Лев Матвеев: То, что успешно реализует SearchInform, конкуренты только начинают разрабатывать

На вопросы Anti-Malware.ru любезно согласился ответить Лев Матвеев, председатель совета директоров Группы компаний SearchInform. Это интервью продолжает цикл публикаций "Индустрия в лицах". 

SearchInform активно развивает свой основной продукт — «Контур информационной безопасности». Что бы вы могли выделить из ключевых новинок уходящего 2015 года?

Я бы выделил несколько ключевых моментов. В начале года мы выпустили ADSniffer, предназначенный для анализа событий журналов безопасности Active Directory. В AlertCenter добавили функционал оповещений об инцидентах, связанных с действиями системных администраторов, которые нарушают политики ИБ.

В 2015-м разработан новый аналитический модуль КИБ — SearchInform IncidentCenter. Он помогает при проведении расследований: позволяет создавать досье на сотрудников, в нем накапливается информация, полезная для контроля и работы с ними — контакты, увлечения, сильные и слабые стороны и пр.

В КИБ реализована поддержка сторонних систем распознавания текста — ABBYY SDK. Вместе с этой возможностью появилась категоризация изображений — разделение и отнесение их к тому или иному классу.

Добавили статистические запросы — новый аналитический инструмент, который осуществляет поиск по статистическим показателям атрибутивной информации. Реализовали шифрование пользовательских данных при записи на флешку. Принцип работы: все, что пишется сотрудниками на флеш-накопители, шифруется. Информация будет доступна только с заданных компьютеров и заданным пользователям. Если флешка будет потеряна или сотрудник захочет слить информацию на домашний компьютер, данные невозможно будет прочесть.

Также добавили Proxy — промежуточный сервер для накопления данных от агентов и последующей отправки их по расписанию, что значительно снизит нагрузку на канал связи.

В DeviceSniffer в 2015-м добавлена настройка защиты каталога — это позволяет защитить локальные диски и папки топ-менеджмента от просмотра и действий IT-специалистов, которые имеют права доступа администратора.

Кроме работ по КИБу, мы развивали и систему учета рабочего времени. В завершении года выпустили WorkTime Monitor 2.0 с полностью переработанным интерфейсом и несколькими ключевыми доработками. Ну и, конечно, много сил было отдано разработке SIEM.

Анонс вашего собственного SIEM вызвал много критики. Вы рассматриваете его как аналог HP ArcSight и IBM Qradar или только для решения каких-то узких задач?

Мы не делаем аналог какого-то западного продукта, мы делаем систему, которая решит задачи наших клиентов. А критика — это всего лишь реакция на вход на рынок сильного игрока. Мы такое уже проходили, когда выводили в 2006-м DLP.

Теперь конкретика: прежде чем принимать решение о работе над SIEM, мы поговорили с 20 крупными клиентами (порядка 3-5 тысяч машин). Выяснилось, что ни у кого из них ArcSight и Qradar толком не настроены и используется лишь малая часть потенциала систем. Все дело в сложности настроек и обслуживания ПО. Получается, продукт установлен, но выполняет лишь 10-20% своих задач. Это все равно, что использовать самолет для езды по трассе — возможность такая есть, но КПД кране низкий.

При этом в КИБ SearchInform уже была часть необходимого функционала: ADSniffer — контроль событий журналов Active Directory и FileSniffer — контроль операций с файлами, хранящимися на серверах и в общих сетевых папках. Были реализованы и отслеживание типового поведения, поиск по статистическим запросам.

Получается, многое, что требовалось для разработки SIEM, у нас есть, просто в КИБе эти функции были несколько инородными. Мы решили их вынести и добавить функционал, необходимый SIEM-системе.

Качественное отличие SeаrchInform Event Manager будет в том, что для работы с традиционной SIEM нужен подготовленный IT-специалист, который умеет писать скрипты, делать сложные выборки, создавать коннекторы и т. п. То есть безопасник работать с системой не сможет. Мы же планируем представить решение, работе с которым человек без специальных навыков сможет обучиться буквально за один день. У наших клиентов есть крайне критичный запрос: нужно контролировать администраторов, которые могут предоставить доступ к любой секретной информации просто по просьбе хорошего знакомого. Кто это будет делать, если с традиционной SIEM-системой могут иметь дело только сами сисадмины?

Еще одно принципиальное отличие — SearchInform Event Manager сможет собирать данные не только из стандартных для SIEM источников, но и получать их от агентов DLP-системы. Будет возможность интегрировать систему с КИБом. Вообще, мы планируем ряд ноу-хау, но подробности представим при официальном релизе проекта.

Еще одна проблема — западные SIEM недоступны среднему бизнесу, их может себе позволить только крупная организация. У нас же есть запросы и от среднего бизнеса — компаний, которым мы поставляем «Контур информационной безопасности». Ценообразование на нашу SIEM будет однозначно отличаться от западного, так что средний бизнес вполне сможет ее себе позволить.

