Рынок внутренней информационной безопасности (ИБ) в России — один из немногих в экономике, которые почти целиком держат отечественные игроки. По качеству работы российским специалистам практически нет равных, более того, Россия могла бы стать ведущей мировой державой в этом секторе, убежден основатель компании «СерчИнформ» Лев Матвеев. Сегодня у его команды с 25-летним опытом в IT уже более 3 тыс. клиентов в 17 странах мира, а под защитой флагманского продукта более 2 млн ПК. В интервью “Ъ” Лев Матвеев рассказал, почему так важно защищать персональные данные, какие меры были бы для этого эффективны, зачем компаниям отдавать вопросы ИБ на аутсорсинг признанным экспертам и для чего России нужен единый регулятор в отрасли инфобеза.
Основатель компании «СерчИнформ» Лев Матвеев
Фото: СерчИнформ
Основатель компании «СерчИнформ» Лев Матвеев
Фото: СерчИнформ
— Вы последовательно критикуете власти за их отношение к защите персональных данных. Почему считаете этот вопрос важным?
— Чем больше данных переводится в «цифру», тем критичнее вопросы защиты. Подтверждением служит возможность в даркнете купить что угодно: от сканов паспортов и выписок с банковских карточек до данных одиноких пенсионеров—владельцев квартир. Каждый сталкивается с угрозой стать жертвой мошенника. Скажу за себя. Мне не хочется, чтобы кто-то распоряжался информацией о балансе моей банковской карты. А получить ее мошенникам — на раз-два. Я много путешествую, и в любой российской гостинице сканируют паспорт. Не хочется обнаружить однажды, что по копии паспорта кто-то зарегистрировал на меня фирму-однодневку.
Все переходит в цифру, и это неплохо! Посмотрите только на портал госуслуг: ни в одной стране нет такого удобного сервиса. Но почему при строительстве зданий мы требуем соблюдения правил пожарной безопасности, а IT-инфраструктуру строим без оглядки на ИБ?
— В национальной программе «Цифровая экономика» нет плана по защите персональных данных. Это осознанное решение или так получилось?
— Корень проблемы в том, что у нас нет единого органа-регулятора, который бы создал единые ИБ-правила для всех учреждений и нес ответственность за ИБ страны. А когда нет ответственного, нет и порядка. Я уверен, что такой орган нужен — не важно, как он будет называться: министерство информбезопасности, Росинфобезнадзор при Минцифре и т. д. При этом осознание важности всесторонней защиты персональных данных приходит и к законотворцам, и к простым гражданам. У нас есть предписания по защите от внешних злоумышленников. Но о защите от внутренних угроз просто забыли. Хотя утечек и манипуляций с информацией со стороны сотрудников больше 70% среди всех инцидентов. В основополагающих документах, в стратегиях проблема защиты от внутренних угроз просто упускается. Решение проблемы не стоит триллионов — достаточно направить на ИБ 5–7% от затрат от всей программы цифровизации. У России в сфере ИБ есть преимущество: сильные вендоры, уникальные профессионалы. У нас есть все шансы наладить эталонную защиту данных в стране — было бы желание.
— В чем вы видите уникальность российских ИБ-решений?
— Российские вендоры развивали продукты, отталкиваясь от обратной связи заказчика, в тесном с ним взаимодействии. При этом на заре развития защитных решений в безопасность пришли бывшие сотрудники спецслужб. Это были практики, опытные профессионалы, заточенные на выявление самых сложных инцидентов. Они нам и подсказывали, в какую сторону развивать продукты. Клиент говорит: «Система нас устраивает, но если доделать еще вот это, это и вот это, то мы закупим ее еще на N тысяч компьютеров» — это лучший стимул и развитие именно в том русле, которое нужно заказчику.
В итоге сфера ИБ стала единственным сектором IT-рынка, где даже до импортозамещения общая доля западных вендоров составляла 10–15%. Были Symantec, Forcepoint (ранее Websense), McAfee и т. д. Но, по сути, они не могли по возможностям и функционалу сравниться с отечественными вендорами.
