Александр Новожилов: рынок систем контроля привилегированных пользователей в России увеличивается в разы каждый год

Александр Новожилов: рынок систем контроля привилегированных пользователей в России увеличивается в разы каждый год

Александр Новожилов

Родился в городе Борисоглебск Воронежской области 27 апреля 1981 года.

В 2003 году успешно завершил обучение в Военно-космической академии им. А.Ф. Можайского. До 2006 года служил в ВС РФ.

С 2006 по 2014 год работал в различных интеграторах в сфере ИБ.

С 2014 года — Генеральный директор ООО «АйТи БАСТИОН».

...

На вопросы аналитического центра Anti-Malware.ru любезно ссогласился ответить Александр Новожилов, генеральный директор компании «АйТи БАСТИОН». Это интервью продолжает цикл публикаций «Индустрия в лицах».

Расскажите о компании «АйТи БАСТИОН». Как давно создана и какую деятельность она ведет?

Наша команда сложилась в 2011 году, а юридически мы оформились в компанию в 2014-м. Мы внимательно смотрим на западные и российские технологии и приглядываем новые разработки, которые покажутся нам перспективными и которые захотим продвигать. Продукты компании Wallix — это конек, который поскакал довольно быстро, но чтобы довести его до работающего бизнеса, приходилось вкладывать много сил. Помог опыт топ-менеджеров и многочисленные связи. В будущем вывод на рынок продуктов у нас будет проходить, конечно, легче.

Каков, по вашей оценке, объем рынка систем контроля действий привилегированных пользователей в России, и насколько быстро он растет?

По моим наблюдениям, объем рынка систем контроля действий привилегированных пользователей в России увеличивается в разы каждый год — это, можно сказать, взрывной рост. Если поначалу этим занимались только самые продвинутые компании, то сегодня такие системы распространены. В ближайшие годы мы ожидаем еще более бурного роста, потому что сейчас закладываются стратегии развития компаний, концепции развития ИТ и ИБ на 2017-2018 и даже 2019 годы.

Насколько, на ваш взгляд, рынок сформировался с точки зрения спроса?

По нашему опыту, большинство заказчиков хотят что-то абстрактное. В лучшем случае, понимание возникает в ходе тестирования продуктов. Некоторые формируют из этого представление о том, какой функционал им нужен, другие начинают искать решения с максимально возможным набором функций, при этом не понимая, зачем они ему нужны — авось пригодятся. Таких заказчиков, которые совсем не понимают, с чем имеют дело, уже осталось не много — большинство что-то слышали, видели, читали и так далее.

Потребность в подобных системах была и ранее. Почему тема контроля администраторов и аутсорсеров не выстрелила лет пять назад, а стала набирать популярность только недавно?

Какое-то время назад таких продуктов в России вообще не было, и руководители организаций принимали этот риск как неизбежность. Потом продукты появились, но рынок не был раскачан. Дальше появились компании, например мы, которые стали заниматься ликбезом по этому поводу — в специализированных изданиях, в СМИ и по другим каналам стали рассказывать понятным бизнесу языком, во что могут вылиться риски ИБ. Получилась некая синергия: с одной стороны, руководство убедилось в существующей проблеме, с другой — сотрудники служб информационной безопасности узнали, что на рынке есть решения такого класса, и стали что-то в этой области предпринимать.

Даже в самых продвинутых в плане ИТ-сервисов странах только формируются требования к этому сегменту рынка, по нему пока нет даже квадрантов Gartner. В России информатизация традиционно развивается несколько медленнее, все новинки становятся актуальными у нас чуть позже — спустя 2-3 года.

Часто сотрудники ИТ-служб сопротивляются внедрению подобных систем. Почему это происходит?

Действительно, ИТ-службе хочется обойтись без введения такой системы, потому что у них возникает ощущение, что их станут тотально контролировать.  Поэтому в ход идут аргументы про полное доверие, про то, что при необходимости они смогут провести расследование на основе данных системных журналов. Но, по нашему опыту, журналы тут неэффективны. Пока во внимание принимаются только данные журналов, крайне затруднительно успешно расследовать инцидент, а точно идентифицировать, кто именно скрывается под логином «root», и вовсе зачастую невозможно. Каждый нарушитель должен помнить не столько о тяжести наказания, сколько о его неотвратимости. Если, скажем, штрафовать на 1000 рублей после каждого инцидента, но при этом действительно ловить каждый раз, то это намного эффективнее, чем запугивать переломами, паяльниками, увольнением — и при этом не доказать вину человека.

Как правило, те ИТ-директора, которым нечего скрывать, видят только плюсы таких систем — повышение надежности бизнеса, снижение числа конфликтных ситуаций, контроль подрядчиков в плане завышения стоимости или объемов работ. В общем, для ИТ-служб внедрение подобных систем становится не менее полезным, чем для офицеров ИБ, задача которых по сути — найти и расстрелять.

