В условиях информационного общества и все расширяющейся цифровизации утечки конфиденциальной информации становятся одной из основных угроз как для государства и его учреждений, так и для бизнеса. Число утечек конфиденциальных данных во всем мире, в том числе в России, постоянно растет. Вот почему разработка разнообразных средств защиты информации от утечек стало важнейшей задачей для многих IT-компаний. В России одной из ведущих компаний, работающих в сфере защиты от утечек (DLP, предотвращение утечек, англ. Data Leak Prevention), защиты от внешних угроз (NGFW/SWG, межсетевые экраны нового поколения, Next-Generation Firewall / шлюзы информационной безопасности, Secure Web Gateway) и защиты данных при хранении, является компания Zecurion. Недавно она получила статус национального чемпиона.
Политолог, публицист Александр Механик обсудил проблемы, возникающие при защите информации, и состояние рынка этих программных продуктов в России с генеральным директором компании Алексеем Раевским и его заместителем Александром Ковалевым.
Алексей Раевский: Наша компания существует с 2001 года. И мы всегда были сфокусированы на сервисе по защите информации от внутренних угроз. Сначала у нас были продукты по шифрованию серверных хранилищ и рабочих станций, ноутбуков. Были еще продукты по двухфакторной аутентификации. Какие-то продукты у нас появлялись, какие-то уходили, то есть что-то мы запускали, потом видели, что, может быть, это недостаточно востребовано рынком, и убирали их. Но у нас были две основные успешные линейки продуктов. Первая — шифрование, сейчас оно уже меньше пользуется спросом. И вторая линейка — это система защиты от утечек. Сейчас это основная наша специализация.
Александр Ковалев: В 2005 году мы выпустили первый продукт класса DLP для защиты от внутренних угроз, от утечек данных. Он назывался Zlock. Он контролировал все внешние устройства и все, что на компьютере происходит. В 2010 году мы уже выпустили полноценную DLP-систему. В 2012-м мы дополнили ее еще одним модулем, он называется Zdiscovery, который смотрел, какие файлы хранятся внутри сети, то есть не периметр контролировал, а то, что внутри. В 2014 году мы выпустили продукт Zproxy. Это первая версия продукта для защиты от внешних угроз. В 2023-м в первом квартале мы выпустили два новых продукта. Это DCAP (системы контроля и управления доступом к неструктурированным данным, англ. Data-Centric Audit and Protection), который является развитием Zdiscovery с 2012 года и позволяет смотреть все, что происходит внутри периметра, какие там события с данными, кто имеет доступ и так далее, но не пересекает периметр. Периметр — это DLP, а внутри периметра — DCAP. И продукт класса NGFW — это самый современный класс защиты от внешних угроз, как для полноценного контроля доступа в интернет для сотрудников (по категориям сайтов и так далее), так и по защите от каких-то вторжений, нежелательного контента, спама, вирусов и так далее.
А. Р.: Я бы еще хотел добавить, что в 2013 году наша компания была впервые включена в так называемый магический квадрант Gartner систем DLP. И примерно с этого же времени, чуть-чуть раньше, мы начали активную работу на международных рынках. У нас есть ряд международных премий. Сначала мы ориентировались на рынок США, потом в связи с известными событиями переориентировались на развивающиеся рынки, такие как Африка, Ближний Восток, Азия. Но при этом, конечно, мы российская компания, в основном у нас российские клиенты.
Побеждать технологиями
— Чем ваши продукты отличаются от продуктов конкурентов? У нас ведь не только вы занимаетесь этими продуктами, а есть еще иностранные компании.
А. К.: Мы в основном позиционируем свое отличие как технологическое. То есть мы стремимся создать наиболее технологически продвинутый продукт с использованием самых современных технологий. В частности, мы выпустили одиннадцатую версию DLP уже два года назад. И она, по оценкам многих заказчиков и многих экспертов, является наиболее технологически совершенным DLP. В принципе, мы ее позиционируем как DLP нового поколения.
Тут сразу несколько факторов. Во-первых, у нас самый совершенный end-point агент. (Программный агент — это программа, которая вступает в отношения посредничества с пользователем или другой программой. — «Стимул».) Это агент, который устанавливается на рабочих станциях. Он умеет, в принципе, делать все, и совершенно автономно. У многих конкурентов — у всех, можно сказать, — агент отправляет данные на какой-то сервер для проверки и ждет, пока придет результат, то есть проверять файлы и информацию на самих агентах они не умеют. Плюс у нас активно используются технологии машинного обучения и искусственного интеллекта. Кроме того, в плане оптимизации, в плане производительности тоже мы лидируем, для внедрения нашей системы требуется наименьшее количество оборудования.