Мы на данный момент ближе всех на российском рынке систем информационной безопасности к созданию собственной SIEM. Так почему бы не воспользоваться возможностью и не обойти конкурентов?

По сути, компания повторяет то же, что было сделано при выходе на рынок безопасности в 2006 году. Наши коллеги говорили, что внедрение DLP-системы — процесс невероятно сложный и долгий. Он должен идти от полугода до года. Наш КИБ ставится за один день, отдел внедрения плотно работает с заказчиком в течение недели-двух, помогает настроить систему и обучает пользователей. То есть клиент получает первые результаты сразу, а не в течение полугода. То же самое мы хотим сделать с SIEM — показать заказчику, что система упрощает ему жизнь, автоматизирует процессы, а не приносит дополнительные сложности.

Я думаю, многим непонятно, зачем вам SIEM. В чем состоит главная идея развития SearchInform в этом направлении?

Тут два основных мотива: в связи с курсом на импортозамещение ряд наших крупных клиентов отказывается от западных решений. У нас есть возможность предложить им продукт, который решит их задачи лучше и позволит работать удобнее.

Мы хотим выпустить отечественную SIEM, при этом не повторять чье-то решение, а сделать его качественно и по-другому. С SIEM традиционно работают IT-специалисты, а мы понимаем, что нужно безопасникам, и делаем систему, удобную для них.

Второй мотив — мы хотим покрывать рынок со всех сторон: у нас есть система контроля рабочего времени сотрудников — WorkTime Monitor, есть DLP-решение — «Контур информационной безопасности», а в скором времени будет и SIEM.

В индустрии к SearchInform часто можно встретить очень неоднозначное отношение. От скрытой нелюбви до откровенной агрессии. Чем вы так раздражаете конкурентов?

Мы играем по общим правилам, просто лидера всегда не любят. Мы опережаем многих конкурентов по количеству клиентов — у SearchInform их более 1 500 в 8 странах мира, «Контур информационной безопасности» контролирует около 1 млн компьютеров клиентов. Офисы компании находятся во всех федеральных округах РФ, а также в Казахстане, Республике Беларусь, Украине и Польше. Кстати, в этом году КИБ стал номинантом на Национальную премию в области импортозамещения «Приоритет-2015».

Что касается «нелюбви» к нам: мы не приходим к клиенту с красивыми словами и презентациями, мы приходим с решением проблемы. При этом не задираем неоправданно цены, но и не демпингуем. Ставим адекватную стоимость для качественного продукта. Для сравнения: если кто-то торгует запорожцами, а кто-то мерседесами, но по той же цене, производитель запорожцев наверняка будет недолюбливать торговца мерседесами. Отсюда и отношение.

Опять же, клиенты понимают, за что они платят, результат внедрения КИБ виден в первые же месяцы. Это не «наблюдение ради наблюдения», система указывает на конкретные проблемы и обеспечивает объективность управленческих решений.  В среднем, в первые месяцы после внедрения DLP наши клиенты увольняют от 0,2 до 1% сотрудников — за нарушения, инсайдерство, воровство. Бывают и крайние случаи: у одного клиента из 40 сотрудников отдела закупок были уволены 25 человек, сотрудники брали откаты и фактически работали против компании.

На российском рынке не так много производителей DLP-систем. Как вы считаете, что стратегически отличает вашу компанию и ПО от конкурентов?

Мы считаем себя технологическим лидером рынка, и большинство конкурентов следует за нами. Я уже довольно давно наблюдаю картину: мы внедряем в «Контур информационной безопасности» новую функциональность, через 2-3 года это делают конкуренты. Все логично: нужно время на подготовку, разработку и т. д. Мы же в это время идем вперед, также дорабатываем систему. Вот и получается, что опережаем конкурентов «во времени». То, что мы сделали и успешно реализуем, конкуренты еще только начинают разрабатывать.

Можете привести какие-то факты?

Легко. На прошлой неделе (на вашем, кстати, портале) были анонсированы новые модули InfoWatch EndPoint Security — Insight и Mobile Device Management. В «Контуре информационной безопасности» SearchInform эти технологии реализованы и работают с начала 2014 года. Более того, модуль Insight на данный момент является незаконченным решением, так как отслеживает только время, проведенное в ПО, но не на сайтах.

И это не первый случай: таким же образом выходил контроль Skype — мы выпустили SkypeSniffer в 2007 году, коллеги из InfoWatch начали контролировать этот канал в 2012-м.

Мы задаем тон не только в функционале продуктов. Простой пример — работа SearchInform с вузами. Мы начали ее в 2011 году, целью было качественное обучение студентов дисциплине «Информационная безопасность», формирование кадрового резерва для клиентов. При этом особенно не стремились рассказывать об этом широкой публике, просто делали.

