Наталья Касперская, InfoWatch: Безопасность – она как луковица

1 сентября 2014
17

Интервью Натальи Касперской, генерального директора Группы компаний InfoWatch, порталу GlobalCIO.

Группа компаний InfoWatch была весной 2014 года признана американским изданием CIO Review одним из 20-ти наиболее многообещающих вендоров в области корпоративной информационной безопасности (CIO Enterprisesecurity 2014). Этот ежегодно публикуемый рейтинг игроков рынка корпоративной информационной безопасности включает не только наиболее успешные на американском рынке компании, но и отмечает вендоров, оказывающих наибольшее влияние на развитие рынка. Как это вам удалось?

Честно говоря, мы не ожидали, что попадем в рейтинг –, так как InfoWatch пока не присутствует на рынке США, хотя мы думаем об этом. Защитой от утечек мы занялись еще в 2001 году. Вначале это был проект внутри «Лаборатории Касперского». Идея была чисто технической и простой: если мы фильтруем информацию, входящую в компанию, то почему бы не фильтровать данные, отправляемые вовне? Но когда мы сделали прототипсистемы и попытались его продавать, быстро стало ясно, что клиенты вообще не понимают, зачем это нужно. В то время еще не было такого класса ПО – системызащиты от утечек. Мы создали сначала отдельную компанию InfoWatch, потом инициировали создание специализированного сайта по защите от утечек, затем, через три года, стали ежегодно проводить тематическую отраслевую конференцию DLP Russia, организовали в InfoWatch собственный, единственный в России аналитический центр мониторинга утечек конфиденциальной информации. Его сотрудники собирают и анализируют информацию об утечках во всем мире, выявляют тренды, смотрят ситуацию по отраслям, отдельным странам и т.д.

Мы разработали собственную методику анализа утечек: собираем максимально полную информацию по всем утечкам, о которых были сообщения в СМИ и других открытых источниках, затем анализируем эти сведения по различным показателям (количество утекших данных, каналы утечки, региональные, отраслевые особенности, и т.д.) По результатам анализа каждые полгода InfoWatch публикует Глобальный отчет об утечках. Также Аналитический центр InfoWatch готовит отраслевые и региональные отчеты, например, специально для Роскомнадзора мы делаем отчеты по ситуации с утечкой данных в России.

Активно развивается созданная с подачи InfoWatch отраслевая конференция DLP Russia, которая в прошлом году была переименована в BIS Summit – Business information security summit, поскольку мы считаем, что рынок перерос термин «DLP», пора обсуждать не столько утечки данных, сколько комплексную безопасность предприятия. Но и сами мы пошли дальше: занимаемся защитой от таргетированных атак, защитой мобильных пользователей и приложений и многими другими аспектами безопасности предприятия.

InfoWatch планирует расширять свою аналитическую работу в сфере информационной безопасности, поскольку это важно для развития рынка. Даже в мире этим мало кто занимается. Скорее всего, благодаря этой деятельности мы получили американскую награду.

Свою DLP-систему вы позиционируете как связку «программный продукт+сервис» в отличие от большинства конкурентов, которые по старинке продают эти системы как ПО. Как эта модель "продукт + сервис" воспринимается и реализуется в России?

Если бы мы могли продавать DLP просто как программное обеспечение, мы бы делали это. Но мы пока не придумали, как это осуществить. Почему DLP включает сервис? Потому что в отличие от других систем, в частности, антивирусов, системы защиты от утечек имеют дело с неопределенным объектом анализа. Основная сложность заключается в том, чтобы понять, что же мы ловим, т.е. какую именно информацию компании необходимо защищать. Понятно, что речь идет о защите конфиденциальной информации. Но в каждом случае это будут свои, существующие только в данной компании, конфиденциальные документы... Для нефтяной компании– это информация о месторождениях, о планируемых действиях по их разведке и освоению, о тендерах. Для банка приоритетна защита финансовой информации, в том числе клиентской. Категории документов в различных отраслях одинаковы, но сами документы – разные, поэтому DLP-систему необходимо настраивать в каждом конкретном случае.