А. Р.: Когда мы внедряем программу в корпоративную среду, там есть агенты, которые ставятся на каждую рабочую станцию. Они контролируют то, что происходит, то, что делает пользователь, они контролируют внешние устройства (USB-флешки, принтеры) плюс активность пользователя. Кроме этого, есть шлюзовые компоненты. Они могут использоваться для фильтрации интернет-трафика (электронной почты, веб-трафика и так далее).
А. К.: И еще, наверное, наш продукт единственный, который контролирует внутреннюю почту, то есть переписку сотрудников между собой. Ни у кого больше таких модулей для этого нет. Мы очень хорошо поддерживаем Linux, то есть мы раньше стали работать над этим, и, наверное, у нас самый продвинутый агент либо один из самых продвинутых, который ставится на Linux. У нас больше всего технологий фильтрации, или анализа контента на периметре. Там как раз и различные нейросетевые технологии используются, и просто проверка по словарям, морфология, цифровые отпечатки различных видов и так далее. Вот этого у нас побольше. Основное Алексей сказал, и все равно у нас оборудования сильно меньше требуется. Это часто ключевая история.
По надежности и по архитектуре, по производительности у нас тоже, наверное, самая гибкая система, потому что можно что-то делать и на агентах, и на шлюзовой части. Можно, если ноутбук, например, уехал, контролировать на нем весь сетевой трафик, а не только флешки. Можно там, а можно в сети. Плюс у нас есть одно принципиальное отличие: у нас есть продукты для сетевой защиты и для шифрования. То есть наши продукты представляют некую экосистему. Пока, конечно, она в зачаточном состоянии, если прямо говорить, но, в принципе, это так. По сравнению с конкурентами это точно экосистема.
У нас очень хорошая система отчетности, то есть наглядность графики, опции по тому, как построить, какую задать логику построения отчетов. И выборки данных у нас, наверное, самые обширные из того, что есть.
А. Р.: И еще стоит, наверное, упомянуть, что у нас все компоненты системы нативно между собой интегрированы. Мы, как вообще все вендоры, начинали с какого-то одного продукта. Мы начинали с Zlock, который контролировал флешки. Все конкуренты в основном начинали с контроля электронной почты. И потом вокруг этого что-то как-то достраивалось. А у многих конкурентов для контроля различных каналов используются вообще сторонние продукты, то есть они просто с какими-то компаниями договорились, взяли у них какие-то компоненты и как-то это все к себе интегрировали. Но такая интеграция, конечно, имеет несколько ущербный характер.
У нас тоже был такой минус. Но мы сторонние продукты не брали, у нас все компоненты были свои. Хотя из-за того, что это все было построено вокруг одного продукта и как-то к нему налеплено, это походило на дом где-нибудь в Африке, когда там сначала сарай строят, потом к нему какую-то пристройку, потом еще пристройку, потом еще один этаж, подпирая его палками, чтобы не развалилось. Но мы где-то в 2012‒2014 годах приняли волевое решение все это выкинуть и переписать с нуля. У нас уже были все модули, которые нужны для DLP, у нас уже было понимание, как это все должно вместе работать. И опять-таки технологии, которые использовались для разработки в 2005 году и даже в 2015 году, уже сильно отличались. Поэтому мы с использованием новых технологий, с использованием нашего уже накопленного опыта, с использованием понимания, как должна выглядеть единая архитектура, все это дело просто с нуля практически переписали, и благодаря этому у нас тоже есть много таких плюсов, которых нет у конкурентов.
Например, у нас единые политики. То есть, например, вы можете создать политику для контроля какой-то информации и применить ее к USB-устройствам, к электронной почте, к HTTP-трафику, к чему угодно. А у многих наших конкурентов, если вы хотите контролировать документы с персональными данными, нужно создать такую политику отдельно для флешек, отдельно для электронной почты, отдельно для остальных каналов. И если там три политики, то это, в общем, не проблема, а если их за сотню, такую систему очень сложно администрировать. У нас таких проблем нет.
Новые направления развития
— Над какими-то другими направлениями своего развития вы думаете?