Пару лет назад конкуренты поняли, что это необходимое взаимодействие, т. к. работе с DLP-системами студентов в вузах либо не обучают вообще, либо в лучшем случае проводят обзорную лекцию. Спустя 2,5 года после того как программу обучения в вузах запустили мы, первый договор заключили коллеги из InfoWatch. Это было в середине 2013 года.

Часто ли возникают откровенно конфликтные ситуации с конкурентами из-за крупных контрактов? Были ли на вашем опыте случаи откровенных угроз «а-ля лихие 90-е»?

Откровенных угроз не было, но случаи дезинформации клиентов, с рассылкой заведомо ложной информации о продуктах, происходили неоднократно. Мы не идем с этой клеветой в суд только потому, что она в какой-то мере работает и нам на пользу.

Клиенты перед принятием решения все равно тестируют несколько систем или    обращаются за разъяснениями к нам. В обоих случаях заказчик убеждается, что ему солгали, и перестает доверять вендору, который его дезинформировал.

За примером далеко ходить не нужно: буквально в марте этого года один из клиентов прислал нам вопиюще лживый документ авторства одного из сотрудников InfoWatch. Здесь уже отмалчиваться не стали — выложили подробный разбор письма в блоге (Прим. ред.: имеется в виду блог компании на SecurytyLab), этого оказалось достаточно, чтобы нападки на время прекратились.

Почему вендоры не готовы конкурировать за счет качества продуктов? И часто ли клиент реально готов выбирать лучший функционал?

Вопрос к конкурентам. Я много раз предлагал обменяться лицензиями с ключевыми игроками рынка. Но ответа не получил. Я и сейчас заявляю: давайте создадим независимое жюри и проведем честное сравнение. Мне обидно за клиентов: им каждый вендор предоставляет «удобную для себя» информацию. Попробуй разберись — что правда, а что просто громкое заявление.

Хотите, приведу яркий пример нечестности по отношению к клиенту? Когда мы пришли на рынок в 2006 году, некоторые вендоры просили за возможность тестирования около 5 000 долларов. Мы тогда заявили — нельзя брать деньги «за посмотреть». Человек должен попробовать продукт, прежде чем покупать, это его право. За такое отношение к делу нас и не любят (улыбается).

Вы затронули вопрос о сотрудничестве с вузами. Можете подробнее рассказать об этом? Зачем это вам, много ли средств уходит, как делите затраты с вузами?

С вузами мы работаем с 2011 года, на данный момент у нас партнерские отношения с 50 вузами, готовятся к подписанию еще 19 договоров. Добровольную сертификацию по программе SearchInform в 2015 году проходят 413 студентов.

По договору мы предоставляем вузу программное обеспечение, обучаем и сертифицируем преподавателя, который читает курс лекций. Запущена программа дистанционной сертификации студентов — это набор заданий, которые студент должен выполнить перед итоговым тестом. Тестирование проходит удаленно или очно. Наши специалисты выезжают в вузы по запросу, а также на торжественное вручение сертификатов студентам, успешно прошедшим испытания.

Зачем компании такие траты? SearchInform заинтересована в расширении рынка, у которого сейчас есть серьезная проблема, — нехватка квалифицированных кадров. Мы хотим, чтобы в России была сильная школа ИБ, и стараемся изменить ситуацию в лучшую сторону.

Кроме того, мы запустили в вузах биржу труда, к которой имеют доступ наши клиенты. Мы помогаем им с набором кадров. Быстрее находя сотрудников, клиенты быстрее расширяют количество лицензий.

Другими словами, вы делаете ставку на евангелизм, а не на заманивание в искусственные экспертные ассоциации и клубы?

Мы за экспертные сообщества, но, как вы правильно заметили, многие из них созданы не под задачи развития отрасли. Поэтому мы сами раз в год проводим закрытый форум по ИБ — SearchInform Forum. На нем собирается от 50 до 70 компаний, наши клиенты. Открыто разговаривать безопасники зачастую готовы только при закрытых дверях. Мы даем им такую возможность, идем дальше, чем просто поставка софта. Создаем из своих клиентов сообщество, чтобы они могли общаться, обмениваться опытом.

В этом году вы проводили очередное RoadShow. Каковы его итоги?

На данный момент готов поделиться только основными цифрами: конференция прошла в 25 городах России и СНГ, ее посетило 2 315 человек, анонимные анкеты-опросники заполнили 1707 специалистов. Подробное исследование с цифрами по отраслям, городам, с ответами на «больные» вопросы от безопасников-практиков мы обнародуем в конце января.

Интерес к DLP в регионах растет? Может ли это обеспечить устойчивый рост в ближайшие годы?

Интерес растет не только в регионах. Я бы сказал, что это происходит везде. Прогнозировать устойчивый рост при нынешних экономических условиях я бы не рискнул, но мы смотрим в будущее с оптимизмом. Покрывая рынок с трех сторон, мы создали максимально комфортные условия для дальнейшего развития компании.

Спасибо за интервью и успехов в бизнесе!