Евгений Чугунов: Наш потенциальный заказчик — любая компания, у которой есть тайны

Евгений Чугунов: Наш потенциальный заказчик — любая компания, у которой есть тайны

Евгений Чугунов

Окончив в 2007 году с отличием Московский инженерно-физический институт (государственный университет) по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем», вел научную деятельность по направлению «инструментальные средства и методики анализа недекларированных возможностей ПО».

В течение нескольких лет занимался проектированием и созданием систем защиты информации в коммерческих и государственных структурах в крупном российском ИТ-интеграторе. Выступал в качестве архитектора и ведущего аналитика при создании систем защиты. Получил международные специализированные сертификаты CISSP, CISA, PCI QSA.

C 2018 года Евгений Чугунов возглавляет компанию Cross Technologies, а также осуществляет разработку программного обеспечения Doc Security Suite.

...

Евгений Чугунов, генеральный директор АО «Кросс Технолоджис», рассказал Anti-Malware.ru о создания компании и о ее развитии. Также были затронуты темы дистрибьюции и создания собственного продукта Docs Security Suite (DSS) для  контроля и аудита прав доступа к документам.

Евгений, расскажите, пожалуйста, о вашей компании. Как она создавалась?

Е.Ч.: Компания возникла 8 лет назад. На текущий момент она представляет собой конгломерат из компаний, в котором есть разделение на интеграционный бизнес, дистрибьюцию и собственную разработку.

Изначально компания занималась исключительно проектной деятельностью и работала в области информационной безопасности. Первые проекты были связаны с персональными данными, тогда это было «хайповым» направлением. Все те люди, которые были в команде, разбирались в этой теме очень неплохо, был некий «комплаенс», который перешел  потом в техническую реализацию. Соответственно, это стало драйвером роста компании.

Постепенно компания росла, расширялись компетенции, возникали все новые потребности, и постепенно мы стали заниматься проектами IT — это то, что касается сетевых технологий, работы с данными и т.д.

В последнее время возник тренд, связанный с импортозамещением. Кто-то к нему относился скептически, кто-то — не особо, кто-то верил, а кто-то — нет. Мы решили провести исследование рынка на эту тему: что можно делать, какие есть потребности, какие есть продукты, а чего нет. Соответственно, проводили исследования, проводили беседы с рядом крупных энтерпрайз-заказчиков, в основном это был крупный финансовый сектор. В результате решили, что на стыке технологий будет интересно конкурировать с зарубежными коллегами, — и это на тот момент оказалось не совсем правильным. Никто из нас этим не занимался раньше. Поэтому решили взять направление, связанное с неструктурированными данными. По мнению аналитиков компании Microsoft, 70-80% данных в организациях являются неструктурированными.

Вы имеете в виду те данные, которые лежат у нас на рабочих станциях, на файловых серверах?

Е.Ч.: Да, и даже сам документооборот. Он как бы структурирован, но не до конца, — такая «полуструктурированная» история получается. Это — все материалы, которые находятся за пределами реляционных баз данных, даже картинки и сканы. При этом объем зависит от бизнеса.

Когда появилось направление дистрибьюции?

Е.Ч.: На третьем-четвертом году жизни мы стали дистрибьюторами компании Varonis. Где-то в это же время компания создала направление по криминалистике. Соответственно, развивали это направление. Изучали, смотрели, экспериментировали в этой части. Сейчас  мы решили сконцентрироваться в части дистрибьюции по криминалистике — относительно незанятом, неразвитом в РФ рынке.

Почему от дистрибьюции пошли в разработку собственного продукта?

Е.Ч.: У нас же всё поэтапно: сначала делаешь проекты, потом начинаешь распространять собственные продукты, потом — распространять и продвигать чужие продукты, потом появляется мысль о своем продукте. Получается, что идее — приблизительно 4-5 лет. То есть примерно параллельно с дистрибьюцией.

Хотел поинтересоваться, насколько велика компания. Какова численность сотрудников?

