Кейсы 11 июня 2019

SearchInform: как спасти данные компаний от ошибок сотрудников, воров и системных утечек

Далее

Несанкционированный доступ к закрытым сведениям сторонних лиц может негативно сказаться на работе любой компании. А последствия могут быть губительны — кража идей и технологий, озвучивание коммерческих тайн, получение материальной выгоды. С целью создания программ защиты корпоративной информации в 2004 году компания SearchInform разработала собственную DLP-систему защиты от утечек информации, которая эффективна для любой отрасли. «Хайтек» поговорил с руководителем SearchInform Львом Матвеевым о том, в каких компаниях выше риск информационного воровства, как создается психологический профиль на основе переписки и каков срок возврата инвестиций на корпоративном рынке.

Институт Ponemon и ObserveIT опубликовали доклад о том, сколько компании потратили на борьбу с утечками данных, вызванными небрежными сотрудниками или подрядчиками, преступными или злонамеренными инсайдерами или похитителями учетных данных. Согласно исследованию, если в инциденте участвовал халатный работник или подрядчик, компании потратили в среднем $283 281. Средняя стоимость более чем удваивается, если в инциденте участвовал самозванец или вор, который крал учетные данные — $648 845. По данным Risk Based Security, в 2018 году утечки конфиденциальной, корпоративной информации в России были зафиксированы более 6 тыс. раз.

Идея, созданная вопреки

По словам Льва Матвеева, его рабочая деятельность всегда была связана со сферой ИТ. В 1992 году будущий инженер-программист был приглашен руководителем отдела баз данных в частную компанию «Тест Саппорт». Несмотря на то, что он был еще студентом четвертого курса Минского радиотехнического института, Лев Лазаревич реализовывал коммерческие проекты и раньше. Вместе с однокурсником он писал ПО в составе «временного творческого коллектива».

«В советское время была возможность создавать так называемый временный творческий коллектив. Это не юридическое лицо, а команда из двух или нескольких человек. На третьем курсе мы с приятелем в рамках такого сотрудничества писали бухгалтерские программы. Зарабатывали достаточно много, уже второй более-менее серьезный контракт принес каждому по 2 500 рублей за полгода. И это когда зарплата инженера после вуза была 120 рублей», — вспоминает Лев Матвеев.

Фото: Сергей Гудилин / «Хайтек»

Так что партнеры из «Тест Саппорт» его уже знали, потому и пригласили руководить отделом. Лев Матвеев управлял шестью программистами, и это, по его словам, были единственные два года жизни, когда он работал на кого-то. Свое дело Матвеев создал из-за желания вести независимую деятельность как предприниматель. Приоритетным для него был рынок ИБ.


Лев Матвеев — руководитель, председатель совета директоров SearchInform. Окончил Минский радиотехнический институт в 1993 году по специальности «Инженер-программист». Автор ряда патентов в области обработки неструктурированной информации. На разных этапах карьеры возглавлял ИТ-компании численностью от 30 до 500 человек.

Компания SearchInform разрабатывает ПО для защиты от утечек информации, предотвращения фактов корпоративного мошенничества и оценки продуктивности сотрудников (DLP-система), а также ПО для обработки событий в ИТ-инфраструктуре (SIEM-система).


«Основой продукта была моя разработка — поиск по неструктурированной текстовой информации, — вспоминает Лев Матвеев. — Это был очень интеллектуальный продукт — работал быстро, конкурентов у него на тот момент просто не было. Все знакомые крутили пальцем у виска, говорили, что рынок маленький, его потолок — 150–300 клиентов, что я прогорю и останусь в долгах. Но этого не случилось. Видение рынка информационной безопасности у меня было отличное от других участников. Я считал, что главное — не перехватить информацию, а уметь проанализировать ее. Видение оказалось стратегически верным, что подтверждается в целом и мировыми трендами. В 90-е, когда ни Google, ни “Яндекс” не были настолько мощными, было множество самых разных сервисов. Но суперсервисами все равно стали компании-поисковики».


Неструктурированная текстовая информация — та, которая обычно хранится в форме, не позволяющей осуществлять простую и логичную классификацию, в отличие от тех данных, которые введены в специальные электронные формы.


Несмотря на скептическую оценку такой стратегии со стороны участников рынка, идея смогла доказать свою жизнеспособность. К 1995 году «Тест Саппорт» перестал существовать, и Лев Матвеев создал компанию по поиску, хранению и обработке информации «Юридические системы». Первых сотрудников привел с предыдущего места работы. Главным продуктом был «Юринформ», который осуществлял поиск по юридическим базам данных — то, что сейчас делают «Гарант» и «Консультант».

