Галина Рябова, «Ростелеком-Солар»: Российский рынок DLP-систем интереснее и сильнее, чем западный
Российский рынок DLP-систем считается достаточно передовым благодаря функциональности представленных на нем решений. А одно из первых было создано два десятилетия назад и задумывалось изначально как почтовый архив. О том, как все эти годы развивалась индустрия защиты от утечек и ее флагманская DLP-система, и к чему обе пришли сегодня, в интервью CNews рассказала Галина Рябова, руководитель направления Solar Dozor компании «Ростелеком-Солар».
CNews: Старейшей на российском рынке системе защиты от утечек Solar Dozor исполняется 20 лет. Расскажите, как появился этот продукт и как он эволюционировал все эти годы?
Галина Рябова: Solar Dozor появился на свет в 1998 году как заказная разработка почтового архива в ответ на требования регуляторов к банкам по хранению почтовой переписки. А 19 мая 2000 года вышел первый релиз коробочного продукта «Система мониторинга и архивирования почты Дозор-Джет» (СМАП «Дозор-Джет»).
Продукт создавался в отделе интранет-технологий компании «Инфосистемы Джет», в котором собрались талантливые специалисты высочайшей квалификации для решения тех задач заказчиков, с которыми не справились другие компании. И эти специалисты параллельно с решением задачи хранения почты реализовали автоматизацию наполнения архива и управления почтовыми потоками. Поэтому на выходе в 2000 году получилась полноценная DLP-система на почтовом канале, которая умела перехватывать сообщения и применять к ним правила политики фильтрации. А по результатам фильтрации — выполнять ряд действий: блокировку письма, отправку уведомления, проставление пометок (много лет спустя аналоги пометок будут называть «тегами»).
В сотом номере журнала Jet Info (вышел в начале 2000-х) в большом материале о СМАП «Дозор-Джет» Александр Таранов и Владимир Цишевский писали: «Неконтролируемое использование электронной почты сотрудниками предприятия влечет за собой утечку конфиденциальной информации, потерю рабочего времени из-за использования сотрудниками корпоративной почты в личных целях, перегрузку каналов передачи информации, распространение компьютерных вирусов и утрату информации». Что это, если не DLP-система?
CNews: В любом бизнесе бывают переломные моменты, которые сказываются на бизнес-процессах. Как повлиял на развитие продукта выход из-под крыла «Инфосистемы Джет» в самостоятельное плавание в 2015 году и встраивание в группу «Ростелекома» в 2018-м?
Галина Рябова: Нашему продукту все три раза очень повезло. Компания «Инфосистемы Джет» дала ему сильную профессиональную команду для старта, обеспечила быстрый и мощный рост, крупный бизнес в качестве первых заказчиков. Но со временем «Дозору» стало тесно в рамках интегратора: и из-за структуры бизнеса, в котором трудно развивать вендорский продукт, и по причине ограниченности рынка.
Мощным импульсом к развитию продукта послужило создание отдельной компании «Солар Секьюрити», в которую перешла вся команда, трудившаяся над «Дозор-Джет» в интеграторе. Тогда мы вышли на новые рынки, выпустили шестую версию, в которой полностью переработали логику взаимодействия пользователя с системой. Перед нами стояла задача: сделать так, чтобы человек, который не является ИТ-специалистом и не имеет глубоких инженерных знаний, мог легко решать проблемы, связанные с обеспечением безопасности предприятия. Нам удалось ее решить, и это стало настоящим прорывом в индустрии. Интерфейс Solar Dozor, по сути, стал «айфоном» среди интерфейсов DLP-систем. А когда нашу компанию купил «Ростелеком», мы получили еще и мощнейший инвестиционный рычаг. При этом мы остаемся самостоятельными в формировании и реализации своей стратегии развития и не испытываем давления со стороны родительской компании.
CNews: Что сейчас представляет из себя ваш продукт и что принципиально отличает его от решений других DLP-вендоров?
Галина Рябова: Российский рынок DLP-систем — зрелый, а отечественные игроки — очень сильные. Если сравнивать «по фичам», то во многом продукты разных вендоров схожи. Если спросить пользователей, что главное в Solar Dozor, мне кажется, что первым ответом будет «дизайн и аналитика». Но если смотреть глубже, то преимущество нашей системы — в комплексном подходе к решению задач безопасности. Мы понимаем, что нужно заказчику, автоматизируем рутинные сценарии работы, даем ему готовые срезы данных для принятия решений и, что важно, делимся методиками использования продукта. Будучи вендором, мы 20 лет изучаем предметную область, агрегируем знания и опыт всех своих клиентов. У нас накоплена большая экспертиза, которую мы перерабатываем в методики.
