Лев Матвеев: В большинстве компаний не знают, где и какие файлы хранятся; как тогда их защищать?

Лев Матвеев: В большинстве компаний не знают, где и какие файлы хранятся; как тогда их защищать?

Лев Матвеев

Окончил Минский радиотехнический институт в 1993 году, специальность — инженер-программист. Автор ряда патентов в области обработки неструктурированной информации. На разных этапах карьеры возглавлял ИТ-компании численностью от 30 до 500 человек. В 1995 году основал собственную компанию. В настоящий момент — председатель совета директоров «СёрчИнформ».

Спикер на мероприятиях в сфере ИБ, основатель ежегодного Road Show SearchInform — серии образовательных конференций для специалистов сферы ИБ.

Член правления НП РУССОФТ, основатель Комитета по ИБ в рамках РУССОФТ. Член АРПП «Отечественный софт», ассоциации независимых разработчиков ПО ISDEF (Independent Software Developers Forum).

...

Anti-Malware.ru провёл беседу с председателем совета директоров компании «СёрчИнформ» Львом Матвеевым. Речь пошла о способах борьбы с беспорядком в файловых системах и о том, почему DCAP-решения до сих пор не стали привычным инструментом. Лев Матвеев уверен, что FileAuditor в связке с DLP-системой изменит эту ситуацию и позволит решить проблему аудита файловых систем не только у крупных заказчиков, но и в секторе малого и среднего бизнеса.

Лев, все привыкли к тому, что DLP — главный инструмент для защиты от утечек информации. И вот вы выпустили и развиваете другой продукт — FileAuditor — как ещё одно решение для защиты информации от внутренних угроз. Объясните, в чём его необходимость, какие задачи не закрывает DLP?

Л. М.: С задачами, которые стоят перед DLP, система справляется. И даже больше того — функциональные возможности современных продуктов давно превзошли задачи, которые первоначально ставили перед DLP-решениями заказчики. Системы незаменимы, чтобы контролировать, куда перемещается информация, если нужно — заблокировать передачу и провести полное расследование инцидента. Таким образом, DLP — это базовая программа для защиты информации от утечек, то есть любого её перемещения.

Но многие ИБ-инциденты — это не перемещение информации, а несанкционированный доступ к ней.

Когда число документов множится в геометрической прогрессии, сложно вручную отследить, защищены ли конфиденциальные файлы, в правильных ли местах они хранятся, какие документы лежат на машинах сотрудников и почему. Частично задачи мониторинга наша DLP решала — благодаря модулю «Индексация рабочих станций». Но чтобы обеспечить полноценную защиту файлов, нужна DCAP-система, наш FileAuditor относится к этому классу систем.

Какие функции по защите данных выполняет FileAuditor?

Л. М.: Первое, что делает система, — это сканирование, то есть, по сути, «уборку». В общем документообороте находит файлы, которые содержат критическую информацию, присваивает соответствующую метку.

Система проводит аудит прав доступа, делает теневые копии критически важных файлов, найденных на ПК, сервере или в сетевых папках, и сохраняет историю их редакций. Это полезно для расследований инцидентов и для восстановления потерянной информации, если, например, какому-то пользователю придёт в голову удалить из мести какие-нибудь файлы.

Программа также отслеживает все операции, которые с этими файлами производят. Кто создал, отредактировал, переместил, удалил — всё что угодно.

И новая функция системы — блокировка по меткам, которой нет у наших конкурентов.

Давайте подробнее поговорим про блокировки и то, чем они отличаются от реализации у конкурентов.

Л. М.: Блокировка по меткам — это запрет на нежелательные действия с документами и передачу их в любом произвольном приложении. Как я говорил, наш «файловый аудитор» при сканировании присваивает документам метки в зависимости от их содержания (коммерческая тайна, ПДн, техническая информация и так далее). По этим меткам можно настроить разрешения и запреты: каким пользователям, за какими ПК и в каких приложениях можно открывать и изменять файл.

Например, нужно вам, чтобы менеджеры по продажам могли работать с персональными данными клиентов только на своих компьютерах и не могли пересылать по некорпоративным каналам; вы можете прописать это в правиле. И если сотрудник будет пытаться переслать ПДн, например, в Skype, мессенджер просто не прикрепит вложения.