А. Р.: Да, конечно. Мы уже в этом году выпускаем два новых продукта. Один продукт класса DCAP. У нас в России собственных таких продуктов буквально до прошлого года, наверное, не было, а тут вдруг резко появились возможности для их разработки, потому что западные вендоры ушли. Но в чем здесь проблема? В том, что западные продукты, и российские в основном сейчас существуют как бы отдельно. Эти системы нужны для контроля неструктурированной информации: для аудита доступа к файлам. А у нас за счет того, что это будет интегрировано с DLP, появляются дополнительные возможности. Хотя у нас, в принципе, все компоненты можно и отдельно использовать.
Например, у нас есть модуль поведенческого анализа и анализа рисков. То есть это уже некая интеллектуальная система, которая для службы внутренней безопасности подсвечивает, где какие проблемные точки, на что обратить внимание. И за счет того, что из этих источников больше информации скапливается, они, благодаря тому, что есть этот модуль поведенческого анализа, работают точнее и более качественно. И для службы внутренней безопасности это тоже удобно, потому что они с единой консоли, например, по тому же пользователю видят все его аспекты — и какую он информацию и куда посылал, и его рабочее время, и какие у него риски, в том числе та информация, которая с этим модулем DCAP связана.
Плюс мы планируем выпустить еще как отдельный продукт межсетевой экран* нового поколения. Это сейчас тоже очень большая проблема, потому что у нас российские продукты не сказать, что практически отсутствовали, но они на сегодняшний день находятся на начальном уровне. А файрвол нового поколения — это тоже очень важная вещь, которая позволяет компаниям защищаться от внешних угроз. Сейчас в связи с различными хакерскими атаками это очень важно.
Использовать российские отличия
— А кто ваши ключевые конкуренты в России и за рубежом и кто ключевые потребители?
А. Р.: Насчет потребителей мы ориентируемся на enterprise. Это крупные, большие организации от тысячи пользователей. Мы практически не работаем с малым и средним бизнесом, так исторически сложилось. Сказать, что им не нужна защита, нельзя, но у нас есть экспертиза именно в работе с большими организациями. Потому что к продукту на десять пользователей и к продукту на десять тысяч пользователей совершенно разные требования и по производительности, и по масштабируемости, и по функционалу и так далее.
Что касается конкурентов, тут в каждом сегменте свои конкуренты. В сегменте DLP у нас в России есть конкуренты — это InfoWatch, SearchInform, РТК-Solar. Это главные, ключевые конкуренты.
А из зарубежных это Symantec, McAfee, ForcePoint и Digital Guardian. Но у нас на российском рынке они практически не представлены.
Но это связано не с какими-то такими политическими историями. Это связано с тем, что просто у нас в России у клиентов немножко специфические требования к таким системам.
Для зарубежных DLP-систем основной драйвер — это комплаенс, то есть соответствие регуляторным требованиям по защите данных. Там очень крупные, серьезные штрафы за утечки персональных данных. Когда из банка там какая-то база данных пропадает, это практически всегда означает штраф в десятки миллионов долларов, а может, и больше. Поэтому там просто в обязательном порядке любая компания, которая имеет дело с персональными данными, должна иметь DLP-систему. У нас комплаенс практически никого не интересует. У нас есть ФЗ-152, но я всем рассказываю в качестве анекдота то, что когда была утечка из «Яндекс.Еды», а там несколько миллионов записей утекло, «Яндекс» оштрафовали на 120 тысяч. Ставить DLP-систему, которая стоит, может быть, больше десяти миллионов, — сами понимаете...
А у нас DLP-система используется для другого. Она используется для экономической безопасности. У нас безопасностью занимаются в основном бывшие сотрудники правоохранительных органов, спецслужб. И для них привычно, важно и удобно иметь средство, которое про каждого пользователя все знает и собирает всю информацию, накапливает ее в архиве. Мы первый крупный тендер выиграли в 2012 году. Там были еще две западные компании, по-моему, Symantec и McAfee. Но мы выиграли, потому что у них не было архива. А у российских заказчиков обязательное требование — это архив.
— То есть архив тех событий, которые вы отследили?
А. Р.: Да, куда вся информация складывается. И сотрудник, офицер безопасности может в этот архив войти, к нему подключиться и по каждому пользователю получить полную информацию. Плюс там могут быть всякие интеллектуальные инструменты. Например, мы можем построить диаграмму связей на основе этого архива, то есть показать, кто из сотрудников и как друг с другом взаимодействовал. У западных систем такого нет. Поэтому в России они очень мало были представлены. А на иностранных рынках — там, конечно, с ними приходится конкурировать, и это довольно-таки сложно. Но у нас есть определенные продвижения в этой области.
