «боевой» защиты от утечек. Стоит выбрать 1 основной канал утечек, несколько сотен конфиденциальных документов, 1-2 базы данных, выбрать 1 филиал и провести для этой среды полноценное внедрение DLP решения. Сократится срок, снизятся траты, бизнес быстрее увидит результат, а проект гораздо проще будет затем распространить на все каналы, все виды данных и всю организацию.

Как видите, советы просты, следовать им несложно.

Замечательно то, что у заказчиков теперь есть возможность выбирать, а у интеграторов уже накоплен проектный опыт. Поверьте, мы обречены на все большее количество успешных внедрений DLP систем в самом ближайшем будущем.

Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: популярные интервью на Anti-Malware.ru