. Отчеты о результатах мониторинга строятся по разным шаблонам, также уникальным для каждого клиента. InfoWatch использует некоторые стандартные технологии для обнаружения конкретных документов, которые слегка настраиваются под каждого клиента. Например, шаблоны – проверка исходящего документа на соответствие заранее определенным форматам – только одна из наших технологий. Мы применяем и технологию отпечатков, когда из каждого документа выбирается только небольшие фрагменты наиболее значимой информации и делается проверка на совпадение с конфиденциальным документов. И т.п.

У рынка DLP не было периода взрывного роста, как, например, у мобильных устройств, или антивирусов. До недавнего времени годовой рост рынка составлял всего 5 -10%, но два года назад рынок вдруг ускорился до 30-40%. Это произошло потому, что компании начали ощущать на себе неприятные последствия утечек информации, т.к. о реальных инцидентах много пишут в прессе, пришло осознание необходимости защиты конфиденциальных данных. И в этом – немалая заслуга InfoWatch, благодаря той просветительской работе, которую мы ведем уже более 10-ти лет.

Подход, который мы активно продвигаем, заключается в следующем: DLP-система не должна использоваться лишь сама по себе, одиночно, а должна быть частью комплексной системы, включающей также стадии пре-DLP и пост-DLP.

Пре-DLP включает в себя набор действий, которые необходимо выполнить до момента установки системы защиты, чтобы она работала эффективно. Пост-DLP – этап расследования инцидентов, связанных с утечкой конфиденциальных данных, и сбора доказательств для применения в ходе судебных разбирательств. У нас есть специализированная база инцидентов, на которую можно опираться при проведении расследования.

Конечно, я, как бизнесмен, предпочла бы минимизировать сервисную составляющую и продавать DLP-решение просто как программный продукт поскольку сервисное обслуживание – дело сложное и затратное, прямо зависит от числа занятых людей. Поэтому сейчас мы стараемся свести пре-DLP-стадию работы к минимуму, понимая, однако, что полностью ее изжить пока не получится. С этой целью InfoWatch разработала программный продукт InfoWatch Personal Data Protector, ориентированный на защиту исключительно персональных данных. В случае с персональными данными отсутствует проблема определения объекта защиты, так как это определяет закон. Набор данных, связанных с конкретным человеком, постоянен, хотя сами данные могут меняться. Выпуск InfoWatch Personal Data Protector – наша попытка выйти в сегмент СМБ. Этот продукт позволит небольшим компаниям раз и навсегда обезопасить себя от претензий регуляторов в сфере защиты данных.

Что вас более всего огорчает в общении с российскими клиентами?

До сих пор сама идея DLP как концепции далеко не самоочевидна для клиентов. Кроме того, есть много вендоров, распространяющих идею о том, что можно просто установить DLP-систему и забыть о ней. Более того, эти системы иногда поставляются бесплатно как бонус к покупке антивируса. К сожалению, такие «продукты» практически не работают, что вызывает негативную реакциюу клиентов и последующее недоверие во всем DLP-системам: «Мы же уже знаем, что это не работает».

Надо понимать, что DLP-система – это не панацея, всех проблем с утечками она не решает. Это лишь еще один дополнительный уровень безопасности, который позволяет защитить информационные активы компании. Безопасность многослойна как луковица, многие слои пересекаются. И чем больше таких слоев, тем сложней эту защиту преодолеть. Поэтому если компания при разработке своей модели угроз рассматривает утечку информации как серьезную угрозу, ей нужна система класса DLP.

Как относятся к вашим проектам ИТ-специалисты и специалисты других связанных с безопасностью служб?

Порядка 70% наших контрагентов в компаниях-заказчиках - это руководители исотрудники служб информационной или общей безопасности. Сейчас мы стремимся донести преимущества наших решений и до руководителей и владельцев компаний, которых среди наших заказчиков пока не более 10%. Это не так просто, как хотелось бы, поскольку задача борьбы с утечками узкоспециализированная и не все руководители осознают ее необходимость...