Е.Ч.: Сейчас у нас — 2 офиса в Москве и Рязани. Общая численность сотрудников — около 80 человек. Разработка составляет примерно половину штата компании.

Сейчас активно набираем людей.

Насколько я понял, по Varonis вы набрали достаточно хорошую экспертизу, и это дало понимание того, что под этот сегмент рынка необходим отечественный продукт?

Е.Ч.: На самом деле Varonis реализует немного другие функции. Задача Varonis — навести порядок на файловых ресурсах. То есть он не «лезет» в документы, он не спрашивает пользователя, о чём этот документ, и так далее. В его задачу входит просмотреть эффективные права доступа, посмотреть, кто чем пользуется. Это делается в рамках файловых ресурсов, Microsoft Exchange, SharePoint, Active Directory — в зависимости от того, какая система применяется.

Насколько рынок Data Access Government (DAG) востребован в России? Кто в первую очередь является его потребителями?

Е.Ч.: Мы являемся частью этого рынка. В первую очередь, как я уже говорил, по вопросам, связанным с безопасностью.

В данном случае необходимо выяснить всю необходимую информацию. Иначе как можно защищать то, о чем ты не знаешь, где это находится.

Требуется  провести инвентаризацию, или, как говорят в больших данных, — тегировать. Это позволяет узнать больше о сущности системы, что дает возможность обеспечить наилучшую защиту.

Первый шаг к успеху — инвентаризация. Соответственно, тегируется каждый создаваемый файл. Далее к этому тегу привязывается маркер безопасности, что осуществляется в 2 этапа. Первое — выполняется принудительная классификация данного контента пользователем, так называемая User-based Classification, в зависимости от контекста.

По факту, когда говорим о безопасности, есть три подхода к классификации данных. Самый известный — Content-based. Это то, что делают DLP и прочие подобные системы. Мы решили, что будет лучше использовать другие два подхода: Context-based и User-based.

В первом случае пользователь определяет уровень конфиденциальности, к какому классу документ будет относиться, подразделение. И второе — местонахождение, т.н. Folder Classification. Там автоматически проставляются все метки и маркеры, которые необходимы.

В итоге получается, что основным делом является классификация и инвентаризация информации в документах — наведение порядка в документации. Наша задача — контролировать то, какие документы есть, кто их создает, кто их смотрит, куда они передаются. Следить за взаимосвязями документов, отслеживать жизненный цикл документа. При этом не важно, где он находится — в системах документооборота или на рабочих станциях. В конечном итоге он открывается у пользователя на экране.

Каналы передачи мы не отслеживаем, наблюдаем только за фактами открытия/просмотра и в зависимости от этого смотрим на те действия, которые с ним происходят. На базе этого строится аналитика. То есть, ещё раз: кто создал, кто открыл, кто классифицировал, кто как переклассифицировал, где он лежит, на каких ресурсах используется, кто использовал документ с этим уровнем конфиденциальности. В итоге мы получаем документ как сущность со своей историей и взаимосвязями — неструктурированный набор данных о жизни документа.

Наша задача — разложить «по полочкам» полученную информацию о документе. Это можно сделать с помощью меток и классов, на основании которых мы можем принять определенные решения.

Когда мы сделали обзор DSS, мне показалось, что основная его «фишка» — расследование инцидентов. Например, отследить историю работы с документом, если вдруг произошла какая-то утечка.

