Константин Левин
Окончил МИРЭА в 2005 году. Работу в компании InfoWatch начал в 2007 году в должности продавца.
Имеет обширный опыт в сфере консалтинга, PR и маркетинга. Лично участвовал в сделках с крупнейшими клиентами InfoWatch, такими как РусГидро, Банк Москвы, Райффайзенбанк, Банк Возрождение, РосЕвроБанк, ВТБ и другими. С 2010 года является руководителем отдела продаж.
На вопросы Anti-Malware.ru любезно согласился ответить Константин Левин, директор по продажам компании InfoWatch. Это интервью продолжает цикл публикаций "Индустрия в лицах".
Российский рынок решений для предотвращения утечек конфиденциальной информации (решения класса DLP- Data Leaks Prevention) существует, по ИТ-меркам, довольно давно. К 2004 году относятся первые попытки фильтровать трафик, уходящий «вовне» - через почтовые протоколы, веб-почту, сервисы мгновенных сообщений.
С тех пор производители DLP-решений далеко продвинулись в деле популяризации идеи контроля информационных потоков, а сам рынок (по данным портала Anti-Malware.ru) вышел на объемы в десятки миллионов (32 млн долл. в 2011 году) и рост (+41% по отношению к 2010 году).
Недавнее заявление главы компании InfoWatch Натальи Касперской слегка диссонирует с общим фоном: «…понятие DLP-рынок исчезнет, но потребность компаний в защите данных никуда не денется. На смену DLP в сегменте Enterprise придут интегрированные решения с еще большей, чем сейчас, долей консалтинговых услуг и сервиса».
Что это? Отказ от протоптанной тропинки, попытка переориентировать рынок? Поиск новых идей, способных убедить потенциального клиента в необходимости систем защиты? Попробуем разобраться в этих вопросах с помощью Константина Левина, директора по продажам InfoWatch.
1. Легитимность DLP: где заканчивается свобода?
3. Какова же ценность для бизнеса?
4. Для чего нужна DLP на самом деле?
Легитимность DLP: где заканчивается свобода?
Для начала признаем очевидное – производителям DLP-решений не удалось убедить рынок в законности применения своих продуктов в корпоративной среде. В итоге даже среди «продвинутых безопасников» до сих пор бытует мнение, что DLP – штука опасная или даже вредная.
Применяя DLP-решения, по определению контролирующие в автоматическом режиме всю исходящую корреспонденцию, «безопасник» вторгается в малознакомое ему юридическое поле. В этом поле ему неуютно. Потому «специалисты» в области ИБ часто не забивают себе голову рассуждениями о юридической правомерности своих действий – сделаем, а там посмотрим.
Константин Левин объясняет само наличие этой проблемы низким уровнем зрелости и заказчиков, и производителей. «Даже мы – те, кто первыми «двигали» тему DLP в России, - оказались не способны качественно рассказать о том, легитимно или нет. Все свелось к каким-то частностям – внутренние-внешние каналы, протоколы, перлюстрация, тут можно, тут нельзя. Скажем, мы принципиально не контролируем входящую почту, поскольку отправитель, по понятным причинам, не имеет возможности дать согласие на такой контроль, подписать соответствующую бумагу».
По мнению Константина, проблема законности применения DLP-систем актуальна примерно для половины его клиентов. Небольшие компании полностью игнорируют эту тему в силу особенностей внутреннего устройства – все сотрудники и так на виду. Крупные организации совершенно не озабочены вопросами легитимности применения систем контроля – кто и зачем, находясь в здравом уме, пойдет искать нарушения законности, например, в госмонополиях? Остальные, в отсутствии сигналов от лидеров рынка, ориентируются на лидеров мнений – подвижников в деле информационной безопасности, взявших на себя нелегкую задачу объяснения сложного и разъяснения туманного через посредство личных блогов.
Результат обучения сложно назвать удовлетворительным. Системного понимания нет, только набор цитат, разрозненные обрывки из разряда «это можно, слышал от такого-то на такой-то конференции» или «это нельзя, читал у такого-то».
Защита ради защиты
«У нас укоренился технологический подход к информационной безопасности. Фактически вся отрасль мыслит категориями «угроза-реакция». Хочешь продать антивирус – напугай клиента внешними атаками, китайскими хакерами, уязвимостями систем ДБО. Но системы DLP -совершенно иной класс защитных продуктов. Они в большей степени решают задачи владельцев бизнес-процессов, информации. У бизнеса задачи защититься от утечек просто нет. Компаниям нужна безопасность информации, циркулирующей в рамках их бизнес-процессов, а не абстрактная защита непонятно чего непонятно где», - поясняет Константин.
Действительно, если взглянуть на DLP-систему InfoWatch с точки зрения руководителя службы информационной безопасности, ее функционал кажется избыточным. В случае, если «безопасник» понимает DLP лишь как техническое средство мониторинга действий сотрудников в сети, ему не нужны ни автоматическая категоризация документов в исходящем трафике, ни привязка информации к бизнес-процессам.