Что касается рынка DCAP, там тоже есть два крупных западных игрока, Varonis и Netwrix. Они от нас вроде как ушли, но пока такое ПО для российских заказчиков второго приоритета. Последний год у них более серьезные были проблемы, было не до DCAP. А что касается файрвола нового поколения, то это совершенно другой сегмент. Там из западных игроков самые, пожалуй, у нас на российском рынке сильные — это Checkpoint, Palo Alto и Fortinet. А из российских у нас полноценных файрволов именно нового поколения нет. Что-то делает «Код безопасности», у них есть «Континент», что-то делает «ИнфоТеКС», что-то делает UserGate, который, пожалуй, ближе всех по функционалу, но по масштабированию у них не очень хорошо.
А. К.: Их на самом деле много. Когда мы в Минцифре собирались, там было представлено пятнадцать вендоров, которые собираются делать этот продукт. И сберовский «Бизон» собирается что-то делать, и тот же InfoWatch, и РТК-Солар, то есть почти все DLP-вендоры хотят NGFW.
— Вы говорите, что с большими компаниями работаете. Вот вы всех окучили, а дальше как расти?
А. Р.: Во-первых, мы планируем географическую экспансию.
— Это уже экспорт вы имеете в виду?
А. Р.: Да, поэтому зарубежные рынки в этом плане для нас очень важны. Потому что, конечно, наш локальный рынок ограниченный и, к сожалению, не самый большой. Но мы за счет новых продуктов будем увеличивать на нем наши показатели.
— Насколько работа на внешних рынках отличается от работы на российских?
А. Р.: Она принципиально отличается, тем, что там нам противостоят очень серьезные компании с огромными, практически неограниченными маркетинговыми бюджетами, с очень сильными брендами, с очень сильными локальными командами. Потому что это, по сути, транснациональные корпорации, и у каждой из этих корпораций в каждом регионе есть какие-то свои команды, которые занимаются продвижением целиком. И это, конечно, очень сложно, потому что у нас нет таких ресурсов и неизвестно, могут ли они в принципе появиться.
Я всегда привожу в пример классический путь развития стартапа, его раунды финансирования, у них есть раунд B. Это масштабирование продаж, когда они создают каналы продаж по всему миру. Они привлекают обычно на этот раунд где-то двести, триста, пятьсот миллионов долларов просто на масштабирование продаж. Для нас на нашем рынке таких денег просто нет. Но тем не менее мы с ними конкурируем, кое-где даже успешно, потому что все-таки у нас технологии достаточно продвинутые даже на уровне вот этих ведущих корпораций. Они нас обгоняют в своей продажно-маркетинговой силе, безусловно, потому что у них ресурсы. В плане технологий мы с ними где-то на одном уровне, не хуже, по крайней мере. Где-то даже лучше.
— Но вы видите перспективу серьезного экспортного увеличения? И на какой срок? На год, на два, на пять? Какие планы строите?
А. Р.: У нас были определенные планы, но в прошлом году наши результаты оказались выше ожиданий, поэтому мы сейчас будем корректировать планы в сторону увеличения. Тут, опять-таки, все зависит от наших финансовых возможностей. Например, чтобы успешно продавать на том же Ближнем Востоке, нужно там иметь своего человека. Свой человек в Дубае — это зарплату ему надо платить по нашим меркам очень большую. Как мне тамошние партнеры говорят: «Не говори никому, сколько здесь платят, потому что тогда все приедут сюда».
Опять-таки зависит от того, кого привлекать. Если какого-то, условно говоря, человека из Индии (там их много в IT-секторе) — это одна зарплата. Если араба — это уже совсем другие деньги. Но арабы могут зайти туда, куда индийцы не могут зайти. То есть там тоже все очень хитро.
— Позволяет ли то направление, в котором вы работаете, и дальше быстро расти?
А. Р.: По нашим планам это может рост быть в два раза каждый год. Это, конечно, довольно амбициозные планы. Но если мы говорим про рынок DLP, то там мы росли, если говорить про последние три-четыре года, в среднем, наверное, на 35‒40 процентов за год. Если мы говорим про рынок NGFW, то он на порядок больше. То есть если рынок DLP в России где-то четыре-пять миллиардов рублей, то рынок NGFW — 30‒35 миллиардов. Даже если мы, условно говоря, пять-десять процентов этого рынка получим, это уже будет существенный рост.
Ранее опубликовано на: https://stimul.online/articles/kompaniya/gazel-begushchaya-po-fayrvolu/
Печать