Е.Ч.: Это — следующий этап. У нас уже есть определенная фактура, классификация информации, мы действуем с позиции: знай свои данные, что у тебя вообще есть. Это — первый принцип, по которому ты должен что-то сделать, то есть защищать неизвестно что и неизвестно где — это как в анекдоте: «Шеф, у нас дыра в безопасности!» — «Ну, слава Богу, хоть что-то у нас в безопасности!». Поэтому начинается всё с хрестоматийной, «академической» истории, но, тем не менее, она дает некоторую основу для аудита, мониторинга, расследования инцидентов. Второе — если мы говорим о User-based Classification (классификация принудительно пользователями), возможности вовлечения пользователей в процесс безопасности. Если человек знает, что он должен что-то сделать, он обязательно будет пытаться найти, прочитать. Это запускает механизм персональной ответственности. В итоге идет сбор данных аудита и сбор информации, которая позволит понять, какие ресурсы для каких пользователей не являются критичными, что можно делать, а что — нельзя. Это дает возможность на основании меток делать разграничение прав доступа. Например, к этим документам с такими-то метками может иметь доступ только определенный круг пользователей, а вот эти метки означают, что доступ могут иметь все пользователи. На основании этого проставляются теги с уведомлениями: предоставить доступ и уведомить, если там происходит что-то «не то», или запретить доступ и уведомить, если вдруг произошли какие-то ненужные действия.

Насколько, по вашему опыту, заказчик должен быть зрелым для внедрения подобного продукта? Какие уже должны быть выстроены процессы? Если мы вовлекаем пользователей, они могут не поддержать внедрение, так как будут думать, что эти действия отнимут у них время. Как компания должна убедить пользователя, что это важно для всех?

Е.Ч.: Всё верно. Любое внедрение идет по пути сопротивления. Особенно если это — пользователи. Особенно если это — неудобно. Но всё равно есть понимание, что существует некоторая открытая, закрытая, конфиденциальная, чувствительная информация, и в данном случае не нужно плодить много сущностей, чтобы людей вводить в какое-то заблуждение. Помимо этого, можно разным людям в зависимости от их уровней подготовки предоставлять различные уровни доступа или выдавать детализацию этих методов.

Например, если подразделение действительно связано с конфиденциальной информацией, то там можно создать много разных уровней. Сложно поверить, что в организации, где ядром является  чувствительная информация, никто не знает о процедурах ее распространения или уничтожения. Следовательно, для всех пользователей можно сделать 2-3 категории, а для более осведомленных людей — 5-6 категорий.

И вообще, на основании этого можно строить определенную матрицу: что они могут смотреть, что не могут смотреть.

У меня получается некий портрет потенциального заказчика: это — компания, где внедрен режим коммерческой тайны, госкомпании, где есть определенные уровни доступа, грифы секретности.

Е.Ч.: Фактически, это — любая компания, у которой есть тайны. Но, если посмотреть на наше законодательство более пристально, — тема, связанная с персональными данными, и дальше уже идёт своя специфика. Где-то — карточные данные, где-то — персональные данные, кредитно-финансовая история, то есть нужно смотреть отдельно на бизнес, и везде есть режим коммерческой тайны. Если мы берём крупный бизнес, то там научились понимать, что такое коммерческая тайна, что такое ноу-хау, у многих компаний есть классификация. В России это уже есть. Возможно, не так системно, как хотелось бы. Наша задача — систематизировать это и сделать более-менее удобным.

Возможно, был бы больший потенциал для этого продукта, если бы в России ввели ответственность для юридических лиц не за правильность обработки и хранения персональных данных, а за утечку?

Е.Ч.: Да, был же инцидент со Сбербанком. На самом деле, тут есть ещё один интересный ключевой момент, относительно пользователей. Почему они должны всё чётко и правильно делать?

Во-первых, они должны обязательно поставить хоть какую-то метку. Информация не сохраняется, если нет метки. Если они возьмут какой-то чужой документ, а он не протегирован, то мы автоматически узнаем, что документ не был классифицирован.

Это — постепенная история, есть два пути: одни люди будут классифицировать документы как конфиденциальные, а другие наоборот — всё открыто. И здесь, конечно, применим DLP, для снижения рисков безопасности. Следовательно, на первых порах использование двух систем необходимо. Однако может возникнуть конфликт систем.