К сожалению, ИТ-специалисты, довольно часто находятся к нашим проектам в оппозиции. Подход ИТ подразделений зачастую таков: чем меньше у меня систем, тем лучше. DLP – это еще одна система, которая создает нагрузку и теоретическиможет давать сбои, тормозить, а разбираться с проблемами должен будет ИТ-директор. Если же произойдет утечка информации, то в общем случае отвечать за это будет служба общей или информационной безопасности, а не подразделение ИТ. Зачем ему расширять свою зону ответственности? Поэтому ИТ-директора всячески противятся появлению такого класса систем в своем ИТ-ландшафте.

Если же ИБ относится к ИТ-отделу, то для его руководителя ситуация сложнее. Случись утечка, пальцем показывать будет не на кого. Поэтому такой руководитель начинает рассматривать установку DLP-системы, но чаще всего так, чтобы просто соблюсти формальное требование. Поставил, скажем, продукт, работающий по принципу «установил и забыл», тот утечку не отследил. «А что я могу сделать? Стоял же продукт крупного вендора…», - это классика.

Мы все же в большей степени ориентированы на диалог с бизнесом. В своих DLP-решениях мы реализовали простые и наглядные формы отчетов, позволяющие увидеть картину в целом, чтобы топ менеджер имел представление о том, какие ресурсы посещают сотрудники компании, что их интересует, о чем они пишут. Анализировать коммуникационные потоки в компании - само по себе интересная, важная и практически нерешенная задача.

Анализ информационных потоков – это по сути работа с большими данными, которые сейчас являются модным трендом. Однако, мы пока не придумали, какие именно инструменты надо дать менеджеру для того, чтобы такой анализ был ему по-настоящему интересен. Пока мы идем по пути увеличения разнообразия отчетов и повышения их наглядности. Анализ информационных потоков может быть интересен тому, кто непосредственно работает с людьми, например генеральному директору или директору по персоналу.

Каким образом у вас налажено взаимодействие с клиентами, сбор их требований, предложений?

Каждый клиент, купивший наш ПО, в обязательном порядке заполняет анкету, где сообщает о том, насколько ему понравился продукт, и выражает свои пожелания по улучшениям и изменениям. Помимо этой формальной процедуры есть неформальное общение специалистов внедрения с клиентами. Поскольку в процессе внедрения DLP-системы велик объем консалтинговой работы с заказчиком, на данном этапе мы наилучшим образом можем понять потребности клиентов. Все пожелания, особенно требования, которых еще нет в продукте, учитываются, формализуются в общем списке требований, который с определенной периодичностью рассматривается на продуктовом комитете.

Каковы критерии отбора требований для новых версий?

Первое – это пожелание трех и более клиентов. Второе – если крупный клиент готов отдельно платить за определенные изменения. Тогда делается отдельная «ветка» продукта под данного заказчика. Сейчас мы поддерживаем немало вариантов таких отдельных клиентских версий, например, для Райффайзен банка. Для этих целей у нас есть специальный отдел доработок, ведь как только выходит новая версия либо нашего продукта, либо ОС, под которую была сделана доработка, возникает необходимость апгрейда.

Насколько развиты и проработаны модели угроз, которые используют ваши клиенты?

Как правило, на уровне модели угроз ситуация неплохая, такие модели с большей или меньшей степенью проработанности присутствуют в крупных и большинстве средних компаний. Либо в виде отлично структурированного документа, либо в виде схемки на листке бумаги, уровень разный. Чего нет – это определения, что есть конфиденциальная и строго конфиденциальная информация. С этим намного сложней, поскольку если «по серьезному» заниматься защитой конфиденциальной информации, нужно вводить понятие и режим коммерческой тайны. Это весьма сложные организационные меры, и далеко не все компании готовы на них идти. Крайне редко бывает ситуация, когда мы приходим в компанию, а там уже коммерческая тайна установлена, все регламенты и процедуры прописаны и исполняются, а нам только остается реализовать те сценарии, которые уже разработаны и должны исполняться.