CNews: По мере развития решения Solar Dozor вы смотрите на конкурентов? Или идете исключительно своим путем?
Галина Рябова: Я горжусь тем, что отечественные решения в этом сегменте интереснее и сильнее зарубежных аналогов. Наши конкуренты не дают нам расслабиться, за что им спасибо. Работать в конкурентной среде гораздо интереснее и увлекательнее. Если другие DLP-вендоры предлагают рынку что-то новое, мы обязательно изучаем и анализируем их опыт. Если мы реализуем какую-то функцию позже конкурентов, то опираемся на анализ преимуществ и недостатков реализации аналогичных функций в их решениях, а также на опыт пользователей при работе с этой функцией. Если уж ты что-то делаешь позже других, то тогда надо сделать это лучше всех.
Но стратегию развития продукта мы, конечно, строим на анализе проблем и потребностей заказчиков и прогнозах развития технологий. Так, например, до 2015 года DLP-системы имели суровые инженерные интерфейсы и алгоритмическую логику. Чтобы работать в такой системе, пользователю был необходим серьезный технический бэкграунд. Например, единственным доступом к данным был поисковый запрос, схожий с SQL-запросом. При этом пользователь оперировал в качестве поисковых параметров такими понятиями, как mime-тип. Он должен был знать, что отравитель письма может быть не только в заголовке «from», но и в заголовке «sender». В то время как пользователи CRM-систем применяли привычные им бизнес-понятия «лид», «сделка», «контрагент».
Назрело явное противоречие: задачи необходимо решать безопасникам, а пользоваться системой могут только ИТ-инженеры. И мы первыми на рынке решили предложить ИБ-специалистам систему, которая будет общаться с ними на языке их задач — «канал коммуникации», «информационный объект», «досье сотрудника», «группа особого контроля» и т.д. Более того, система будет выдавать готовую консолидированную информацию и аналитику без необходимости бесконечного поиска по архиву. Как пользователь CRM может получить все данные по сделке в карточке сделки, так пользователь DLP теперь может получить всю информацию по коммуникациям сотрудника в «Досье» сотрудника. Плюс к этому мы сделали интерфейс красивым. Безопасники должны получать удовольствие от своей работы.
Как только продукт перестал предъявлять слишком высокие требования к ИТ-бэкграунду пользователей, ИБ-специалисты начали применять его для решения всего спектра задач службы безопасности, а не только для классической задачи защиты от утечек.
CNews: Какие задачи помимо стандартной защиты от утечек решает Solar Dozor?
Галина Рябова: Процесс защиты от утечек строится по принципу анализа каждого переданного сообщения на соответствие политикам безопасности. В момент проверки конкретного сообщения система ничего не знает о том, что происходило до или после его отправки. О том, как предшествовавшие сообщению события связаны с последовавшими за ним. Фокус внимания на конкретной коммуникации, вне контекста. Но на самом деле система контролирует все коммуникации сотрудников на протяжении долгого времени. А значит, анализ этих коммуникации в разных разрезах подводит нас к возможности решать более широкий круг задач безопасности.
Обобщая опыт последних лет, можно сказать, что DLP-системы сегодня могут с успехом применяться для решения таких задач служб безопасности, как выявление групп риска и мониторинг активности сотрудников из групп особого контроля. С их помощью можно выявлять в компаниях ранние признаки зарождающихся мошенничеств и коррупции и проводить по ним расследования. Можно вести мониторинг лояльности сотрудников и использовать полученную информацию для профилактики увольнений. Управлять конфликтами интересов и выявлять увлечения персонала деструктивными религиями и сектами. В общем, спектр решаемых задач очень широк. Что же касается собственно защиты от утечек, то сегодня это важная, но рутинная задача. И как любой рутинный процесс, она должна быть максимально автоматизирована.
CNews: Два месяца назад страна перешла на удаленный режим работы. Как вы отреагировали на столь радикальное изменение ИТ-ландшафта?
Галина Рябова: Да, мы тоже перешли на удаленный формат работы. И сразу почувствовали на себе то, что чувствуют наши клиенты: увеличение в трафике доли конфиденциальных документов, появление документов, которые раньше в нем отсутствовали, расширение круга получателей таких документов. То, что прежде обсуждали устно и читали в бумажном виде, теперь мы вынужденно пишем и пересылаем в электронном. Бизнес стремительно «цифровизировался». Одновременно окончательно размылось понятие периметра организации: где проходит периметр, когда все сотрудники находятся за пределами офиса? В этих условиях кратно выросли риски, связанные с утечками информации. Рутинная задача защиты от утечек снова стала частью актуальной повестки дня.