Более того, регламенты, особые режимы доступа к информации ему также не нужны. Его задачи можно легко решить средствами удаленного администрирования – уделить пристальное внимание «сомнительному» руководителю отдела, проконтролировать, чтобы конкретный документ не ушел наружу, найти виновного в утечке информации. Плюс потребуется некоторое количество сотрудников для просмотра исходящих почтовых отправлений и архив, где будет храниться весь исходящий трафик.
А теперь представим, что кто-то сказал – так нельзя! По закону, по Конституции. И мы получим ровно ту картину, которую имеем. Одна часть «безопасников», будучи уверена в незаконности каких-либо средств контроля, возможность работы с DLP даже рассматривать не станет. Другие примерят на себя роль доморощенных «штирлицев», на свой страх и риск «контролируя» сотрудников, используя DLP как большой «банхаммер» – средство мониторинга и наказания. Факт установки программных решений служба информационной безопасности афишировать не будет – мало ли что. В итоге никакой подготовительной работы в компании, никаких организационных мероприятий и, главное, отсутствие хоть какого-то представления, зачем это нужно компании.
Какова же ценность для бизнеса?
Между тем все более очевидно, что DLP – это инструмент для снижения рисков. Во главе угла вовсе не контроль сотрудников, а контроль информации, неразрывно связанной с тем или иным бизнес-процессом. Не инструмент ИБ или ИТ-департаментов, а технология и методология для предоставления сервиса. Бенефициар этого сервиса – высшее руководство. Это система для руководителя отдела продаж, для главного HR, для технолога. Задача – обеспечение безопасности через контроль критически важной информации.
«Технологический подход упирается в то, что не готовы системы управления информационной безопасностью (СУИБ) внутри компаний, а есть только техническая платформа, на которой пытаются работать. И далеко не факт, что «безопасники» в ближайшее время перейдут на новый уровень зрелости, а системы защиты – на новый уровень организованности. Нет ничего более постоянного, чем временные решения. И вот они ставят технологию DLP, пытаются как-то решить свои задачи, а оно не решается, появляется негатив, потому что «безопасник» в большинстве случаев совсем не знает, зачем же ему DLP», - отмечает Константин Левин.
Речь вовсе не о противопоставлении «проактивного» бизнес-ориентированного менеджера и «незрелого» «безопасника». Все гораздо проще. Или сложнее… Иерархически организованная структура (а любая компания представляет собой именно иерархию) предполагает, что существуют цели верхнего уровня и инструменты для их достижения. Но сформулированной цели – защитить конфиденциальную информацию в жесткой связке с бизнес-процессами - на верхнем уровне сейчас нет. Даже оценка информационных активов в денежном выражении – редкость.
В силу непонимания проблемы наверху «безопасники» получают задачу в совершенно неудобоваримом виде – следить, найти, пресечь. «Знаете, как в два приема померить зрелость компании в плане информационной безопасности? Достаточно спросить, каков объем (в деньгах) их информационных активов. Секрет производства, ноу-хау, чувствительная информация – пока внутри компании нет представления о том, сколько это стоит, DLP для них будет чем-то сродни недешевого аналога Radmin, - подчеркивает Константин. – Скажем, для меня понятная ценность –себестоимость решения, проекта. Это закрытая информация, и ее разглашение приведет к серьезным финансовым потерям. И я, а не условный «безопасник», в большей степени заинтересован в защите этого документа».
Для чего нужна DLP на самом деле?
Почему же покупают DLP-системы? В понимании офицера безопасности DLP – узконаправленное функциональное решение. При этом возможности DLP, идеология совершенно очевидно адресованы высшему руководству компании, владельцам бизнеса.
Есть ли этот верхнеуровневый, более зрелый заказчик? Константин уверен, что есть: «DLP, как мы его понимаем сейчас, уйдет в функцию, а на первый план выйдет понятная высшему менеджменту идеология, прямо увязанная с финансовым аспектом. Бизнес не воспринимает функцию в отрыве от ценности, а защищенность информационного актива – та самая ценность. Только в том случае, если на высшем уровне управления, среди руководящего звена компаний возникнет четкое представление о стоимости активов компании, можно будет говорить о действительном успехе рынка DLP». О том же, по его мнению, пыталась сказать сообществу на конференции DLP-Эксперт Наталья Касперская.
На Западе это пришло через Compliance – понятный инструмент требований регуляторов. Делай правильно (обеспечь защиту персональных данных клиентов, безопасность платежных операций и пр.), и в выигрыше будут все. Сделаешь неправильно – рискуешь попасть под санкции. На постсоветстком пространстве драйвером информационной безопасности пока еще остается инцидент. Однако ничто не вечно: «Вишня может расти в тени, она в этом не виновата. Но достаточно убрать забор, дать больше солнца, пересадить на новую почву, и та же вишня будет давать другие плоды. Наше решение пока покупают для небольших задач ИБ, и это уже хорошо. Но информационная безопасность – это сервис в рамках бизнеса, потому изначально создавали нашу DLP-систему под более широкие требования», - резюмирует Константин Левин.