— В начале марта Ассоциация юристов России предложила изменить закон «О персональных данных» в случае утечки выплачивать компенсацию потерпевшим от 500 тыс. до 5 млн руб. Насколько потенциально эффективно это предложение?
— Это напоминает сказку, а я не очень верю в сказки. Если введут такие компенсации, компании быстро обанкротятся. Штрафовать надо серьезно, но так, чтобы бизнес мог продолжать работать. В этом плане европейская практика GDPR выглядит логичнее — штраф до 4% от оборота в случае утечки. Установить же единую сумму штрафа неверно. Для одной компании этого будет мало, для второй — слишком много.
— В РФ практика GDPR была бы более эффективной?
— Считаю, да. Если перед компанией встанет дилемма, потратить 5–10 млн руб. на системы защиты данных (DLP, систему файлового аудита и мониторинга баз данных) или получить штраф в условные 20 млн руб., бизнес выберет первый вариант — арифметика здесь проста. А когда вся ответственность — это несколько десятков тысяч рублей, большинству выгоднее заплатить мизерный штраф.
— А как насчет уголовной ответственности для лиц, виновных в утечке персональных данных, которую в феврале предложил ввести зампред ЦБ Дмитрий Скобелкин? Так ли это необходимо, на ваш взгляд?
— Нужно понимать, для кого ее собираются вводить. Если для инсайдера, сливающего данные миллионов людей,— так она уже есть, по статье 183 УК РФ, например. А вот для людей, ответственных за безопасность данных в компании,— руководителей высшего и среднего звена, ИБ-специалистов — уголовная ответственность иррациональна. Проблема должна решаться не громким введением ответственности, а нормальными директивами, чтобы у операторов ПДн не было даже мысли «не защищать данные».
У того же ЦБ множество рычагов, но в их директивах не прописано, что система защиты информации должна стоять на 100% компьютеров в банках, что должны контролироваться все базы данных, файловые системы. Есть только робкие рекомендации в духе «господа, было бы неплохо, чтобы вы защищали информацию». Это как я вам порекомендую: «Было бы неплохо не ехать на красный свет». Но вы можете и поехать со словами: «Я все понимаю, спасибо». Должны быть не рекомендации, а требования и контроль их исполнения.
— Каковы актуальные оценки ущерба, который происходит из-за утечек информации?
— Адекватно оценить можно только явное воровство. Но есть еще сотни других сценариев нарушений по вине инсайдеров: сливы клиентских баз конкурентам, разглашение информации о финансовом состоянии компании, саботаж со стороны деструктивных личностей в коллективе, создание откатных схем и др. Ущерб от всех этих действий посчитать сложнее.
— Как же тогда мотивировать компании закупать защитные решения?
— У меня встречный вопрос: как мотивировать человека поставить на сейф, в котором лежит 1 млн руб., замок за 20 тыс. руб.? Если серьезно, мы всегда предлагаем заказчику протестировать систему в течение месяца. И, увы, не было еще случаев, чтобы программа не выявляла серьезных инцидентов.
При нормально работающей службе ИБ система защиты от утечек (DLP) в среднем окупается в первый год работы. Тут есть важный нюанс: часто организации ставят защитные системы в недостаточном объеме. Например, в банках системы защиты от утечек ставят на 2 тыс. ПК из 10 тыс. Мотивация: «Мы контролируем 10–20% персонала на самых критичных местах». Но это неверная практика. Закрывать парадную дверь, оставляя при этом открытым черный ход и окна заодно,— так себе стратегия. И если вернуться к банкам, подтверждение моим словам — объем данных этих банков, которые лежат в даркнете.
— Вы в последние годы выпустили на рынок несколько новых продуктов. Все же спрос на защитные решения растет?
— Безусловно, компании чаще стали задумываться о безопасности. Мы сосредоточены на защите от внутренних угроз — эту проблему не решить без комплексного подхода. Раньше мы разрабатывали только DLP — главное ПО для защиты от утечек информации и корпоративного мошенничества. Но по мере усложнения процессов, увеличения штата компании, рисков у заказчиков возникает необходимость в других защитных системах. Собственно, их мы и выпустили на рынок.
