Игорь Ляпунов: Рынок DLP — уже давно не соревнование, кто первым добежит до заказчика

Игорь Ляпунов: Рынок DLP — уже давно не соревнование, кто первым добежит до заказчика

Ляпунов Игорь Валентинович

Профессиональная карьера началась в 1997 году в компании «ЛАНИТ» с позиции системного администратора. В 1999 году возглавил департамент информационной безопасности, под его руководством развивались услуги компании по внедрению систем сетевой безопасности и антивирусной защиты, защите каналов связи. 

В 2005 году покинул компанию «ЛАНИТ» и перешел на позицию директора департамента систем безопасности в компанию «Ай Эс Джи» (Integrated Services Group). 

С 2008 года работал в компании «Инфосистемы Джет» и руководил центром информационной безопасности. В его задачи входило развитие бизнеса компании в области построения систем информационной безопасности, продвижение и продажа решений по ИБ, построение и развитие системы продаж услуг, организация и развитие собственного производства, а также управление персоналом. 

С марта 2015 года возглавляет компанию Solar Security. Являясь генеральным директором, отвечает за развитие компании в целом, курирует каждое продуктовое и сервисное направление, построение партнерской сети, маркетинг и продажи. 

За 19 лет стажа в области информационной безопасности под его руководством было выполнено более ста масштабных территориально распределенных проектов по информационной безопасности в интересах федеральных и коммерческих структур. 

...

На вопросы аналитического центра Anti-Malware.ru любезно согласился ответить Игорь Ляпунов, генеральный директор Solar Security. Это интервью продолжает цикл публикаций «Индустрия в лицах».

Понятие DLP часто употребляется в широком смысле. Защита от утечек — это совсем не то, за что в реальности в России покупают DLP. Как сейчас, на ваш взгляд, правильно толковать понятие DLP, если говорить о концепции 2.0 или 3.0, что туда входит?

И. Л.: На мой взгляд, не совсем верно говорить, что тема защиты от утечек не актуальна, это не так. Сейчас она очень востребована, и из года в год она становится все более востребованной, потому что ценность информации как таковой для бизнеса, для компании нисколько не уменьшается. Может, это прозвучит банально, но ценность информации с каждым годом повышается и, следовательно, ее нужно защищать.

Если говорить про DLP, то оно, конечно, шире простых утечек. Утечка — это что? Это означает, что документ пересек границу организации. Есть еще большой пласт задач, которые покрываются современными DLP-системами — контроль того, как живет информация внутри организации, где документы хранятся, кому они передаются, кто реально имеет к ним доступ. И здесь мы наблюдаем скорее такую тенденцию сращивания DLP с системами управления доступом, в частности, с IDM-системами. Сущность, которую они защищают, одна — это информация, информационный объект. С одной стороны, нужно понимать, как она движется, и это делают современные DLP-системы, с другой — нужно управлять доступом к ней: анализировать, кому можно, кому нельзя, кому предоставлено, кому нет.

Сейчас мы видим сквозные сценарии при защите информации, информационных объектов, которые требуют интеграции DLP- и IDM-систем. Например, информационные потоки сотрудников, имеющих высокие привилегии в информационной системе, и отправляемая ими информация должны более четко, более строго контролироваться.

На мой взгляд, очень продуктивное направление развития — когда вы встраиваете DLP-систему не просто как шлюзовое решение, защищающее периметр, а как часть общей картины управления доступом в организации и контроля информации.

Ведутся ли сейчас какие-то работы по интеграции Solar Dozor и Solar inRights на уровне общей логики?

И. Л.: Да, мы сейчас идем в сторону комплексного покрытия проблемы защиты информации, информационных объектов. Мы довольно много усилий тратим на взаимную интеграцию продуктов. Например, досье по сотрудникам обогащаем данными по правам их доступа, предоставленными из IDM-системы. И в обратную сторону, из DLP-системы отдаем какую-то информацию внутрь IDM. Мы уверены, что это верное направление, и оно будет востребовано рынком.

Вторая половина DLP, которая уже не про информацию и информационные объекты, а скорее про людей, — это то, куда сейчас перенацеливаются не столько вендоры и производители DLP-систем, а потребности заказчиков. И это понятно. С одной стороны, DLP — это контроль коммуникаций: все, что пишут сотрудники, аккуратно мониторится, складывается. И это такая богатая история, из которой можно не только видеть работу с информацией, но и можно выявлять действия сотрудников, наносящих экономический ущерб организации. Мы называем это внутренним мошенничеством, корпоративным воровством. Мы видим всю подноготную сотрудников, можем автоматически анализировать, поднимать информацию через системы класса DLP, но это совсем уже другой функционал, это не защита от утечек, это защита экономических интересов компании.