«На старте 50% времени я программировал, 50% — управлял бизнесом. Постепенно соотношение менялось, в итоге пришлось целиком посвятить себя управленческой работе, — отмечает Лев Матвеев. — Первое время было очень тяжело. Себе я платил $250, а наемникам — $700. И это нормально. Нужно быть психологически готовым к такому. Если ты не готов к тому, что твой подчиненный добирается на работу на хорошей машине, а ты в это время сидишь на диете из сухарей и воды, бизнес — это не твое. С партнером, с которым я начинал бизнес, мы в итоге по этой причине и расстались. Он не выдержал тягот этой бизнесовой жизни».

Региональные офисы и финансирование

«Стартовый капитал проекта — совершенно смешные деньги, которые были нужны, чтобы оплатить труд пяти сотрудников. Зарплата в $100–150 на тот момент была приличной для офисных сотрудников. Собственных денег хватило, чтобы закрыть этот зарплатный фонд. Потом удалось привлечь в долг порядка $20 тыс. для развития от частного лица, он получил долю в компании. Но этот бизнес просуществовал до начала 2000-х», — вспоминает Лев Матвеев.

В 2011 году компания привлекла внешнее финансирование от УК «Альянс РОСНО». Инвестфонд вложил в бизнес порядка 42 млн рублей. В это время SearchInform уже прочно стоял на ногах, продукт положительно зарекомендовал себя, все бизнес-процессы были налажены. Деньги были нужны на расширение компании — создание филиальной сети продаж. Сейчас SearchInform имеет шесть филиалов в России, а также десять представительств за рубежом.

Фото: Сергей Гудилин / «Хайтек»

«Мы давно пришли к выводу, что правильно развиваться именно по этой модели. Клиентам нужны специалисты на местах, даже разница в один часовой пояс будет нервировать. Во многих регионах вообще плохо относятся, когда слышат, что обслуживать их будут из Москвы, особенно в нашей сфере, которая касается защиты чувствительных данных», — отмечает Лев Матвеев.

С 2013 года развитие бизнеса осуществляется полностью на деньги компании. В этот период было принято решение отказаться от помощи фонда и осуществить обратный выкуп доли. Высокий процент прибыли реинвестируется в собственное развитие. Сейчас компания активно развивается на рынке Латинской Америки и ЮАР. Срок возврата этих инвестиций большой — если на корпоративном рынке новый офис окупится через год-полтора, то за рубежом — еще дольше.

Оптимизация кода

В штате SearchInform трудятся более 250 человек, пятая часть из которых — разработчики. Большой упор делается на сервисные подразделения. Создано два сервисных отдела — внедрения и техподдержки, а также отдел тестирования. Специалисты по продажам и сотрудники колл-центра входят в состав штата. Задача отдела внедрения — сделать так, чтобы заказчик максимально быстро разобрался в работе программы, начал оптимально использовать ее возможности для максимальной автоматизации работы службы информационной безопасности. Благодаря этому всего один специалист в ИБ-службе может контролировать тысячи компьютеров.

«У нас очень высокая планка по уровню программистов, и мы давно поняли, что не найдем в одном городе достаточное количество крутых специалистов, поэтому ищем по всей России и в СНГ, — добавляет Матвеев. — Команда распределенная: 15% сотрудников работают удаленно, половина из них — разработчики. Сейчас наши программисты находятся в 20 городах России. Мне самому программистский опыт очень помогает, хорошо понимаю психологию разработчиков, им хочется браться за новые задачи и не нравится дорабатывать существующее ПО. Но я сам всегда стремился к тому, чтобы код был написан максимально эффективно. В компании требую от разработки того же: чтобы выпускали не только новые фичи, но и дорабатывали, оптимизировали существующий код».

Перед компанией всегда стоит дилемма: выпустить новый продукт сейчас и получить деньги или оптимизировать то, что уже работает. Задачи занимают одинаковое время, важно делать и то, и другое.

«Планы доработок у нас есть на годы вперед, и в основном они продиктованы пожеланиями клиентов. Мы всегда на связи и реагируем на пожелания заказчиков, рынок корпоративного ПО требует именно такого подхода», — отмечает руководитель SearchInform.

