Евгений Симонов, InfoWatch: практически на каждом DLP-проекте в Казахстане выявляются инсайдеры
Интервью с руководителем направления по развитию бизнеса InfoWatch в Центральной Азии Евгением Симоновым о том, как обстоит дело с внедрением в казахстанских компаниях DLP-решений.
Один из аспектов, представляющих серьезную угрозу информационной безопасности для бизнеса — внутренние утечки данных. Сотрудники компаний теряют ноутбуки с конфиденциальной информацией, умышленно или неумышленно копируют и выносят данные за пределы офисов, пересылают посредством сторонних мессенджеров информацию, предназначенную исключительно для внутреннего использования.
Согласно недавним исследованиям Лаборатории Касперского, в Казахстане только треть компаний (32%) беспокоит вопрос защиты данных, а больше половины (52%) опрошенных пренебрегают разработкой и внедрением политик информационной безопасности. Еще одно исследование говорит о том, что две трети казахстанских компаний теряли данные из-за внешних или внутренних угроз, причем случайные утечки в силу человеческого фактора, намеренные утечки из-за сотрудников и корпоративный шпионаж заняли 55% от всех угроз.
Способом предотвращения таких утечек данных являются специальные DLP-решения (Data Loss Prevention). Подробнее о том, как обстоит дело с внедрением в казахстанских компаниях DLP-решений, мы расспросили Евгения Симонова, руководителя направления по развитию бизнеса InfoWatch в Центральной Азии.
— Евгений, можете ли вы кратко описать, что собой представляет DLP-решение в современных реалиях?
— Долгое время существовала проблема организации эффективного взаимодействия между руководителем компании и специалистом по информационной безопасности. Она заключалась в том, что во всех компаниях первыми о появлении информации, которую необходимо защищать, узнают не ИБ-специалисты, а сотрудники бизнес-подразделений. Они же лучше кого бы то ни было знают, кто и как с этой информацией может работать. Бывает, что ИБ-специалист все эти сведения получает с большим опозданием. Из-за этого образуется некоторый промежуток времени, когда новая конфиденциальная информация в компании уже появилась, но в DLP-система ее еще не защищает.
Таким образом, очевидно, что процесс управления безопасностью должен находиться в тесной взаимосвязи с бизнесом. Но воплотить эту идею в реальность было достаточно сложно, поскольку адаптировать регламенты компании под «язык», внутреннюю логику и ограничения DLP-системы мог только специалист с определенными техническими знаниями. О том, чтобы бизнес-пользователи могли каким-то образом самостоятельно работать с DLP-системами и контролировать уровень защиты ценной для них информации, не было и речи.
Для решения этой проблемы InfoWatch создала DLP-решение на базе новой платформы, перестроив внутреннюю логику продукта так, чтобы он обеспечивал простую и гибкую трансформацию регламентов компании в политики безопасности. Таким образом, InfoWatch Traffic Monitor 5.0 учитывает больше данных для формирования картины угроз, чем традиционные DLP-системы и обеспечивает постоянную, непрерывную защиту информации.
Кстати, среди прочего, такая простота в настройке и использовании позволит кардинальным образом изменить ситуацию с распространением DLP-систем в сегменте СМБ, который страдает от утечек данных не меньше крупных компаний, но обычно не имеет ресурсов для внедрения и эксплуатации таких решений.
Мы уверены, что InfoWatch Traffic Monitor 5.0 — это огромный шаг в развитии DLP-систем в целом. Если раньше данные системы использовались преимущественно для задач информационной безопасности, то теперь с их помощью можно эффективно решать задачи бизнеса. Наше решение помогает бизнесу получить уверенность в безопасности ценных и конфиденциальных данных, дает понимание всех внутренних и внешних потоков информации в организации, позволяет выявить сговоры, злоумышленников, лиц занимающихся промышленным шпионажем, помогает осуществлять бизнес-разведку с целью контроля деятельности персонала и определения степени их лояльности к компании.
— Как для вас выглядит казахстанский рынок DLP-решений и в каких цифрах он выражается?