Если говорить про изначальное развитие рынка, то направление DLP развивалось на западе со стороны комплаенса, а у нас же это была такая игрушка для безопасников: искать по архивам, выявлять инциденты уже по факту. Если исключить из этого сращивание с IDM, то все равно получается, что в России DLP до сих пор используется как элемент аналитики, эта тенденция будет меняться? Увеличивается ли количество  заказчиков, которые смотрят на режим работы «в разрыв» и на блокировку?

И. Л.: Могу сказать — это данные нашей статистики, —  как используют системы заказчики. Порядка 40% наших заказчиков используют DLP-систему для защиты конфиденциальной информации и около половины из них ставят систему «в разрыв», могут останавливать письма, содержащие конфиденциальную информацию, могут их реконструировать — заменять конфиденциальные куски бан-текстом или еще чем-то.

40% —  это довольно много.

И. Л.: Да. Но, тем не менее, большая часть кейсов использования, которые мы видим, — это контроль коммуникации сотрудников, их анализ и выводы уже в несколько другой плоскости: действительно ли они столь лояльны к организации, не ведут ли они собственной коммерческой деятельности, нет ли конфликта интересов.

Такие задачи решались всегда, но если раньше некоторые службы ИБ отводили почтовый поток в отдельный почтовый ящик, а потом руками листали эти письма, то сейчас физически невозможно их все пролистать – объем переписки сотрудников колоссальный. Сотрудник пишет в почте, скайпе, в мессенджерах, он все время что-то пишет, генерит трафик. А задачу решать нужно. Поэтому мы, конечно, основной упор делаем на глубокой аналитике, на том, чтобы можно было автоматизированно разбирать и делать правильные выводы из огромных массивов информации.

Какие требования в этом контексте предъявляются к аналитической составляющей DLP-системы?

И. Л.: Тут есть два ключевых момента. Первое — DLP-система редко может сразу сказать: «внутреннее мошенничество», «коррупция», «откат»! Никто из здравомыслящих людей (хотя есть безумные) не пишет в почту: «Я помогу тебе выиграть конкурс за 15%» (смеется). Ничего такого нет. Любое такое общение лежит, как правило, вне плоскости переписки. В переписке мы видим только некоторые косвенные признаки, намеки, что между людьми есть что-то. Пример: IT-менеджер регулярно покупает какую-то технику, и тут он пишет своему поставщику: «Мы оплатили счет такой-то, вот платежка». На что тот отвечает через час, через день или два в обратную сторону: «Давай встретимся» или «Будешь проезжать мимо, не проезжай». Мирно, ничего такого, но это то, за что взгляд службы ИБ должен зацепиться. Есть какие-то поведенческие нюансы, возникновение аномального общения с «кривыми» емейл-адресами: blablabla@gmailc.om. Мы в своем продукте реализуем технологии выявления косвенных признаков и аномального поведения сотрудников.

Второе — подняли красный флажок, что-то происходит не так!  Давайте теперь проведем расследование, посмотрим, что же реально было. И мы предоставляем такие инструменты расследования: раскадровки переписки, агрегация всей информации по человеку в досье, гибкие инструменты поиска, преднастроенные поисковые запросы, поиски по нечетким критериям, и это все позволяет достаточно быстро аналитику безопасности понять — это ложное срабатывание, а это действительно требует усилий. Но потом, как в любой безопасности, из информационного поля это быстро превращается в систему некоторых оперативных мероприятий. Все безопасники умеют подтверждать или не подтверждать противоправные действия сотрудников. Мы даем средства для проведения расследования. Это основная задача, которую сейчас решает DLP-система.

В Dozor 6.0 появились рейтинги, оценки лояльности или вредоносности сотрудников, так называемая скоринговая модель оценки сотрудников. Это в том числе должно облегчить работу офицерам безопасности. Есть примеры из практики успешного использования таких рейтингов?

И. Л.: Например, в компании пять тысяч сотрудников. Может ли служба ИБ всерьез их контролировать? Каждого из пяти тысяч сотрудников? Конечно, не может. Наша цель — дать возможность службе ИБ сфокусироваться на наиболее «опасных» группах риска, за которыми нужно следить. В группы риска чаще всего попадают люди, которые только пришли на работу, либо находятся в процессе увольнения, информация по ним поступает автоматически из кадровой системы, закупки, сбыта и пр.