На самом деле маркирование, выполняемое пользователями, значительно облегчает работу безопасников. Не секрет, что все DLP-системы настраиваются безопасниками исходя из их собственного мнения или суждения. Поэтому поначалу, когда кто-то что-то делает и, например, всё время классифицирует документ как открытый, такие пользователи быстро выявляются. Потом с ними проводятся беседы, обучение и т.п. Таким образом мы выявляем внутреннее мошенничество, и показательные истории приводят к тому, что все остальные делают всё более добросовестно.

Как вы правильно сказали, во многих компаниях используются DLP-системы, особенно в финансовом секторе. Получается, что DSS по функциональности очень сильно пересекается с DLP. Как вы думаете, они друг друга дополняют, или всё-таки есть конкуренция?

Е.Ч.: На самом деле, мы не занимаемся контролем утечек, и наша задача — передать DLP информацию о том, каким образом пользователь классифицировал данные. Соответственно, если смотреть объемы информации в организации, где огромный, гигантский документооборот, 20 000, 200 000 срабатываний DLP в день, то в таком случае данная система окажется скорее помощью для DLP. Если пользовательская классификация не совпала с DLP, то поначалу такие вопросы отрабатываются вручную, проводится обучение пользователя (когда он, например, везде ставит «конфиденциально»). Конечно, будут иметь место дополнительные затраты, но примерно через полгода пользователь уже понимает, как с этим работать.

То есть у вас имеется готовая интеграция с DLP-системами?

Е.Ч.: Да, DLP может забирать готовую метку с любого документа, а как её интерпретировать, мы расскажем. Система будет перехватывать метку файла, смотреть то, что у неё есть, и сравнивать. Следовательно, происходят конфликты, можно посмотреть пользователя, выявить, кто работал с данным документом. Возможно, ложное срабатывание в DLP, а возможно, пользователь не до конца понимает, чем занимается. То есть и там, и там будет работа для службы безопасности.

Если в компании произошла какая-то утечка, мы пытаемся понять, что именно и как произошло, посмотреть трафик, событие. В DSS можно проверить, кто конкретно имел доступ к этому документу?

Е.Ч.: Да, здесь определенно есть дополнительная помощь. Это достаточно полезно для тех же самых SOC. Причем помощь взаимодополняющая: нам ничто не мешает передавать информацию и ее на основе создавать правила. Та информация, которая у нас есть, «крутится» вокруг документа как сущности. Единицей измерения является документ: мы смотрим на то, что происходит с документом, что с ним делал пользователь. Мы не смотрим сетевые взаимодействия, подключения, передачу данных.  У нас есть документ, и мы его зафиксировали: знаем, где он лежит, что с ним сделали. Мы смотрим взаимосвязи этого документа с другими сущностями системы и понимаем цепочку: кто, что редактировал. Где-то контролируем контрольные суммы. К примеру, если документ направлялся за пределы компании, то можно увидеть, какие изменения были внесены и что с ним делали.

Корректно ли говорить, что DSS позволяет практически гарантированно найти источник утечки? Например, DLP-системы такую проблему не решают: можно увидеть трафик, но не все события работы с документом. В DSS, напротив, мы видим, кто работал с документом и что с ним делал.

Е.Ч.: В любом случае никто стопроцентную гарантию не дает. Должен быть комплекс мер. Мы являемся одним из элементов, которые позволяют структурировать всё, что происходило с документами, и понять, кто какой доступ к ним имел. Мы можем отследить путь документа, понять, что с ним делали, включая редактирование, создание, конверсии и так далее, и исходя из этого создать историю, то есть базу для расследования. В принципе, мы всегда найдем, кто последний с этим документом работал, с кем взаимодействовал. То есть, мы сузим круг. Дальше уже нужно привлекать другие ресурсы.

Если его сфотографировали, это — уже другая история. C точки зрения развития самого DSS, после того, как мы создали базис в виде тегирования, классификации,  документации, разграничения доступа, есть идея, например, сделать ряд меток для шифрования, помещения в криптоконтейнер. Даже уже есть концепт. В начале года планируем это начать делать.

К слову, по поводу импортозамещения: насколько я помню, сейчас DSS существует только под Microsoft Windows?