Фото: Сергей Гудилин / «Хайтек»

Продажи в России осуществляются через собственную сеть, за рубежом — через партнерскую. Цикл продажи может занимать год-два, так как потенциальный клиент тестирует ПО разных вендоров по десяткам параметров.

Тестирование — это ключевой этап цикла продаж. Главная ставка компании делается на бесплатный триал софта в полном функционале. SearchInform рекомендует заказчикам испытывать его на максимальном парке компьютеров и загружать отдел внедрения вопросами по работе программы. Только так можно разобраться, какая из DLP-систем максимально соответствует задачам бизнеса и показывает ли себя вендор профессионалом.

Поиск файлов, коррупция, борьба с наркотиками

Флагманский продукт компании — DLP-система. Этот класс программ защищает от утечек информации, обеспечивает конфиденциальность данных на всех уровнях. Сегодня, с развитием DLP-систем, они научились выявлять мошеннические действия, скрытые финансовые потоки, группы риска среди сотрудников, кражу и многое другое.

«КИБ СерчИнформ» — модульная программа, она контролирует перемещение информации по всем основным каналам. Отслеживает, какие данные перенаправляются по почте, загружаются в облака, передаются в мессенджерах, какие документы отправляются на печать. В продукте реализовано семь видов поиска, в том числе алгоритм «Поиск похожих» для смыслового анализа. Он показывает конфиденциальные документы, даже если их редактировали. Кроме того, система отслеживает передвижение документов в формате изображений (модуль OCR) и позволяет контролировать аудио-информацию. У DLP-системы есть встроенная возможность для оценивания продуктивности работы персонала на ПК — в программах, приложениях, информация о том, какие сайты посещают и насколько интенсивно работают сотрудники. Работодатель получает полные отчеты о продуктивности и эффективности каждого человека в коллективе. Информация из DLP-системы позволяет руководству повысить общую трудовую дисциплину персонала и четко определить имеющиеся проблемы бизнес-процессов в компании.

Благодаря двум аналитическим модулям и двум расширениям в виде File Auditor (файловый аудитор) и ProfileCenter (автоматизированный профайлинг) служба безопасности имеет возможность не только контролировать, но и расследовать и даже предотвращать еще не произошедшие инциденты. Например, с помощью «КИБ СерчИнформ» несколько раз обнаруживали работников, которые распространяли наркотики. DLP-система выявила документ с подозрительным содержанием (оказалось, там был перечень закладок), в другой раз в рабочих мессенджерах шел разговор на специальном сленге, который словари системы тоже распознают. Более подробное расследование показало, что масштаб инцидента превосходил ожидания ИБ-отдела настолько, что материалы передали в отдел по борьбе с наркотиками.

Год назад, в апреле 2018-го, был выпущен в коммерческий релиз модуля автоматизированного профайлинга — ProfileCenter, который базируется на науке психолингвистике. Модуль — часть DLP-системы. Он анализирует собранную системой переписку пользователей по 70 параметрам и создает на основе особенностей речи их психологические профили: сильные и слабые стороны личности, черты характера и базовые эмоции человека, отношение к происходящему и истинные намерения. Это помогает найти в больших коллективах потенциальных виновников инцидентов, прогнозировать их поведение. Но у модуля не только «репрессивная» функция. Имея на руках объективные данные об особенностях человека, его потенциале, а также прогноз о его поведении в той или иной ситуации, руководителю проще решать кадровые и управленческие задачи. Первый покупатель модуля, компания НПО «САУТ», сообщила, что использует программу в том числе для того, чтобы эффективно создавать команды для длительных командировок, учитывая психотипы сотрудников.

Фото: Сергей Гудилин / «Хайтек»

«Модуль подсказывает, кого повышать, кто в коллективе потянет дополнительную ответственность, а кто — нет, — отмечает Лев Матвеев. — В больших компаниях это особенно полезно, потому что руководитель по сути получает готовый список кадрового резерва. В результате последнего обновления в ProfileCenter появились рейтинги: сотрудники со схожими стратегиями поведения объединяются в группы и ранжируются внутри нее. Например, “Конфликтные”, “Демотивированные”, “Лентяи”, “Лидеры”, “Нелояльные”, “Скандалисты” и другие. Это очень наглядный расклад ситуации внутри компании».

