Лев Матвеев: Наша основная задача сегодня — оцифровать человеческий фактор

Лев Матвеев, председатель совета директоров Группы компаний «СёрчИнформ», рассказал читателям Anti-Malware.ru о тенденциях на российском рынке ИБ, роли современных DLP-систем, о пагубной бумажной безопасности, возможности скрестить профайлинг и UBA, а также напомнил, что человек — это не оцифрованный субъект, а в первую очередь личность. 

Как вы оцениваете состояние рынка ИБ в России?

Л. М.: Ситуацию на российском рынке я бы охарактеризовал как стабильную: страсти по импортозамещению немного улеглись, вендоры активно работают над развитием продуктов, и все с большим интересом смотрят на зарубежные рынки.

Я не раз говорил о том, что ИБ и в частности сфера защиты от внутренних угроз — одна из отраслей, где мы можем достойно конкурировать с западными игроками. В этом году у меня было много зарубежных поездок, я общался с иностранными партнерами и заказчиками. Могу отметить, что за рубежом знают и ценят как российские решения, так и наших специалистов по ИБ. Если отбросить сказки о «русских хакерах», увидим, что наши решения действительно ценятся на мировом рынке. Приведу такой пример: в квадранте Gartner среди лучших мировых DLP-решений четверть вендоров — российские. Это уникальная ситуация и очень показательный пример.

В чем вы видите главные проблемы российского рынка ИБ?

Л. М.: Основная проблема и для нас, и для заказчика — отсутствие проработанного правового поля, конкретных требований по информационной защите. На данный момент проработаны требования к разработчикам ИБ-продуктов, самим ИБ-продуктам — это отлично. Но это не делает их использование у заказчика более эффективным, просто гарантирует, что вендор заслуживает доверия, а продукты доказали свою безопасность.

На эту проблему власти обратили внимание совсем недавно. Опубликована Доктрина информационной безопасности — уже большое дело, но доктрина документ глобальный, скорее, он задает направление, чем поясняет конкретные шаги. Детализация доктрины, конкретные требования, рекомендации — вот чего сейчас не хватает рынку ИБ.

Эта ситуация ведет к тому, что у нас процветает так называемая бумажная безопасность. В огромном количестве организаций нет работы на результат. Раз регуляторы следят только за бумажками, зачем напрягаться? Я много говорил на тему отсутствия средств защиты информации в медицине, госучреждениях, да в тех же гостиницах и других организациях сферы услуг и гостеприимства. Отдавая свой паспорт на ресепшен в отеле, я не могу быть уверен, что завтра его скан не всплывет в фирме-однодневке. В итоге получаем очередную ситуацию, когда закон есть, но его исполнение в реальности не контролируется.

Какие вы бы отметили технологические тенденции в сегментах рынка, в которых представлены продукты SearchInform?

Л. М.: На российском рынке ИБ очевидный тренд — создание технологий, предупреждающих инциденты за счет анализа поведения пользователя, выявления аномалий в его действиях. Смещается фокус с контроля каналов передачи информации на главный источник ИБ-угроз — на человека.

Мы не остались в стороне — взяли курс на интеграцию технологий профайлинга в DLP. Этот опыт уникален для России и мира, мы сами создаем и теоретическую, и практическую базу. Осенью на нашем Road Show мы представили первую версию Profile Center и собрали первую обратную связь от потенциальных заказчиков.

Я бы также отметил антитренд — все просто помешались на защите от утечек. Это важно, и проблема животрепещущая. Но разве это единственная наша проблема? Откаты, коррупция, теневые фирмы, сговор с конкурентами и использование служебного положения — это же все не утечки. Кто будет этим заниматься? Как выявлять и предотвращать подобные инциденты? Не нужно сужать понятие DLP до одной функции — защиты от утечек данных. Система призвана защищать заказчиков от всего спектра внутренних угроз, и нужно развивать продукты и давать клиентам необходимые для этого инструменты. 

Есть разные мнения о роли технологий UBA и UEBA в ИБ. Что вы думаете по этому поводу?

Л. М.: Я наблюдаю, что некоторые вендоры делают ставку на концепцию UEBA (User and Entity Behavior Analytics), однако мнения на счет этой технологии расходятся. Кто-то считает, что рынок UEBA будет расти, по мнению других, это просто модный термин и скоро шум вокруг него уляжется.

Откровенно говоря, сейчас складывается ситуация, когда все говорят много красивых слов, это чистый маркетинг, а вот технологических тенденций за ним не разглядеть. Бросаться терминами — UEBA, UBA, SOC туда же, — можно сколько угодно. Но вот когда задаешь конкретный вопрос: расскажите о кейсах, практическом применении — все почему-то сдуваются.

