— Какие информационные угрозы актуальны для российского бизнеса сейчас?
— Благодаря вниманию со стороны СМИ и заявлениям ряда экспертов, утечки информации сегодня считаются главной угрозой для бизнеса. По данным нашего ежегодного исследования, в 2018 году 66% российских и 70% иностранных компаний столкнулись с утечками данных. Ситуация с защитой данных, действительно сложная, однако гораздо более серьезные потери бизнес может понести из-за других форм корпоративного мошенничества: откатов, взяток, боковых схем, коррупции. В прошлом году 41,5% российских компаний выявили нецелевое использование ресурсов сотрудниками, 21% — попытки откатов, 18,5% — промышленный шпионаж.
— Как в этой связи принимается собственниками идея защищать бизнес от своих же сотрудников?
— Как правило, собственники осознают, что не все сотрудники — честные и принципиальные люди. Поначалу доверие в коллективе строится на дружеских началах: в стартапе все друг другу «почти родные». Но как только бизнес вырастает в крупную организацию, и число сотрудников увеличивается до 50+, наступает время позаботиться о защите бизнеса. Мы привыкли, что физическая безопасность — это важно. Ни одна компания не обходится без замков на двери, сигнализации, сейфов и охраны. При этом многие забывают о защите информации, которая хранится на компьютерах сотрудников. Корпоративное мошенничество возникло не вчера, просто в эпоху цифровизации оно приобрело новые формы. Сегодня информация становится важнее и ценнее материальных активов.
— О каких новых угрозах идет речь?
— Один из последних наших кейсов — работа с металлургической компанией. Уже на первой неделе тестов нашего ПО было выявлено более 100 инцидентов. Возникли вопросы к 300 из 360 сотрудников. Это больше 80% персонала! Расследование показало, что одна из сотрудниц имеет отношение к трем боковым юридическим лицам, реализовывавшим их товар на сторону. Один из доверенных топ-менеджменту сотрудников был учредителем ИП, оказывавшем юридические услуги, средний чек которых составлял по 700 тыс. рублей. Его деятельность носила явно «отмывочный» характер, поскольку при ближайшем рассмотрении все участники платежей были связаны и между собой, и с его ИП. Обнаружились десятки фактов фальсификации документов. Один из ИТ-специалистов на рабочем месте выполнял функции «Яндекс асессора» — работника, который вручную выверяет поисковую выдачу. Он получал зарплатные ведомости от сторонней организации прямо на корпоративную почту. Сотрудники повально опаздывали, прогуливали и уходили с работы раньше. При этом СКУД (система контроля и управления доступом) ничего не фиксировала, создавалось впечатление, что с трудовой дисциплиной все в порядке: работала круговая порука и дружеские договоренности.
— Возможно, это скорее исключение, чем правило?
— Увы, это не так. Даже у нас в компании, где каждый сотрудник знаком с продуктом и точно знает, что его работа контролируется, регулярно происходят инциденты. Из наиболее неприятных кейсов — попытки загрузить код в облако, украсть при увольнении клиентскую базу. Но один из самых резонансных случаев — попытка «схантить» нашего разработчика. Наш прямой конкурент переписывался с программистом и просил за вознаграждение решить техническую проблему в их софте. Наша система вовремя обнаружила факт общения с конкурентом, мы провели беседу с сотрудником. Оказалось, он заинтересовался нетривиальной задачей и не совсем осознавал, кому именно будет помогать. Не узнай мы о ситуации заранее, наш собственный сотрудник мог лишить нас серьезного конкурентного преимущества.
— Сколько стоит информационная безопасность?
— Стоимость программ по защите данных сравнима с затратами компании на годовую закупку чая, кофе и сахара для одного сотрудника, плюс оплата новогоднего фуршета. Если компания может позволить себе бесплатно поить работника чаем целый год, то ей вполне по силам купить DLP-систему. У большинства наших заказчиков срок окупаемости системы — полгода. За это время компания обычно выявляет откатные или мошеннические схемы на суммы, гораздо выше стоимости ПО. Вопрос денег всегда тонкий, важно понимать, что получишь взамен. Мне, как собственнику, понятна логика: на ненужную вещь даже рубля жалко, а на ценную можно потратить и 10 млн. Замки на входной двери и сигнализации тоже стоят денег, но мы тратим их без сожаления. Отсутствие системы информационной безопасности в компании похоже на решение снять входную дверь в квартиру и купить вместо нее новый телевизор.