В государственных компаниях обычно такой подход: там, чуть что, сажают. Поэтому ИТ- и ИБ-директора хотят иметь инструмент, который поможет оградить себя и своих сотрудников от увольнений, посадок и прочих мер, применяемых к злоумышленникам.

Сколько проектов вы реализовали в прошлом году и какие планы на текущий год?

Если говорить именно о реализованных проектах, то больше десятка. В этом году мы планируем более 30 проектов, динамика намечается хорошая. В прошлом году политическая ситуация омрачила перспективы — часть проектов были согласованы, но поставлены на паузу.

Кто покупает Wallix AdminBastion и СКДПУ и для каких целей?

Прежде всего компании, бизнес которых серьезно завязан на ИТ. Для них крайне важна скорость реакции и устранения инцидентов. Если такая компания еще и территориально распределена, то начинаются проблемы, потому что нельзя посадить специалистов в каждой локации. Для быстроты реагирования на инцидент необходим удаленный доступ. Но давать бесконтрольный удаленный доступ — слишком опасно, этому сопротивляется и служба безопасности, и сами айтишники. Таким образом, это первый кейс — мы обеспечиваем быстрое восстановление через контролируемый удаленный доступ.

Другие заказчики — это владельцы территориально распределенных АСУ ТП. Кейс практически аналогичен — нужно либо предоставить удаленный доступ, либо держать людей на каждом объекте. Это интересно особенно для нефтегазовой отрасли, так как объекты разбросаны, и до некоторых приходится летать на вертолете.

Далее идут компании, которые постоянно работают с аутосорсом. Это всегда непонятно: счета выставляются огромные, и трудно выяснить, делались ли эти работы. Мы помогаем контролировать всех этих подрядчиков.

И, наконец, безопасники — они всегда хотят видеть, что происходит на критичных системах, кто к ним подключается и что с ними делает.

Насколько высока конкуренция на этом рынке, какова примерно ваша доля рынка в России?

Конкуренция постоянная — она была изначально, меняется только состав конкурентов. Часть решений, которые конкурировали с нами изначально, покинули российский рынок. Другие стали терять свою весомость на рынке — сейчас мы слышим о них в разрезе «хочется поменять их на что-то хорошее». Есть новый продукт, но пока он не дотягивает до нас функционально и может привлечь клиентов разве что демпингом.

Wallix AdminBastion, кстати, зрел долго и обстоятельно: как коммерческий продукт он разрабатывался с 2006 года в Европе, однако и до этого было множество наработок.

Как повлияли на вашу деятельность изменения в законодательстве по части импортозамещения?

Появляются новые нормативные акты, некоторые носят рекомендательный характер, но рано или поздно они могут стать обязательными. Зачастую эти нормативные акты говорят о сертификации продуктов в соответствии с требованиями российских регуляторов. В этой области сейчас с нами конкурирует лишь одно решение, которое имеет сертификат ФСТЭК России, аналогичный сертификату Wallix на НДВ-4, — Balabit. Вообще сейчас мы видим двух серьезных конкурентов — CyberArk и Balabit. Однако CyberArk не сертифицирован по НДВ-4 и точно не будет, поскольку он работает под управлением Windows.

Мы продолжаем развиваться, выпустили на базе исходного кода Wallix AdminBastion российский продукт — СКДПУ, он будет сертифицирован на НДВ-2, это принесет нам заказчиков с еще более строгими требованиями к безопасности.

Если говорить об импортозамещении, то многим клиентам важно, чтобы продукт не исчез с рынка — и мы предоставляем им отечественный продукт, выпускаемый на территории Российской Федерации, мы никуда не уйдем и не денемся. И в этом плане ни Balabit, ни CyberArk нам не конкуренты.

Новый нейминг для вас был вынужденной мерой? Или это шаг, чтобы при импортозамещении получить больше преимуществ?

Это началось еще до активных разговоров про импортозамещение. И это не смена наименования, а, скорее, другой продукт. Два года назад мы задумались о сертификации на более высокий уровень, чем НДВ-4. Соответственно, без серьезных переделок тут было не обойтись. Мы взяли за основу российскую сертифицированную операционную систему, переписали продукт под использование отечественной СУБД, выбрали российскую платформу, серьезно доработали код, используя французские ноу-хау — не стали изобретать велосипед, предварительно договорившись с французскими коллегами. И из этого всего у нас получился продукт, который выпускается нами в России. Изначально это было сделано для сертификации на НДВ-2, поскольку французский продукт не имел в этом плане никаких перспектив. А в процессе оказалось, что мы сделали правильный шаг и в плане импортозамещения — в итоге осталась мизерная составляющая французского Wallix AdminBastion, меньше 10%.  То есть для нас попадание в реестр российского ПО — формальная процедура, думаю, мы пройдем ее в ближайшее время. 