— Ввиду большой значимости проблемы утечек конфиденциальной информации и востребованности DLP-решений к «решению» проблемы часто подключаются и те, кто не имеет необходимой экспертизы в данной области. За 2013 год на сцену казахстанского рынка DLP вышли новые игроки, которые позиционируют свои продукты как «коробочные». Возможно, это более легкий путь продвижения, но такое позиционирование говорит о том, что понимания проблемы и базовых принципов защиты от утечек у этих вендоров нет.
В результате, заказчики, купившие такие решения, разочаровываются в целом классе DLP-систем, думая, что они не способны защитить информацию от утечек. Часто такие «коробочные» продукты не умеют работать в режиме реального времени, анализировать информацию «на лету», и таким образом, не способны предотвратить (запретить) отправку конфиденциальных данных. Как правило, они могут только провести пост-анализ, то есть применительно к таким решениям правильнее будет сказать, что это не DLP (Data Leakage Prevention, защита от утечек данных), а DLD (Data Leakage Detection, обнаружение утечек данных).
Оценивать тенденции на этот год пока сложно, конкретные цифры являются нашей коммерческой тайной. Могу лишь отметить, что в этом году у нас будут реализованы крупные проекты в Азии.
— В интервью для нашего портала, которое вы давали в 2011 году, вы упоминали, что в среднесрочной перспективе InfoWatch видит себя лидером на казахстанском рынке. Какова ситуация сейчас? Какой доли удалось достигнуть в Казахстане?
— За это время мы достаточно сильно увеличили свою долю на рынке. Сейчас среди наших заказчиков — крупнейшие казахстанские компании из различных отраслей, среди которых Служба охраны Президента Республики Казахстан, Министерство нефти и газа Республики Казахстан, Министерство здравоохранения Республики Казахстан, Администрация Президента Республики Казахстан, АО «Нурбанк», Госэкспертиза и многие другие. На сегодняшний день наши продукты особенно широко применяются в государственном сегменте.
У нас появился офис InfoWatch в Астане, выделенный менеджер по продажам, отвечающий за работу только с казахстанскими заказчиками и партнерами, а также инженер по внедрению наших продуктов в стране. Все эти меры, позволили нам добиться поставленной цели. Сейчас не могу называть проекты, но 2014 год также обещает быть достаточно плодотворным. Надеемся, что произошедшие с тенге события не окажут большого влияния на рынок.
— Вы упоминали, что наибольшее число ваших заказчиков находится именно в госсекторе. А какова разбивка по долям среди заказчиков (крупный бизнес, госсектор, СМБ)?
— Около 70% наших заказчиков находится в государственном сегменте. Это объясняется тем, что государственные организации используют крайне чувствительную информацию, утечка которой критична. Приблизительно 20% заказчиков — это финансовый сектор, и оставшиеся 10% — это достаточно разнородные компании из промышленной и нефтяной отрасли.
— Работая на местном рынке, вы наверняка видите ситуацию «изнутри». Насколько серьезно казахстанские компании подходят к вопросу внутренней безопасности и предотвращению утечки данных?
— Ситуация в Казахстане по вопросу обеспечения внутренней безопасности, защиты от инсайдеров, о которой я говорил 3 года назад, ожидаемо поменялась в лучшую сторону. Заказчики стали гораздо более подкованными в этом вопросе. В своей работе мы по-прежнему фокусируемся на просветительской части, на обучении, делимся своим опытом защиты информации. Могу также отметить, что сейчас заказчики стали больше фокусироваться на правовых аспектах использования DLP. Наша идеология была принята заказчиками, компании поняли, что такое информационная безопасность и как она должна быть правильно реализована.
— Кто ваши основные конкуренты?
— В России мы занимаем чуть менее половины корпоративного рынка, за нами следуют все остальные — «Инфосистемы Джет», Websense, Symantec и другие.
Насколько мне известно, соответствующих исследований по рынку Казахстана не проводилось. Но, судя по списку наших заказчиков, мы занимаем большую долю рынка и в РФ и в РК. Приятно понимать, что все известные игроки DLP присутствуют и в Казахстане, это формирует хорошую конкурентную базу, что позволяет заказчикам после проведения сравнения выбрать такое решение, которое будет отвечать поставленным задачам предотвращения утечек информации.