Это SIEM — система для мониторинга IT-инфраструктуры, анализа событий и уведомления о возникающих угрозах. Система контроля файлов (FileAuditor) — программа, которая классифицирует файлы по содержимому, сигнализирует, если файл оказался у сотрудника, который не имеет права с ним работать, или хранится не там, где нужно. Система автоматического профилирования ProfileCenter, выявляющая группы риска в коллективах,— это тоже работа на упреждение. Еще один продукт, который мы выводим на рынок,— система мониторинга баз данных, которая фиксирует все изменения в БД — добавление, удаление, изменение информации.
Все продукты взаимосвязаны между собой, бесшовно интегрируются, увеличивают эффект друг друга. Например, при мониторинге баз данных выясняется, что подменено поле, оперативное расследование идет в DLP-системе, где мы смотрим, с кем общался виновник инцидента, выясняем мотивы его действия. То есть у ИБ-специалиста на руках оказывается вся информация о происшествии, о задействованных лицах.
Я рад, что в прошлом году мы запустили направление ИБ-аутсорсинга. Сейчас оно как никогда кстати. В России фирмы, в которых 50–200 компьютеров, находятся в замкнутом кругу и не покупают систему информационной безопасности.
— Дорого?
— Для кого-то дорого, но в основном вопрос стоит: «Зачем мне покупать самолет (пусть я даже могу это себе позволить), если я не умею им управлять и у меня нет доверенного пилота? Ну и зачем нанимать пилота, если у меня нет самолета?»
Плюс в маленькую компанию в 50–100 человек не придет суперквалифицированный специалист. А если придет — ему нужно платить немалые деньги. А наши аналитики ИБ все делают вместо клиента: устанавливают софт, мониторят ситуацию, расследуют и отчитываются о том, какие инциденты в компании происходят.
— То есть для СМБ выход — отдать на аутсорсинг вопросы информационной безопасности?
— Да. Аутсорсинг в долгосрочной перспективе может оказаться дороже, чем купить лицензии и нанять штатного сотрудника. Но на короткий срок «попробовать» дешевле. Одно дело — найти условные 2 млн руб., а другое — по 150 тыс. в месяц. Тем более что вопрос не только в деньгах — недостаточно купить софт, если с ним некому работать.
У нас есть прецеденты, когда ряд совсем небедных клиентов, поработав четыре месяца с нашим ИБ-аутсорсингом, отказывался от планов купить лицензии на ПО. Говорят: «Нас все устраивает. Вы же отвечаете за результат, у вас много квалифицированных аналитиков, уволится один — это не наша проблема. Мы готовы за это переплачивать». Услуга оказалась востребованной даже среди тех компаний, где мы не ожидали.
— Вы вносите какие-то коррективы в работу компании из-за сложившейся ситуации с коронавирусом?
— Во внутренней политике мы действуем просто: придерживаемся рекомендаций правительства. Что касается работы с заказчиками, то мы приняли ряд мер. Во-первых, предложили бесплатное расширение лицензий для всех действующих заказчиков, у которых продлена техподдержка. Это сделано для того, чтобы перевод сотрудников на удаленку не ударил по безопасности компаний-клиентов.
Во-вторых, предложили заказчикам помощь наших инженеров с перенастройкой системы под удаленную работу. Составили подробный чек-лист для потенциальных клиентов и максимально его распространили. В-третьих, всем желающим (не клиентам) предложили на выбор — внедрение DLP бесплатно до 1 июня (обычно триал длится месяц) или бесплатно ИБ-аутсорсинг на месяц. Наш специалист возьмет на себя внедрение DLP, работу по выявлению инцидентов, составление отчетов для компании. Все эти меры призваны поддержать отечественный бизнес в условиях экстренного перехода на удаленку.
Кроме того, мы продолжаем работу над оптимизацией продуктов. Понятно, что 2020-й станет для бизнеса не самым легким годом. И для компаний, которые стремятся вкладываться в ИБ, мы стараемся повысить экономическую эффективность вложений. В прошлом году мы увеличили производительность DLP-системы на 30%, это значит, что заказчикам придется меньше тратиться на «железо».