Была новость о вашем партнерстве с «РусБИТехом». В чем оно состоит?

Мы взяли за основу их операционную систему Astra Linux Special Edition и попросили их включить в ОС нужные нам пакеты, они провели сертификацию очередной версии системы — на ее базе и создавалось решение СКДПУ.

У СКДПУ в текущем виде и оригинального Wallix AdminBastion есть функциональные отличия? Если да, то какие?

Если говорить глобально, то это российская криптография ГОСТ и все преимущества Astra Linux как операционной системы — надежность, высокая защищенность и так далее. Не секрет, что эта операционная система делалась для госслужб, в том числе для тех, которые обрабатывают сведения, составляющие государственную тайну. Это высоконадежная операционная система — имея ее в основе, продукт тоже является защищенным и надежным. Это во-первых.

Во-вторых, мы добавили несколько протоколов. Они не очень специфичны для России, но почему-то о них мало задумываются в Европе и США. В обычной офисной среде они не нужны, но они нужны в АСУ ТП и специальных телекоммуникационных системах. Вот две основные сферы применения этих протоколов.

Почему системы контроля действий привилегированных пользователей продаются отдельно, а не в составе IdM-систем?

Задачи у них разные. Мы прежде всего пересекаемся с IdM с в рамках контроля доступа. Нам также часто говорят, что мы пересекаемся с DLP и SIEM-системами. Но это не совсем так. Наш функционал находится на стыке. Мы — кусочек пазла, который ложится между всеми этими решениями и помогает каждому из них стать эффективнее.

Если говорить о DLP — пока нет контроля того, что делают администраторы, нет и уверенности, что сведения не утекают. Я недавно был в Казахстане — там Комитет национальной безопасности выпустил распоряжение, запрещающее внедрение DLP. Это связано с тем, что DLP — это «пылесос», который со временем становится главным хранилищем всей конфиденциальной информации. И отследить, чтобы DLP-система «никуда не уехала» — очень тяжело. По крайней мере без решений вроде нашего. Мы позволяем не бояться, что эти данные утекут.

В плане SIEM мы добавляем события, связанные с действиями пользователей, а не на конечных устройствах. Это очень удобно — сравнивать информацию, полученную из двух точек: от конечного устройства и из сети.

Что касается IdM, то записи и управление паролями на конечных устройствах не являются в них основной задачей. Главное — это доступ к ресурсам. И здесь мы тоже усиливаем эти системы.

В конечном счете, для получения полноценного результата от внедрения системы необходимо привести в порядок учетные записи всех привилегированных пользователей на критичных системах — это повышает эффективность применения как DLP, так и IDM систем.

Часто клиенты переживают, не остановится ли вся работа организации, если система упадет?

Дело в том, что в отличие от конкурентов мы не «залезаем» глубоко, не требуем перенастройки, а становимся сбоку. По сути, меняется точка авторизации у администратора — ее мы сдвинули в сторону. Это как регулировщик сбоку от магистрали — он ее не перекрывает. Если вдруг система упала, это не мешает работе обычных пользователей. Причем, если СКДПУ или  Wallix AdminBastion «сломался», есть второй — резервная система, которая продолжает работать, и софт это поддерживает.

Если «умер» внезапно весь кластер, мы складываем пароли в зашифрованном виде в определенном месте. После этого достается ключевая парольная фраза, которая хранится где-то в сейфе, и все расшифровывается. При этом работа продолжается так, как будто СКДПУ или  Wallix AdminBastion вообще не было в инфраструктуре.

Какие планы на ближайшее развитие СКДПУ, каких новшеств стоит ожидать?

Одно из важных направлений — взаимодействие с вендорами по интеграции с продуктами: в частности, с SIEM, IdM-системами и  хелпдесками. Мы работаем над тем, чтобы быть к этой интеграции готовыми. Это и раньше было нашей задачей, но сейчас некоторые заказчики стали не просто просить об этом, а требовать.

Во-вторых, мы будем удовлетворять всем требованиям территориально распределенных инфраструктур. Часто мы встречаемся с экзотическими сетями и архитектурами, однако заказчик не хочет их упорядочивать — это очень тяжело и дорого, проще оставить все как есть. К нетривиальным требованиям заказчиков нужно адаптироваться, а для этого нужен функционал, который мы давно уже задумали — централизация управления, просмотр событий и так далее. Этот функционал мы будем расширять в первую очередь.

Благодарим за интервью и желаем успехов!