— Есть ли какие-то решения для небольшого бизнеса — тех, кто хочет защищаться, но не может позволить себе выделить несколько миллионов на покупку софта?
— Для тех, кто не готов сразу выделить внушительную сумму, есть услуга аутсорсинга информационной безопасности. Это возможность разбить оплату на ежемесячные платежи и сэкономить на штате отдела по информационной безопасности. Самая частая причина отказа от DLP-системы не ее стоимость, а отсутствие специалиста, который будет с ней работать. Если проводить аналогию — нет смысла покупать машину, если не умеешь ее водить, проще заказать такси. ИБ-аутсорсинг, по сути, это такси в деле защиты информации. Вы покупаете услугу вместе с водителем.
— Какие конкретно услуги компании получают при установке программ по защите?
— Раньше у защитных систем была довольно простая задача — не дать информации утечь за пределы компании. Сейчас защита конфиденциальной информации — это только одна из больших задач, которые система решает для бизнеса. Защитное ПО выявляет корпоративное мошенничество (откатные или боковые схемы продаж), работу на стороне, саботаж, шпионаж в пользу конкурентов. Система позволяет проводить полномасштабные внутренние расследования и собирает доказательную базу, принимаемую в судах.
Также с помощью софта можно анализировать загрузку и продуктивность сотрудников — это база для принятия эффективных управленческих решений, оптимизации штата, поощрений, наказаний. Первый в мире автоматизированный модуль профайлинга — ProfileCenter применяется для составления психологического портрета пользователя, выявления и прогнозирования мошеннических действий, обнаружения деструктивного поведения сотрудников в отношении организации.
Система умеет работать как в рамках небольших коллективов, так и со штатом в тысячи сотрудников. Так что один специалист по безопасности может контролировать ситуацию в огромной компании с широкой филиальной сетью.
— Как сегодня развивается российский рынок защиты данных?
— Рынок защиты от внутренних угроз, по нашим оценкам, достигает $1 млрд, из которых освоено только 10–15%. С продуктовой точки зрения, среди производителей DLP идет «гонка вооружений» — все наращивают функционал. Мы еще несколько лет назад поняли, что сфера применения DLP гораздо шире. Нужно какое-то комплексное решение по информационной безопасности, а не набор разрозненных утилит. Потому вложились в качественную аналитику: ProfileCenter, File Auditor.
— Насколько отечественные продукты в области информационной безопасности могут составить конкуренцию зарубежным аналогам?
— Российские производители систем защиты данных — одни из лучших на мировой арене. Исторически сложилось, что после распада Советского Союза в коммерческий сектор пришло много бывших сотрудников органов. Эти люди понимали, что такое информация, какова ее ценность и как нужно ее защищать. Российские решения развивались в ответ на реальные запросы клиентов, поэтому всегда носили прикладной характер. На Западе — наоборот, опыт нарабатывался на имеющихся инструментах, не выходя за рамки их возможностей.
Когда мы приезжаем на презентации в Латинскую Америку, ЮАР или на Ближний Восток, наши продукты и решения вызывают вау-эффект, у них ничего подобного просто нет. В разработке продуктов нам помогают реальные клиентские кейсы, поэтому наш софт может защитить бизнес даже от самых изощренных мошеннических действий.
— Способна ли Россия стать экспортером решений и технологий в этой области?
— Она уже экспортер. Размер экспорта российского ПО в 2018 году вырос на 19% и достиг $10 млрд. Решения в области информационной безопасности в России традиционно сильны. В частности, в авторитетном рейтинге Gartner четверть всех представленных DLP-систем — российские. Это отличный показатель.
Для развития экспорта технологий важно, чтобы нам не мешало государство — высокими НДС и налогом на прибыль при работе с зарубежными партнерами. Обращаю внимание, я не прошу денег. Я прошу не строить барьеры там, где мы действительно можем потягаться с Западом. По софту, и не только в области безопасности, у России есть шанс сделать сильный рывок. У нас много достойных производителей.