Или другой пример. Сотрудники с доступом часто перекладывают конфиденциальную информацию из доверенных папок в общедоступные — просто для удобства. Так число копий множится без какого-то контроля. FileAuditor, во-первых, увидит эту картину, а во-вторых, не допустит, чтобы сотрудники без доступа могли даже открыть конфиденциальный файл.

Метки имеют большое значение и для работы DLP, их наличие позволяет мгновенно блокировать утечку конфиденциальных данных. Чтобы понять, насколько важен документ, DLP просто проверяет его метку, а не содержимое каждого файла, как делают традиционные блокировки «в разрыв». Это позволяет не перегружать систему. Блокировка по меткам реализована в нашей DLP «СёрчИнформ КИБ».

Для каких компаний подходит FileAuditor?

Л. М.: Сейчас у нас есть клиенты изо всех отраслей. Но первые пользователи — это банки и другие финансовые организации, торговые компании, государственные. У них много персональных и платёжных данных клиентов, чаще всего им вообще не нужно объяснять, зачем нужна DCAP-система.

В других компаниях сначала могут недопонимать, насколько применимо для них решение. Но когда видят результаты теста, уже не сомневаются.

Решение — универсальное, потому что в любом бизнесе документы хранятся в цифровом виде.

Расскажу одну историю от нашего отдела внедрения. Клиент колебался. Специалист ему подсказала: давайте, мол, посмотрим, как много у вас в компании по компьютерам разбросано файлов с паролями. Он был убеждён, что такого быть просто не может, потому что в компании следят за тем, чтобы люди не хранили пароли в открытом виде. А когда увидел, что на десятках компьютеров такие файлики хранятся, очень озадачился. Без нашего FileAuditor он бы этого не обнаружил. Да и сами пользователи часто забывают, что создавали такие файлы «на всякий случай», злоумышленникам это может быть очень кстати.

Отечественных DCAP-систем — единицы, а насколько FileAuditor конкурентоспособен по сравнению с «иностранцами»?

Л. М.: Мы выпустили FileAuditor на рынок только в 2019 году, но он очень быстро нагнал в функциональности. Всё-таки у него за плечами большое наследие в виде флагманского продукта — DLP-системы, её мощный движок мы используем и в новом продукте. Поиск по неструктурированной информации — это наша сильная сторона.

Стратегия была в том, чтобы выбрать наиболее важные для заказчиков функции и реализовать их за доступные деньги. Мы ориентировались на классические представления о том, что должен уметь софт: учли требования рынка и регуляторов.

Но нашим заказчикам всегда виднее, насколько мы конкурентоспособны. Два года назад в одной корпорации мы проводили функциональное тестирование, компания рассматривала вариант замены зарубежного решения на наш FileAuditor. В итоге тест показал, что мы закрывали 73 % задач, которые заказчик ставил перед тем зарубежным решением.

Это, напомню, два года назад. Сейчас можно уверенно говорить, что большинство потребностей российских заказчиков мы закрываем. А за счёт того, что «файловый аудитор» интегрируется с другими решениями, он больше «иностранцев» подходит российским заказчикам.

Возможность бесшовной интеграции FileAuditor и нашей DLP-системы для многих заказчиков становится решающим фактором.

Почему?

Л. М.: Приведу пример нашего клиента, который, собственно, и был первым заказчиком FileAuditor. Ему было важно поставить такое DCAP-решение, которое интегрировалось бы с уже работающими системами в компании.

Они рассматривали программы, которые были на рынке, пытались настроить интеграцию, но в полной мере этого не получалось. А если нет бесшовной интеграции, то это как включать технику в доме с десятка разных пультов — один потерялся, у другого села батарея, третий вообще сломан. С одним универсальным гораздо удобнее и быстрее.

Сейчас в этой компании выстроили внутреннюю защиту в нашей «экосистеме», как это теперь модно называть. То есть вокруг «СёрчИнформ КИБ». Подход через интеграцию позволяет сделать так, чтобы специалист работал с разными системами в едином интерфейсе, не тратил время на то, чтобы переучиться. Но главное — то, что зона применения интегрированного продукта гораздо больше, данные из одной системы уточняют данные другой.

В большинстве компаний не знают, где и какие файлы хранятся; как тогда их защищать?

Делаешь аудит — уточняешь политики безопасности. Это работает и в обратную сторону. Зная, какие инциденты обнаруживает DLP, делаешь выводы, как лучше выстроить порядок в БД и файловых серверах.