С другой стороны, у бизнеса возникла некомфортная неопределенность, связанная с эффективностью использования рабочего времени сотрудниками. Я иногда слышу, что оно контролируется фактом решения задач. Однако в реальной жизни узнать о том, что сотрудники не были достаточно дисциплинированы на удаленке, в момент срыва компанией обязательств, — слишком большая роскошь, особенно в кризис.
Оперативно отреагировав на обстановку, наша компания предложила рынку новый сервис защищенной удаленной работы. В состав услуги, помимо других опций, входит защита от утечек и контроль рабочего времени. Собираемые с помощью агентов данные представляются в виде аналитики для двух целевых групп — топ-менеджмента и линейных руководителей. Руководство компании получает информацию о времени начала и окончания рабочего дня, о его продолжительности и доли «активного времени» как в целом по компании, так и в разрезе подразделений и сотрудников. Также предоставляется статистика по использованию приложений и посещению интернет ресурсов на уровне компании в целом, подразделений и сотрудников. Все показатели даются в сравнении с предыдущим периодом, чтобы можно было оценить тенденции. Преимущество сервиса по сравнению с продуктом состоит в том, что его можно подключить быстро и на время. Например, на период карантина.
CNews: Осенью прошлого года вы представили рынку новую технологию анализа поведения пользователей. Она уникальна для России?
Галина Рябова: Когда вы выявляете утечку — это всегда уже свершившийся факт. Даже если вы ее блокируете, она все равно уже происходит здесь и сейчас. А специалисту по безопасности хочется быть на шаг впереди, ведь лучше предотвратить инцидент, чем устранять его последствия. Анализ поведения пользователей — это механизм, предназначенный для профилактики нарушений. Мы все рабы привычек: мы общаемся плюс-минус с одним и тем же кругом людей, или же у нас постоянно возникают новые контакты, мы пишем привычно много или привычно мало, в нашем трафике встречается определенный набор документов, характерный для нашей деятельности. Если у человека меняется привычное поведение, то это значит, что либо поменялись его должностные обязанности и круг задач, либо у него произошли изменения личного характера. Это триггер, который побуждает специалиста по безопасности разобраться, с чем связаны изменения.
Помимо самой технологии у нас есть методики ее использования, которые мы готовы передать пользователям. Прямых конкурентов у этого решения в стране действительно нет. Некоторые ушли в психологию, построение психологических портретов сотрудников и разделение по группам риска, вроде «Болтуны», «Лентяи», «Скандалисты», «Критики», «Манипуляторы» и проч. Другие сфокусировались на слишком узких задачах, например, на функциональности прогнозирования увольнений. Третьи вообще не предоставили рынку никаких свидетельств реально существующих технологий, а только сделали ряд маркетинговых заявлений. Мы же предложили заказчикам комплексное законченное решение, которое включает построение профилей нормального поведения пользователей, выявляет отклонение от профилей и умеет найти сотрудников, подходящих под определенный паттерн (схему) коммуникаций. И дополнили все эти возможности методиками.
Обычно такие инструменты плохи тем, что к ним в нагрузку нужен еще и очень продвинутый аналитик с навыками психологии. А нам хотелось сделать коробочный продукт, чтобы безопасник его открыл, прочитал максимум краткий справочник работы с системой и сразу начал решать конкретные задачи безопасности без привлечения сторонних специалистов. И у нас это получилось.
CNews: Насколько хорошо «пошла в массы» ваша UBA-система? Кто ее первые заказчики и как они о ней отзываются?
Галина Рябова: Цикл продаж в нашей отрасли — больше года. В настоящее время мы ведем много больших пилотов модуля UBA, получена обратная связь от пользователей, на реальных кейсах отрабатываются и совершенствуются методики. Рынок откликнулся спросом. Как результат, нами принято решение об интенсивном развитии функционала, что уже нашло отражение в дорожной карте на этот год.
Мы видим, что первые реализованные методики работают, что в результате анализа паттернов поведения можно увидеть нарушения, которые невозможно выявить стандартными возможностями DLP-системы.