Модель угроз не раз и навсегда определенная сущность, ее нужно систематически пересматривать, обновлять, дополнять. Отношение к информационной безопасности в целом меняется, можно по-разному к ней относиться, но заниматься ею необходимо, это вопрос существования бизнеса. Сегодня это понимают даже те компании, которые раньше не обращали внимания на информационную безопасность.

Читать другие интервью:
3515
Поделиться
Коментарии: 17
  • Виктор Федько
    Рейтинг: 337
    Эксперт
    02.09.2014 09:34

    Если бы мы могли продавать DLP просто как программное обеспечение, мы бы делали это. Но мы пока не придумали, как это осуществить. Почему DLP включает сервис? Потому что в отличие от других систем, в частности, антивирусов, системы защиты от утечек имеют дело с неопределенным объектом анализа.
    Да,все так. Обратил бы внимание на следующее :

    1. Продажа такого ПО - дело выгодное. но еще выгоднее продавать его как ПО+сервис, т.е. настраиваемую систему. Для каждого в отдельности. Это хорошо для продавца, но часто отпугивает покупателя - цена возрастает.

    2. Да, объект анализа не определен . Но алгоритм то анализа практически всегда один и тот же! Программе подается на вход информация, и она ее фильтрует. Каждый раз разную информацию, но по одному алгоритму. Отсюда вопрос - а не рассматривался ли вариант разработки интерфейса пользователя для настройки фильтров? Я покупаю ПО и получаю полное описание для настройки. Дальше все сам. программа будет фильтровать по алгоритму разработчика, но критерии фильтра заводит Заказчик. Всем удобно, дешевле, и нет головной боли с вопросами конфиденциальности и ответственности исполнителя за неразглашение.

    К сожалению, ИТ-специалисты, довольно часто находятся к нашим проектам в оппозиции.

    Да, есть такое. Подобные системы очень часто начинают конфликтовать с настройками инфраструктуры, повышают нагрузку на трафик. Не все антивирусы нормально воспринимают наличие в системе собрата DLP. Да много еще чего.
    Другое дело, а что за ИТ-специалисты? Админы ? Средний уровень управления? Нормальный CIO в полном смысле этого слова должен понимать необходимость и нужность для компании (если есть таковая) таких решений и находить приемлемые решения - компромиссы. То есть, конфигурироваться с учетом особенностей DLP-системы. Если это в интересах бизнеса и бизнес это понимает.

    Поставил, скажем, продукт, работающий по принципу «установил и забыл», тот утечку не отследил. «А что я могу сделать? Стоял же продукт крупного вендора…», - это классика.

    Классика то классика, только это уже не CIO, а, простите уж, шаромыжник. Надо понимать, что все что происходит в инфраструктуре - зона ответственности CIO. И аргументы типа "стоял же продукт крупного вендора" , как правило, не "катят". Не уследил - снимай штаны.. :) Вендор далеко, а ты тут, рядом.

  • Марк Шварцблат
    Рейтинг: 10
    КТ "Акведук"
    ИТ-директор
    02.09.2014 09:43

    Как говаривал один из знакомых начальников СБ - самые простые технические средства, которые закроют большую часть технических уязвимостей, а дальше работать и работать с людьми. :)

    • Виктор Федько Марк
      Рейтинг: 337
      Эксперт
      02.09.2014 09:51

      Палач всегда без роздыха
      Но что не говори
      Работа-то на воздухе,
      Работа-то с людьми ))) (с)

      • Марк Шварцблат Виктор
        Рейтинг: 10
        КТ "Акведук"
        ИТ-директор
        02.09.2014 10:24

        Ну нет. СБ - это, скорее,смесь терапевтов со специалистами по профилактической гимнастике. Карательные функции монополизированы государством. :)