И, кстати, важный момент: DLP-система — сама по себе многофункциональный комбайн, интегрируется с множеством сторонних решений. Самые очевидные примеры — это SIEM, СКУД, системы расчёта зарплаты, различные бизнес-системы BI и многие другие. То есть это — такой мозговой центр, в принципе. Такая синергия работает не только на безопасность, но и на бизнес-интересы.

Есть ли какие-то другие преимущества перед иностранными решениями?

Л. М.: Наше ПО гораздо лучше поддерживает русский язык, что важно для аналитики по документам в российских компаниях.

Второй момент — российское решение гораздо удобнее. Наличие внедрения, инженеров, техподдержки рядом — это критически важно. Мы всегда говорим, что уделяем внимание качеству техподдержки, и наши постоянные клиенты это хорошо знают.

Третье — мы доступнее по цене. Давайте я открыто скажу, чтобы не ходить вокруг да около. Один из самых известных игроков класса вообще не доступен никому из российских компаний, кроме крупнейших корпораций. Это — такой «жёсткий энтерпрайз», они даже не начинают разговор с потенциальным клиентом, если у него меньше 300 тысяч долларов.

И последний момент — отечественная принадлежность очень важна. Если компания обрабатывает и хранит персональные данные, она в принципе не имеет права пользоваться DCAP-системами, которые не сертифицированы на 4-й уровень доверия. Он требуется, если ПО работает с ПДн. У иностранных разработок нет такой сертификации. Для этого нужно было бы передать исходный код на проверку, зарубежные вендоры на это не идут.

Куда, по-вашему, будет двигаться отрасль дальше?

Л. М.: Могу говорить только про свою часть рынка. Планка в ИБ поднимается и продолжит подниматься. Риски утечек данных растут. Всё то, что касается персональных данных, сейчас под пристальным вниманием, поэтому регуляторы неизбежно будут ужесточать меры контроля. Больше такие инциденты не утаишь — каждая новость про утечку попадает в СМИ или к блогерам.

При этом корпоративные данные терять тоже всё дороже. Прошли времена дешёвой валюты, быстрых заработков, лёгкой конкуренции. Всё, что компании сейчас имеют, все наработки, клиентские базы, технологии — всё это нужно беречь.

Такая ситуация требует нормальной зрелой защиты, которая состоит из комплекса решений.

DLP-система стала привычной частью защитной ИТ-инфраструктуры. Компании понимают, зачем она нужна, как быстро окупится. А тут я могу отсылаться к словам наших клиентов — окупаемость часто происходит в считаные месяцы. То есть у компаний сложился успешный опыт применения этой системы.

Но комплексная защита предполагает, что нужно защищать и файловые хранилища, базы данных, видеть полную картину. DCAP, DAM, SIEM — все эти решения из продвинутых банковской сферы, ритейла постепенно распространяются дальше и приживаются. Как и DLP, в течение нескольких лет они станут привычной практикой.

Хочу закончить разговор провокационным вопросом. Количество информации в компаниях растёт в геометрической прогрессии; реально ли в принципе обеспечить защиту от утечек информации?

Л. М.: Когда всё — в «цифре», полностью защищённую инфраструктуру создать нельзя, но можно создать максимально защищённую. Есть большая разница в том, как организована безопасность в разных компаниях. В одной — нормально, и её данные в даркнете не обнаружишь. В другой — спустя рукава, и про неё всё время слышно: то одно утекло, то другое.

Конечно, всё бывает. И владельцы «мерседесов» тоже попадают в аварии, хотя это самая безопасная машина в мире. И если бы производитель «мерседеса» не стремился к максимальной безопасности, аварий было бы больше в разы.

Самая защищённая компания тоже не застрахована от инцидентов. Бывают ошибки администраторов, бывает, что компанию атакует суперподготовленный хакер или инсайдер. Но 90 % инцидентов — совсем не такие, компании могут быть защищёнными от большинства, а число вот этих самых сложных можно сводить к нулю.

Есть ещё один фактор. Чудеса сами собой не случаются. Защитные решения не работают как замок — закрыл и будь спокоен.

С программами нужно работать, и многое зависит от квалификации ИБ-специалистов.

Спасибо за интервью. Желаю успехов!