Другой категорией людей, попадающих в группу риска, могут стать сотрудники с повышенными привилегиями в информационных системах, либо сотрудники, по каким-то другим признакам отнесенные к данной группе. Наша задача — увидеть эти группы риска и установить над ними контроль.

Скоринговые оценки сотрудников — один из инструментов для формирования групп риска. Любая скоринговая модель, как и любая модель вообще, — неточна. Тем не менее, она позволяет с пяти тысяч сотрудников сфокусироваться на ста сотрудниках. И вообще безопасники любят (да и все мы любим) к кому-то приложить линейку, сказать, что это вот 8 баллов из 10, а это 3 балла из 10. Надо на что-то опираться, на какую-то систему координат. Нельзя сравнивать умных и красивых, и в этом смысле наш показатель уровня доверия — это измеритель: к этим людям нужно относиться более настороженно, а этим — вполне можно доверять.

Топ-менеджеры обычно в какую категорию попадают? Бывает, что в высокую группу риска? Или они вообще требуют исключить их из мониторинга?

И. Л.: DLP — штука сложная. Если смотреть на DLP со стороны безопасности — да, надо всех срочно контролировать. Если смотреть на DLP с точки зрения руководителя бизнеса, то фактически DLP — это аккуратно уложенное, структурированное хранилище очень чувствительной информации. И до конца никто не может гарантировать, что она находится в правильных руках. Любая, даже безобидная информация при «правильной» подаче может вернуться тем еще бумерангом.

Иногда необходимо исключать из мониторинга руководителей или ключевых людей компании, чтобы информация, связанная с их деятельностью, не попадала в общее хранилище и не подвергалась дополнительному риску.

Если переходить к рынку, как за последние год-два меняется спрос, динамика рынка, конкуренция, прочие вещи?

И. Л.: Вообще рынок отличный! В нем есть турбулентность, взлеты, падения, которые позволяют получить опыт жизни, крутой экспириенс. Рынок безопасности, с моей точки зрения, уже два года как на низком старте: вот-вот дадут сигнальный выстрел, и все направления безопасности пойдут по экспоненте вверх, потому что вопросы безопасности все более заметны на уровне бизнеса. Кража денег из «Металлинвестбанка», утечки информации, Панама, Сноуден два года назад — все это греет головы бизнес-руководителей. Думаю, в конце концов они начнут воспринимать ИБ как видимую у них на радаре задачу, что и позволит безопасникам расправить плечи. Не знаю, будет это хорошо или плохо для бизнеса (скорее всего, сначала плохо, потом более цивилизованно), но даст рынку серьезный толчок.

DLP, наверное, два последних года становится таким стандартом де-факто: DLP надо, без DLP уже и неприлично. Для рынка DLP это хорошо, ведь он встал в ряд стандартных средств защиты: фаерволов, антивирусов — это плюс. Конкуренция на рынке сейчас очень серьезная — и честная, и нечестная, она гораздо выше, чем 5 лет назад. Я не беру в расчет тех, кто пытается просто прислониться к рынку DLP: все эти системы контроля рабочего времени — это не DLP, они просто пытаются под этим флагом идти на рынок DLP.

У тех, кто серьезно много лет занимается DLP, решения стали многократно более зрелыми технологически, с точки зрения юзабилити хорошо подтянулись, и конкурировать в этом смысле  интересно. Это уже не «кто быстрее добежит до заказчика»: каждый заказчик знает, что нужно протестировать и этих, и этих, и этих. Каждый заказчик хочет посмотреть всех, кто реально есть на рынке. Каждый раз это соревнование пилотных команд, технологическое соревнование — это круто, это интересно, это заставляет всех собраться, быть в тонусе. Рынок точно расслабляться не дает. Сейчас заказчики смотрят не на комплаенс, бумажки или сертификаты, а на реальную работу.

Не так давно считалось, что рынок DLP сформирован за счет крупных компаний, и большого роста рынку не прогнозировали. Тем не менее мы видим, что рынок DLP растет дальше, и достаточно неплохо. Возникает вопрос: что обеспечивает этот рост, какие новые группы клиентов подключаются?

И. Л.: Про рост рынка можно рассуждать более широко. У меня впечатление, что все поставщики прошлись по топ-100 компаний России, в каждой отвоевали тендер, порвали друг другу волосы, убили маржу, что-то заработали. Дальше есть пласт компаний от топ-100 до топ-500, которые сейчас с точки зрения информатизации сильно поднялись, безопасность стала востребованной, эти компании влились вторым дыханием в рынок.