Приведу пример подобного анализа. В нашей UBA-системе есть такое понятие, как неизвестные контакты. Это контакты, которых нет больше ни у кого в компании. Для рабочих коммуникаций неизвестные контакты — редкость: компании работают с компаниями, поэтому в каждой организации есть хотя бы еще один сотрудник, контактирующий с одним и тем же специалистом контрагента. Поэтому с точки зрения безопасности они всегда интересны ИБ-службе, поскольку, скорее всего, свидетельствуют о некоей индивидуальной нерабочей активности. Если возникают какие-то аномалии, связанные с неизвестными контактами, безопасники всегда обращают на них внимание.
Так вот, на старте массового перехода на удаленную работу мы столкнулись с кейсом, повторяющимся в том или ином виде в нескольких компаниях. У сотрудника появляется неизвестный контакт с аномально интенсивной перепиской. Оказалось, что люди настраивают переадресацию на личные почтовые ящики со своей рабочей почты, чтобы не выпадать из процесса на то время, пока не будет налажен доступ к корпоративному аккаунту. С одной стороны — цель благая, а с другой — серьезная брешь в безопасности.
При работе с паттернами поведения интересны значительные отклонения в количестве сотрудников, попадающих под паттерн. Потому что это свидетельствует об изменении ситуации на уровне компании в целом.
CNews: Как вы в дальнейшем планируете развивать свои ключевые продукты?
Галина Рябова: В своей работе мы придерживаемся концепции People Centric Security — «Безопасность c фокусом на человеке». В рамках этой концепции мы планируем развивать аналитические инструменты нашей DLP-системы.
Вторым важным вектором развития Solar Dozor станет поддержка территориально-распределенной структуры организаций. Сейчас идет укрупнение предприятий, компании объединяются в группы и холдинги. У территориально распределенного бизнеса есть одна и та же проблема: все подразделения, по сути, являются единой компанией, но система DLP устанавливается в каждом филиале отдельно, а отделу ИБ нужно видеть общую картину по безопасности. Требуются решения, которые физически будут размещаться по всей стране, а управлять ими можно из единого центра, проводить сквозные расследования, видеть общую аналитику. Мы видим востребованность этой функциональности, так как очередь на пилоты образовалась еще на этапе обсуждения с потенциальными заказчиками концепции решения.
Для нас реализация этого модуля представляла собой определенный технологический вызов. Позиции DLP-системы Solar Dozor традиционно особенно сильны в сегменте крупных предприятий, где выдвигаются высокие требования к надежности, отказоустойчивости систем. Обеспечить же бесперебойную работу территориально распределенной системы как единой, сохранив весь широчайший набор ее функциональности, по всей стране с учетом возможной нестабильности каналов связи на местах — это очень серьезная задача. И я горжусь тем, что мы ее успешно решили. Модуль MultiDozor, который мы официально анонсируем уже в ближайшие дни, ориентирован на крупный территориально распределенный бизнес и на органы государственной власти с их разветвленной структурой.
CNews: Любой программный продукт — это не только технологии, но и процессы, люди. Какие процессы лежат в основе развития вашего продукта?
Галина Рябова: Подходы к разработке программных продуктов, аналитике, управлению продуктом 20 лет назад и сейчас — две разные вселенные. Мы последовательно прошли весь путь развития вместе с ИТ-индустрией, на каждом из этапов внедряя зарекомендовавшие себя процессы. Так, в конце 2018 года мы взяли на вооружение Agile-подход в разработке. Было много сомнений: наш продукт большой, модульный, а Agile в основном применяется в небольших проектах. Но это оказался верный шаг, поскольку этот метод мы применили комплексно. Не просто перевели разработку в формат двухнедельных спринтов, но и изменили подход к продуктовой аналитике, к анализу и развитию бизнеса, к продвижению продукта на рынок и так далее, то есть сделали Agile сквозным процессом. Мы рассказываем всей команде, работающей над созданием продукта, какие перед нами стоят бизнес-цели, куда мы идем, почему нам надо стремиться именно к этим целям. Чтобы наши разработчики видели не маленький кусочек внешнего мира через узкое отверстие в стене, а всю картину в целом, понимали, зачем они делают свою работу. Такой комплексный подход дает нам очень большой потенциал и конкурентное преимущество.
Параллельно с развитием процессов у нас сформировалась уникальная команда, костяк которой застал еще первую версию решения Solar Dozor и знает всю историю развития продукта. Но при этом за последние пять лет к нам пришло много молодых специалистов, которые принесли новые знания и идеи. Сейчас у нас есть главное — сбалансированная команда: ядро, опытнее и профессиональнее которого на рынке DLP-решений нет, и молодые и полные энтузиазма специалисты с горящими глазами. А значит, мы сможем совершить еще не один технологический прорыв.