UEBA — полезна, это бесспорно. Но классические кейсы, которые рассматриваются в разрезе поведенческого анализа, уже сейчас могут выполняться связкой DLP+SIEM. Получается, мы заново изобретаем велосипед, при этом делаем его более дорогим и сложным в использовании? У меня ощущение, что в том виде, который есть сейчас, UEBA в информационной безопасности — это неуклюжая попытка привлечь Airbus 380 для полета из Москвы в Тверь.

Мы в данном направлении идем своим путем — выше я рассказывал про профайлинг. Мы убеждены, что анализ пользовательского поведения вещь психологическая, нужно пытаться понять мотивы людей, их индивидуальные особенности мышления и поведения — это действительно поможет прогнозировать угрозы. Сухая техническая статистика, которая сейчас строится на базе систем логирования в принципе неспособна решить эту задачу, — а ведь это суть всех существующих UBA-систем! Вчера сотрудник распечатал 20 страниц, сегодня 200 — как на основании этих данных можно что-то утверждать? Нужно анализировать статистику не отдельно, а вместе с контекстом.

Получается, что в споре «профайлинг против UBA» вы за профайлинг?

Л. М.: Я бы не противопоставлял профайлинг и UBA, а рассматривал их вместе. Основная проблематика UBA заключается в попытке выделить некоторое типичное поведение пользователя и аномалии в нем. Начнем с того, что это подойдет только для простых операций. Грубо говоря, сидит бухгалтер низкого звена, у которого из функциональных обязанностей три операции: принять письмо, обработать заявку, отправить заявку. Есть определенные временные промежутки, которые анализируются, и собирается некоторая картина. И теперь можно попробовать проанализировать поведение, например, креативного дизайнера. Там не будет так называемых типовых событий, из которых можно сложить типичную картину. Т. е. уже здесь возникает проблема: классический подход UEBA и UBA нельзя наложить на всех подряд.

Основная проблематика в понимании UEBA и UBA состоит в том, что не учитывается человеческий фактор, а есть попытка оцифровать действия, оцифровать события. Все мы прекрасно понимаем, что человек — это что-то более сложное, это не набор механических действий, у всех у нас есть эмоции, есть сложные периоды в жизни, есть, наоборот, периоды эмоционального подъема. На нас влияет внешняя среда. Все это накладывает отпечаток на то, как мы себя ведем и как мы работаем.

Нельзя рассматривать человека как винтик в общей структуре компании, нужно понимать, что человек — это личность, а изучением человека как личности занимается психология. Понятно, что классическая серьезная медицинская психология не совсем подходит для области безопасности. Между тем, профайлинг как технология — это элемент практической психологии, который способен решать задачи ИБ и даже в некоторой степени заточен под них.

Поэтому на наш взгляд совмещение неких элементов UEBA и UBA с психологией даст серьезный синергетический эффект и приведет нас к цели.  

Давайте поговорим о профайлинге — какие технологии лежат в его основе? Что уже сделано? Когда первые боевые тесты Profile Center в составе DLP «КИБ СёрчИнформ»?

Л. М.: Начнем с того, что не технологии лежат в профайлинге. А сам профайлинг — это отдельная технология. Она давно и успешно работает в ручном режиме и используется спецслужбами, в борьбе с терроризмом, в маркетинге, подборе персонала и т. п. Основная задача, которую мы сегодня ставим перед собой, это научить составлять такой психологический профиль машину, что называется «оцифровать человеческий фактор». И встроить модуль в DLP.

Первая версия Profile Center — это только начало пути, потому что технологий анализа, по которым составляется психологический профиль, много. Это и психолингвистика (то, что касается написания текстов), это внешний вид и эмоциональная составляющая человека — целый набор всего, что используется в классическом профайлинге.

В первую очередь мы взялись за анализ текстов, которые пишет человек. То, как именно мы пишем, во многом отражает черты нашего характера. Поэтому анализируя, вычленяя нормализованные тексты, именно неформальные переписки человека, мы планируем составлять его психологический профиль.

Бета-версию модуля Profile Center мы тестируем несколько месяцев на собственных сотрудниках. Боевые тесты у клиентов начинаются с 4 декабря. Мы привлекли компании из числа лояльных клиентов, которые любезно согласились выступить «полигоном» для испытаний. Будем смотреть на результаты и с учетом доработок к концу февраля планируем выпустить коммерческий релиз.  

Вы сказали, что это только первые шаги. Что дальше планируете делать в этом направлении?

Л. М.: Думаю, ближайшие полгода мы будем оттачивать технологию и добиваться точности в результатах. Затем будем адаптировать модуль под зарубежные рынки, работать с иностранными языками.

Есть также идея по сбору типовых психологических портретов инсайдеров, откатчиков, преступников, бездельников. Думаю, это также будет полезно в работе ИБ-специалистов. Мы рассматриваем добавление анализа звуковых потоков от пользователей, не исключаем возможности в будущем перейти и к анализу видеопотоков.

Как вы видите развитие продуктовой линейки SearchInform в ближайшие год-три-пять?