Рынок интересный. Я продолжаю быть уверенным, что к насыщению рынка мы придем только года через два.

Двузначного роста рынка на 20-30% в ближайшие годы точно не будет?

И. Л.: Кто знает — может, и будет. Нередко было так, что люди покупали DLP, но не эксплуатировали. Мы часто видим: люди купили DLP 4-5 лет назад, когда был первый шум на тему DLP, а сейчас эти решения просто лежат на полке. Людям зачастую нужна новая рабочая система несмотря на то, что они уже давно что-то купили.

Много всего недолицензированного. Заказчик покупает систему на 100 пользователей, а реально у него 500, и это число прирастает, причем достаточно быстро.

Второй момент: думаю, года через 2-3 сервисная модель рынок сильно поменяет. Я верю, что заказчики начнут покупать гораздо больше софта и безопасности в сервисной модели или в модели подписок.

Сервисная модель DLP будет иметь место в будущем?

И. Л.: Я считаю, что аутсорсить DLP-систему практически никто не будет. Отдавать и так очень чувствительную информацию на сторону провайдера немногие решатся. Мы должны сильно вырасти и повзрослеть как рынок, чтобы заказчик начал доверять провайдеру больше, чем своим сотрудникам. Хотя я, например, считаю, что провайдеру зачастую стоит доверять существенно больше, но мы к этому будем идти лет 5-7-10.

А развиваться сейчас будут сервисная и подписочная модели покупки. Когда платишь не один раз и много, а каждый год какую-то фиксированную сумму.

В сегментах малого и среднего бизнеса есть неограниченный потенциал для роста рынка. Но эти компании, как правило, не совсем технически и организационно готовы к внедрению и использованию DLP-систем. Многие из них активно используют облачные сервисы, и перспективным становится вопрос эксплуатации облачного DLP. Такая модель потенциально будет востребована в России?

И. Л.: Если говорить про отечественный рынок SMB, то он пока находится в стадии формирования. 

В России охват SMB-рынка DLP-решениями пока сильно отстает от ведущих стран. Не хочу говорить плохого, но во многом это связано с тем, что интеграторы-поставщики решений очень не любят работать с SMB.

Скажем, наша компания небольшая — 160 человек, деньги за каждую IT-систему, которую мы планируем внедрить, мы платим свои. Если кто-то приходит нам что-то предлагать, то, во-первых, мы его сильно прожмем по деньгам, во-вторых, в тот момент, когда он все-таки получит от нас деньги, начнет работать, то результата мы от него добьемся максимального. Не все привыкли работать за небольшие деньги со стопроцентной отдачей. Поэтому SMB — это достаточно сложный рынок.  

Интеллектуальной собственности у предприятий за последние лет 20 накопилось очень много, и все понимают, что ее нужно защищать. Даже если на большом предприятии всего 10 компьютеров, всегда есть какая-то интеллектуальная собственность, базы данных, технологии, ноу-хау, которые нужно защищать. Как будет решаться эта задача в будущем?

И. Л.: Тут нужно отметить особенность интеллектуальной собственности. У нашей компании ее много: программное обеспечение, ноу-хау, технологии. Но основные меры защиты лежат не в технической плоскости. Это, в первую очередь, юридическая защита, демонстрация возможности предъявить претензии кому-то: заказчикам, сотрудникам. Мы половину своих усилий в части защиты интеллектуальной собственности тратим в правовом поле: регистрируем, патентуем, не так давно по-настоящему ввели режим коммерческой тайны.

Или, например, возьмем фарм-компании. Что является их основным ноу-хау? Препарат, его формула. Это полстраницы текста. Технически, конечно, его надо защищать, но эффективность только таких мер будет невысока, потому что формулу можно сфотографировать либо запомнить.

Как правило, интеллектуальная собственность всегда концентрированная. От этого можно защититься только тем, что сотрудник будет понимать, какая ответственность на нем лежит, как его будет компания преследовать. Только неотвратимость наказания, как бы это банально ни звучало, является одним из ключевых факторов в вопросах обеспечения безопасности.

Российский рынок достаточно конкурентоспособный, есть как минимум 6-7 сильных локальных DLP-вендоров. Есть ли у вас планы развития и экспансии в другие страны: СНГ и дальнее зарубежье?

И. Л.: Да, конечно! Но это уже отдельная история :)

Большое спасибо за интервью и успехов и бизнесе!