— Каковы примерные сроки реализации проекта, и какие основные этапы необходимо пройти?
— Многолетняя практика компании InfoWatch сформировала трехзвенный подход к защите от внутренних угроз, который включает в себя три основных этапа: Pre-DLP, DLP и Post-DLP.
Pre-DLP — это совместный с клиентом анализ информационных ресурсов компании и выявление информации, нуждающейся в защите. В каждой организации есть своя конфиденциальная информация, и уровень ее чувствительности тоже различен. Чтобы руководитель понимал, какие конфиденциальные данные сейчас хранятся, перемещаются и используются в компании, вся информация обязательно должна быть проклассифицирована.
Когда мы начинаем наше общение с заказчиком, на первом этапе мы проводим аудит данных компании и классифицируем информацию по категориям, в том числе по уровню конфиденциальности, определяем, какую информацию необходимо защищать. Наш продукт InfoWatch Traffic Monitor в автоматическом режиме сортирует по категориям внутренний трафик. К тому же, поскольку решение учитывает потребности компаний различных сфер деятельности, оно очень эффективно не только для защиты персональных данных, но и при работе со специфической информацией, ценной для компании определенной отрасли. Для каждой вертикали мы создали широкий перечень типов данных, а также словарь профессионального сленга, общепринятых терминов и выражений, то есть свой ключевых слов, подходящий именно этой отрасли. Так что InfoWatch Traffic Monitor с равным успехом определит тематику и уровень конфиденциальности письма как в банке, так и нефтегазовой компании.
После того, как мы вместе определили, какую информацию мы будем защищать, идет этап непосредственного внедрения DLP-системы. При правильно построенном этапе Pre-DLP в качестве третьего этапа клиент получает возможность расследования инцидентов и представления их в суде, т.е. Post-DLP.
— Говоря об итогах проектов, можете привести пример, где после внедрения вашего решения было выявлено определенное количество утечек информации…?
— Да, пожалуйста! Это российский банк, в котором работает более 30 тысяч сотрудников и хранится информация о 27 миллионах контрагентов. Можно представить, сколько это персональных данных и как их можно использовать. Банк ежедневно работает с такой информацией как ФИО, номера телефонов, адреса, номера кредитных карт, ИНН и так далее. За время пилотного проекта, который продолжался 6 месяцев, было выявлено около 400 нарушений политик информационной безопасности. По итогам проекта 92 сотрудника было уволено. Четыре сотрудника продавали конфиденциальную информацию, это было доказано. На основании этого пилотного проекта были проведены организационные меры и усилен режим коммерческой тайны в банке.
— А в Казахстане какой-то аналогичный опыт вы можете озвучить? Какие-то выявленные случаи потери или кражи информации?
— Да, конечно. Назвать ее я не могу. Это производственная компания. Системный администратор, который работал в течение 8 лет и являлся доверенным сотрудником компании, произвел кражу базы данных из системы 1C, что привело к ощутимым денежным потерям для компании. Заказчик спохватился, когда уже потерял информацию и доказать факт кражи базы данных было невозможно. В итоге компания лишилась информации и сотрудника.
— А в целом, исходя из опыта реализации проектов в Казахстане, насколько много в компаниях выявляется подобных случаев?
— Обычно уже на стадии пилотного внедрения система выявляет несколько попыток инсайда. Владелец компании может сам оценить, сколько стоит его информация, и сколько потеряла бы компания в случае утечки.
Иногда утечки случаются не в результате злого умысла сотрудника, а просто в результате ошибки. Поэтому не всегда выявление инсайдера заканчивается увольнением, но по окончании пилотного проекта какие-то выводы делаются в обязательном порядке.
— Расскажите о планах InfoWatch по дальнейшей работе в Казахстане?
— Наша ближайшая цель — завоевание лидерских позиций в нефтяном секторе, расширение в государственном и финансовом сегментах. Уверен, что все будет идти по плану, а мы по-прежнему, будем помогать компаниям защищать информацию и свой бизнес.