Л. М.: Если говорить глобально, то мы планируем в 3-4 раза увеличить производительность. Максимальное внедрение КИБ сегодня —  это 52 000 ПК в рамках одной компании. Мы понимаем, что хоть со скоростью у нас и так все неплохо, но такие объемы диктуют необходимость работать над собой.

Второй приоритет — консолидация всех консолей, центров управления, в том числе и конфигурирования системы. Стремимся удовлетворить запросы заказчиков и сделать работу с системой удобнее и проще.

Третье направление — профайлинг. Это наукоемкая вещь, работы по ней мы планируем на несколько лет вперед. За 2018 год хотим вывести на серьезный уровень в России, а затем выходить на иностранные рынки с другими языками — английский, испанский, португальский, французский, арабский и другие. Надеемся, что мы будем российской компанией, которая выйдет на мировой рынок с продуктом, которому нет аналогов.

Компания открыла офисы в Латинской Америке и на Ближнем Востоке. Как вы оцениваете шансы закрепиться в этих регионах? Насколько российская ИБ в целом интересна за рубежом?

Л. М.: Опыт общения с зарубежными партнерами и заказчиками показывает, что восприятие наших ИБ-решений за рубежом позитивное. Мы опасались предубежденности из-за политических мотивов, но были приятно удивлены. С российскими решениями и с русскими экспертами хотят работать.

Отмечу, что под DLP зарубежные заказчики подразумевают продукт гораздо ниже по функциональности, чем «КИБ СёрчИнформ». Аналитика, поиск похожих, граф отношений между пользователями, многообразие и глубина отчетов сильно удивляют зарубежных заказчиков. Мы не просто обнаруживаем и предотвращаем утечки информации. Мы помогаем в расследовании более широкого круга инцидентов — именно для этого КИБ хранит всю базу перехвата, а не только информацию, связанную с нарушением ИБ-политик.

Один из потенциальных клиентов во время переговоров сказал такую фразу: «Коллеги, ваш продукт защищает не только данные, он защищает деньги». Действительно, возможность контроля продуктивности сотрудников, PUM-инструменты, контроль телефонии, инвентаризация оборудования и программного обеспечения — всех этих инструментов просто нет в привычных западу DLP-системах. В зарубежном понимании DLP решает только одну задачу — контроль пересылки чувствительных данных. Антивирус защищает от вирусов, спам-фильтр — от спама, а DLP — от утечки конфиденциальных документов. Мы же предлагаем гораздо больше.

Все это вкупе дает нам уверенность в отличных перспективах на зарубежных рынках.

Как изменился коллектив, принципы работы компании за последние годы?

Л. М.: Изменения в коллективе логичные: с запуском новых проектов и экспансией на зарубежные рынки мы выросли и продолжаем набирать сотрудников. В первую очередь усиливаем технические подразделения и отделы по работе с клиентами.

С точки зрения работы в компании изменилось, наверное, то, что я лично стал больше заниматься стратегическим планированием. Конечно, от вопросов разработки я не отойду никогда, но вот операционные вопросы все больше отдаю в ведение команды.

Каких специалистов сейчас ищет «СёрчИнформ»?

Л. М.: У нас сейчас открыто много вакансий. Мы ищем разработчиков на C++, PHP, Golang, Delphi, а также руководителей представительств на зарубежных рынках: в Мексике, Индии, Юго-Восточной Азии. С интересом смотрим также на Китай и Японию, но пока не нашли инициативных людей, которые готовы взяться за работу с партнерами в этих странах.

Не могу не спросить про развитие скандальной истории начала этого года и обвинений «СёрчИнформ» в якобы организации утечки у InfoWatch, вашего конкурента. Было инициировано судебное разбирательство, чем закончилась история?

Л. М.: Ничего хуже придумать было нельзя — обвинение конкурента в своем провале. Во-первых, такое поведение всегда работает против инициатора. Это как бросать грязь против ветра — и до противника не долетит, и к тебе однозначно вернется. Одно плохо — такие разборки бросают тень на всю сферу.

Во-вторых, со мной регулярно делятся таким мнением со стороны: «Даже если предположить, что это вы, это ж нужно было догадаться представителям InfoWatch так расписаться в своей беспомощности перед конкурентом?» Другое дело, что мы открыто заявили, что это не в наших принципах и мы будем защищать свою репутацию в правовом поле.

Увы, процесс движется медленнее, чем хотелось бы, но правильным путем. Я переоценил быстроту реакции нашей судебной системы, но уверен, что в следующем году мы доведем дело до логического конца. Это будет полный маразм, если такую открытую клевету не заставят опровергнуть.

Мы не можем ускорить судебную систему, но идею публично показать, что так вести себя нельзя — нельзя использовать «карманное СМИ», чтобы бездоказательно и безнаказанно лить грязь на конкурентов, — мы не оставили.

Спасибо за интервью и успехов в бизнесе!