  • Ольга Мельник
    Рейтинг: 200
    Независимый эксперт
    02.09.2014 11:26

    Интересное обсуждение темы DLP было у нас на экспертном клубе розницы летом. Николай Вяткин из "Ленты" докладывал о том, что они делают в борьбе с мошенничеством, и в частности рассказал о уже запланированном DLP-проекте. Что тут началось! Все как заворчат, зашумят, завозмущаются....
    Оказалось, что большая часть аудитории - было 18 ИТ директоров, все из розничных сетей - уже так или иначе имели с DLP дело. Опыт у большинства был негативный. Так, Николай Зайцев, Этуаль, рассказал, что у них уже было три подхода, три проекта внедрения, и выяснилось, "что никому это не нужно" - от бизнеса прежде всего. У других был схожий опыт, но были и одинокие голоса о том, что DLP-система внедрена и от нее наблюдается польза. В общем, дискуссия была такая, что еле удалось унять народ. В ноябре, скорей всего, будет отдельная встреча по безопасности, раз такой ажиотаж.

    • Дмитрий Кудрявцев Ольга
      Рейтинг: 10
      CIO-on-demand.ru
      партнёр
      03.09.2014 13:43

      Да просто тут всё, как три копейки: эффект от внедрения чего угодно (уже существующего тиражного, "коробочного") плохой только по причине низкой квалификации заказчика. Нет других причин.

      Под заказчиком я понимаю сумму должностей, протолкавших подписание финального акта о приёмке системы.

      Это если в общем.

      А если в частностях, то DLP - лишь инструмент. Но никак не технология. И не процесс. А тем более, не система защиты от утечек. Здесь "внедрить", уверен, не является итогом анализа потоков данных, которые "уходят из-под контроля в цифру", потому что нет контроля как такового. Нет системы управления данными в аналоговой (бумажной) и цифровой формах. А ведь DLP - лишь кусочек такой системы, существующей в западном пространстве ИБ, причём, система эта - продукт эволюции "с бумаги в цифру", спорный, конечно, но всё-таки результат движения. А не "внедрения".

      Вообще, опус Михаила Плисса о судьбе CIO в России пора повторить, да только по CSO.

      • Виктор Федько Дмитрий
        Рейтинг: 337
        Эксперт
        03.09.2014 15:17

        1. Я бы , все-таки, столько категорично на заказчика все не валил. Да, частенько именно так и есть. Но не всегда. Масса других факторов могут влиять на эффекты от внедрения.

        2. Внимательно прочитал опус. Эдакий "крик души". "Глеб, надо что-то делать.Они же убьют его" ))). Примерно так звучит.
        в общем и целом согласиться с чем-то можно. Но только не с выводами.
        "позиция ИТ Директора в компании в России – карьерный тупик " - не верно в принципе. На этом сайте очень много эту тему обсуждали. С разных сторон. И к такому выводу, по моему, никто не пришел. Это зависит от конкретных обстоятельств и конкретного человека. Есть масса обратных примеров. Замечу, в скобках, а почему словосочетание "карьерный тупик" рассматривается в исключительно отрицательном смысле?

        какая же должна быть роль ИТ Директора в России — она "по умолчанию" никакая - еще более не верно. Опять же, есть море других, обратных примеров, где она "какая". Если , конечно, постоянно все экстраполировать на западный опыт и реалии - то да. У нас еще крайне мало CIO в ранге , к примеру, вице-президентов по ИТ. Или в Советах директоров. Но они есть.
        Да системы управления бизнесом. производством и т.п. у нас пока еще очень сильно отличаются о западных. Мы на ранней стадии развития. И не только этим отличаемся. Другое дело - а что, их модель управления идеальна и совершенна? Именно к ней надо стремиться? Кто это декларирует и какие есть тому доказательства? Я бы так безоговорочно не принимал эти постулаты. И так уже, собезьянничали много того, что и не надо было в принципе. Я не хочу сказать, что в России у CIO должен быть какой-то исключительный путь, но что-то свое быть обязано.

        С CISO в России да, сложнее. Еще более запутанная должность и все, что с ней связано. Но распутается и это в конце концов.

        P.S. На эту тему было бы очень интересно послушать Павла Шмелева, эксперта этого сайта. Человек, проработавший в ранге CIO много лет ТАМ и вернувшийся в Россию. То есть, есть с чем и что сравнивать Уникальный опыт.