Е.Ч.: У нас сейчас вышел продукт по *NIX, тестируем. Параллельно, помимо шифрования, работает история со стеганографией. Сейчас стали обращать внимание на фотографирование экранов. Используется динамическая метка, стеганографическая. Добавляются маски на текст, по разным параметрам. В случае фотографирования экрана в базу пишется идентификатор сессии. Если это происходит локально, то тоже выполняется запись сессии. Это мы можем показать, уже реализовано. Это — то, что касается документов. Есть сейчас уже всё, что касается приложений. Тонкий и толстый клиент. Это тоже всё фиксируется.

Как на рынке складывается ситуация с импортозамещением? Есть ли у отечественного продукта шансы?

Е.Ч.: Если рассматривать основные направления, то многих технологий в РФ не хватает. Например, в том, что касается телекоммуникационного оборудования, провайдеров, серьезных российских игроков мы не видим. Однако тенденция — позитивная.

На рынке ИБ российские компании более-менее на слуху. Антивирусы, DLP-системы.

Е.Ч.: Опять же нужно идти снизу. Смотреть решения, связанные с высокопроизводительными межсетевыми экранами. Аналоги Check Point, например.

В целом сложно сказать. Что-то работает хорошо, а что-то — нет. Много всего попробовали. При должном подходе должно «взлетать» всё.

По вашему опыту, заказчики относятся к российскому ПО скорее как к навязываемой необходимости, или люди готовы тестировать, им интересно?

Е.Ч.: На самом деле, люди быстро меняются, когда слышат от зарубежных производителей, что они не могут продать продукт в данную компанию. Это было не один раз. В этом плане механизм запущен серьезный. И новые компании, в особенности американские и европейские, в РФ не стремятся.

Регуляторы предъявляют к нашим производителям достаточно жесткие требования: 152-ФЗ, 187-ФЗ, ГосСОПКА. С одной стороны, заказчики соглашаются, так как им проще аргументировать бюджет; с другой стороны — возможен уход в бумажную безопасность. На ваш взгляд, перевешивает первая или вторая точка зрения?

Е.Ч.: То, что делают регуляторы в рамках нововведений и прочее… Здесь задача — разобраться в том, с чего всё начинается, инвентаризация ключевых историй. Тот же КИИ. Какие отрасли, насколько это критично, сколько их, что к ним относится. Насколько это безопасно для предприятия, насколько безопасно для населения.

То что касается мониторинга, инвентаризации — у каждой компании есть свои механизмы мониторинга тех или иных вещей.

То, что решили сделать с ГосСОПКА, — это вопрос качества предоставляемых данных и той аппаратной связи, которые в рамках текущих механизмов можно дать регулятору. Достаточно сложно разобраться в получаемом фидбеке. Насколько они двигают вопросы информационной безопасности вперед, я затрудняюсь ответить. У ФинЦЕРТ — своя история. Но, с другой стороны, понятно, что многие компании начинают делать свои центры реагирования. Кто-то на коммерческой основе делает с точки зрения мониторинга, на регулярной основе выясняет, что вообще происходит.  В принципе оно может собраться во вполне полезную историю. Я в это верю, работающих тем много. В Малайзии — вполне достойный пример реализации CERT. Там даже могут физические лица в этом участвовать.

Еще, наверное, как к интегратору вопрос. Не смотрите ли вы в сторону сервисной модели, аутсорсинга, коммерческого SOC?

Е.Ч.: Сейчас рассматриваем направление, но это — не SOC, больше связано с антифродом, базовая платформа, которая будет размещаться в небольших структурах. В целом ориентируемся на проектную деятельность в части интеграции. Есть план сделать антифрод, но рынок переполнен. Пока что ведем исследования. Но с точки зрения DSS мы хотим интересные «фишки» прикрутить. Условно говоря, если кто-то уносит файлы домой и открывает, мы уже будем знать, кто и что сделал.

Спасибо за интервью!