Практика утечек информации — интересная, типичная, курьезная

Бухгалтер компании из числа клиентов SearchInform регулярно готовил отчеты об условиях работы с поставщиками комплектующих. В очередной раз он выслал готовую таблицу руководителю, но ошибся и указал адрес одного из поставщиков. В результате тот получил развернутые сведения о том, на каких условиях с другими партнерами сотрудничает производитель. Обыкновенная невнимательность бухгалтера ударила по бюджету компании: подрядчик отказался сотрудничать на прежних условиях, потребовав пересмотра договора. Отсылка писем «не туда» — это довольно распространенная история. Такие ситуации в компании открываются случайно. В случае некритичных ошибок приходится давать неловкие объяснения адресату. Но если речь идет о документах с важной информацией, такие ситуации должны быть прописаны в возможных сценариях для DLP. Система просигнализирует о попытке пересылки файла на сторонний адрес.

В другой клиентской компании обнаружили утечку технической документации, которая касалась текущих разработок. Документы пересылались через почту одним из топ-менеджеров, который переехал в Россию из другой страны. Для выяснения ситуации была поднята вся его переписка. Оказалось, что документы он отправлял бывшим коллегам, в письмах обнаружился неформальный разговор о том, как «его друзья освоят рынок первыми и обойдут всех», в том числе и организацию, в которой топ-менеджер работал на тот момент. ИБ-служба начала расследовать это дело и обнаружила еще более интересные факты. Оказалось, что топ-менеджер также открыл свое юрлицо и, используя оригинальные бланки организации, где работал по найму, представлял «боковую компанию» как авторизованный сервисный центр. Так он забирал часть заказов на ремонт. Более того, ремонт осуществлялся с использованием списанных запчастей, что вело к некачественной работе оборудования, жалобам на основную компанию и утерю доверия. Все детали происшедшего службе безопасности удалось раскрыть с помощью модулей DLP-системы для контроля почты и экрана рабочего компьютера. Подняв записи с камер видеонаблюдения, служба безопасности смогла очертить круг задействованных лиц из числа работников цеха.

Другая история вскрылась в службе клиента SearchInform, которая осуществляет весовой контроль в одном из российских регионов. Организация имеет право на выписку специальных разрешений на провоз грузов сверх нормы, бланки в случае порчи служба обязана сдавать для утилизации. Оказалось, что несколько сотрудников списывали документы как бракованные, в то же время заполняя и продавая их перевозчикам «на сторону». Вместо «бракованных» отчитывались поддельными бланками, распечатанными на рабочем принтере. Именно этот факт и сигнализировал об инциденте. Службе безопасности пришло уведомление о том, что на принтер направлены для печати документы, чувствительные к утечке.

Пересылка персональных данных — это всегда факт, который заслуживает внимания службы безопасности. В одной из компаний обнаружили, что на стороннюю личную почту утекают сканы паспортов. Этот факт был обнаружен модулем распознавания текста на изображении — обнаруживался регулярный набор знаков, который всегда присутствует в такого рода документах. При более детальном рассмотрении стало известно, что пересылку осуществляет дизайнер компании. Еще тревожнее было то, что файлы имели схожее название, но некоторые с припиской «New». У службы безопасности возникло подозрение, что сотрудница занималась подделкой документов, развернули расследование, подняли запись с монитора, и подозрения подтвердились. Кроме того, что сотрудник тратил на подработку рабочее время, он создавал для работодателя серьезный риск совсем другого характера. Деятельность дизайнера могла заинтересовать правоохранительные органы, что означало как минимум трату времени и нервов. В худшем случае — вероятность остановки деятельности на время разбирательства и риск уголовных дел.

Риски, зависящие от количества сотрудников

Основная часть клиентов SearchInform из кредитно-финансовой, нефтегазовой сферы, промышленности и ритейла. ПО востребовано в каждой сфере, где критична потеря информации. DLP-система компании прошла сертификацию ФСТЭК и ФСБ, входит в Реестр отечественного ПО, поэтому может внедряться в госструктурах, крупных оборонных и производственных предприятиях.

Самое большое внедрение DLP «КИБ СерчИнформ» — 56 тыс. компьютеров. Есть и небольшие компании со штатом до 50 человек, но это исключение, крупный бизнес — основной потребитель защитных решений этого класса.

«Не так важна сфера деятельности компании, как количество сотрудников в ней. Для совсем небольших фирм наш софт не нужен. В них риск корпоративного мошенничества небольшой — срабатывают моральные установки. Когда людей больше, то дистанции между людьми длиннее, и моральные установки слабеют. Когда штат переваливает за 50 человек, в компании возникают проблемы с внутренней безопасностью. Всегда начинаются интриги, борьба за доступ к “телу” руководства, подсиживание, попытки слива, воровства», — говорит Лев Матвеев.