        • Дмитрий Кудрявцев Виктор
          Рейтинг: 10
          CIO-on-demand.ru
          партнёр
          03.09.2014 15:31

          Я, наверно, молод и оттого категоричен. Лох всегда покупатель, как ни крути.

          Опус - да, "болотного" оттенка. Как пример рассуждений о роли руководителя информационной ИБ в нашей стране он вполне подходит, а в необходимости такого рассуждения вы и сами постскриптум написали.

          А вот бессистемность "наших" всё-таки видна. Копировать или нет "их" подходы - это второй вопрос (хотя ИТ же скопировали), пока со своим "фстэковским" чуть переделанным набором алгоритмов криптования десятилетней давности мы всё-таки в кильватере "их" методик...

          В такой ситуации "внедрения" тем хуже, чем больше изменяются от коробочных, ибо своего подхода нет, а заёмный банально не вызрел в голове заказчика.

          • Виктор Федько Дмитрий
            Рейтинг: 337
            Эксперт
            03.09.2014 23:51

            Не огорчайтесь. Молодость - это недостаток, который быстро проходит, к сожалению )))).

            Лоха из покупателя делают. Но сделать можно один раз. Потом, как правило,люди умнеют.

            Тут были недавно дискуссии примерно на эту тему. Вот тут. И здесь затронули.
            Конечно же Вы правы, не все так гладко и во многом бессистемно. Но и говорить, что все запущено о конца - тоже имхо неверно. Сдвиги положительные есть.

  • Виктор Федько
    Рейтинг: 337
    Эксперт
    02.09.2014 12:08

    А негативный опыт , в основном, складывается из следующего:

    1. Не то решение внедряли
    2. Не так внедряли
    3. Не те внедряли
    Возможно, не смогли еще бизнесу объяснить толком, на что нужны столь ощутимые деньги и зачем. DLP - система, она ведь незаметна, пока не поймала что-то значимое, ощутимое, что весит на значительную экономию средств при предотвращении утечки коммерческой тайны. Примерно так.
    А если попыток и не было, так и вопросы возникают у бизнеса - зачем покупали? Тут надо с бизнесом работать на эту тему. и не только в части DLP, кстати.
    Ведь не спрашивает же бизнес - зачем мы новые канализационные трубы покупали, кучу денег угрохали ? Ведь не течет ничего. А вот если б прорвало как следует один раз, мало бы не показалось никому.
    Имхо ажиотаж сильно перегрет. Каждый выбирает для себя политику в этой области. Как считает нужным. А уж технология представления и внедрения - это второй вопрос, это тема квалификации персонала и поставщика решений.

  • Павел Калистратов
    Рейтинг: 10
    МФО Старинов
    специалист ит
    12.09.2014 06:11

    Когда в очередной раз вернулся к теме внедрения DLP, выяснилось, что на рынке за последние пару лет ничего не поменялось. Как были DLP системы жутко дорогими и неумными, такие и остались. Реанимировали старый staffcop, настроили жесче правила прокси и файрволла, все,пассивный мониторинг и не более того. А смысл брать навороченную систему, если для того, чтобы она более-менее , нужно убить кучу времени и сил на настройку и не факт, что оператор не допустит ошибок, а экономический эффект призрачен. Поэтому нет для dlp систем рынка в Росии, дорого и глупо из коробки.

  • Ольга Мельник
    Рейтинг: 200
    Независимый эксперт
    13.09.2014 20:20

    Вот прямо совсем нет рынка dlp в России? Все же, насколько я понимаю, рынок есть, и даже растет потихоньку, так что подозреваю, что польза от dlp решений где-то обнаруживаться должна. Возможно только, сфера эта не столь велика, как хотелось бы вендорам. "Если компания при разработке своей модели угроз рассматривает утечку информации как серьезную угрозу..." - таких относительно немного компаний, я думаю. По соотношению цены защиты к цене утечки их явно должно быть сильное меньшинство.

Предметная область
Отрасль
Управление