В то же время в SearchInform констатируют, что средний бизнес в России защищен плохо. Компании от 300 человек в штате имеют самую высокую степень защиты. При этом в стране почти 20 тыс. компаний, в которых работают до 250 сотрудников. Вопрос внутренней безопасности в них не менее важен, чем в крупных, но ресурсов на содержание не то что штата, а даже одного ИБ-специалиста нет. Кроме того, сложно понять, насколько экономически обоснована покупка программы для защиты данных. С этими компаниями SearchInform намерена работать, но в формате аутсорсинга, который решает задачу.

Фото: Сергей Гудилин / «Хайтек»

Среди клиентов SearchInform — разные компании, начиная от малого и среднего бизнеса и заканчивая крупными машиностроительными заводами. Среди них — «Газпром бурение», «Московская межбанковская валютная биржа», «ЛУКОЙЛ-Информ», Фонд социального страхования, ОАО «Красноярская ГЭС» и другие.

«Что касается ярких клиентов, мы работаем с крупнейшими компаниями из ОПК, финансовой сферы, ритейла, промышленности, защищаем госструктуры и предприятия соцсферы, но о большинстве заказчиков просто не можем говорить. Сфера безопасности закрыта, и с заказчиками часто подписаны NDA. В плане организации работы с клиентами раньше ситуация была очень сложной. Они часто сталкивались с тем, что, покупая дорогостоящее ПО, получали от вендоров сюрпризы в виде счетов за бесконечные почасовые консультации. Без них запустить в работу сложное ПО непросто», — добавляет Матвеев.

Продвижение и новые рынки

«Маркетинговая, PR-поддержка продаж — это большой блок работы. Информационная безопасность ― тема деликатная, тут очень важно доверие к вендору, экспертиза», — признается Лев Матвеев.

Главный канал продвижения ― это мероприятия и работа со СМИ. Спикеры компании выступают на крупных ИБ-конференциях и форумах. Но главное — собственное Road Show, которое проводится с 2011 года. Это большая серия образовательных конференций, они проходят ежегодно в более чем 20 городах России и СНГ. Компания активно доносит свою позицию по вопросам информационной безопасности через крупные федеральные и региональные СМИ. Делится аналитикой, кейсами по темам корпоративного мошенничества и утечек информации, а также по вопросам регулирования и новым государственным инициативам.

В этом году состоится выпуск нового продукта — File Auditor в составе DLP-системы. Сейчас ее функциональность в отношении контроля файлов соответствует возможностям отдельного класса продуктов — DCAP (Data Centric Audit and Protection, аудит и защита неструктурированных данных). Продолжается развитие профайлинга (Profile Center). В этом году он будет выпущен на английском и испанском языках. Также компания продолжает активно работать в ЮАР, Латинской Америке (Бразилии и Аргентине в первую очередь). Кроме этих регионов, рассматриваются Индия и Юго-Восточной Азия с центром в Сингапуре.

DLP-система с вау-эффектом

Выходя на иностранные рынки, компания видит вау-эффект, который производит продукт. За рубежом привыкли, что у DLP-системы гораздо более скромный функционал — только защита от утечек данных без каких-либо аналитических возможностей для проведения расследований. Заказчики обращают внимание на тот факт, что DLP без заранее заготовленных цифровых отпечатков и категоризации данных может самостоятельно определять, что именно в компании несет потенциальную угрозу.

Если говорить о перспективах рынка в России, то компания настроена оптимистично. Проведенный анализ объема дал предположительный показатель — чуть более $1 млрд. И эта оценка считается заниженной. Бизнес стал активнее заниматься безопасностью. С одной стороны, это ответ на законодательные инициативы государства, с другой — своего рода цепная реакция.

По мнению Льва Матвеева, выиграют в этой ситуации не все вендоры, а только те поставщики ПО, которые могут максимально хорошо интегрироваться с остальными решениями и будут закрывать максимум задач заказчика. «На нашем рынке DLP-системы будут все меньше походить на DLP в классическом понимании. Так, наш КИБ имеет и смежные функции, которые раньше приходилось решать отдельными программными средствами: eDiscovery (сбор информации, которая может выступать доказательством в суде, в электронном формате), Time Tracking (учет рабочего времени), Risk Management (риск-менеджмент), криптозащита информации, аудит ИТ-инфраструктуры, контроль привилегированных пользователей, профайлинг и другое», — заключает Матвеев.