Наталья Касперская
Родилась в 1966 году в Москве. Окончила Московский институт электронного машиностроения (МИЭМ) по специальности «Прикладная математика».
В 1997 году учредила компанию «Лаборатория Касперского» и стала ее генеральным директором. За 10 лет под руководством Натальи «Лаборатория Касперского» превратилась из неизвестного стартапа в яркого лидера международного ИТ-рынка с полумиллиардным (в долларовом эквиваленте) оборотом.
В 2007 году Наталья Касперская возглавила компанию InfoWatch, разрабатывающую инновационные решения в области защиты корпораций от наиболее актуальных внутренних и внешних угроз.
Наталья Касперская активно инвестирует в развитие высокотехнологичных компаний, является членом Грантового комитета Фонда «Сколково», членом правления Российского союза промышленников и предпринимателей (РСПП) и Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт», членом Ассоциации защиты информации (АЗИ), а также экспертом профессиональной организации офицеров безопасности BISA.
Наталья Касперская — лауреат конкурса Women in Technology на Ближнем Востоке в номинации Best Technology Business Entrepreneur и других международных конкурсов.
На вопросы аналитического центра Anti-Malware.ru отвечает Наталья Касперская, Президент Группы компаний InfoWatch. Это интервью продолжает цикл публикаций в рубрике «Индустрия в лицах».
Прежде всего хотелось бы воспользоваться уникальным шансом и поговорить о стратегии группы компаний InfoWatch. Что вы планируете делать с множеством разрозненных технологий?
Н. К. Компании, которые составляют нашу группу, появлялись в ней разными способами. Какие-то мы поглощали. В другие инвестировали, потому что планировали интегрировать их с нашими решениями. Третьи компании к нам приходили сами — нам нравилась технология, и мы в нее вкладывались.
В какой-то момент мы поняли, что наступило пресыщение, потому что всеми этими компаниями нужно управлять. Мы «закрыли кран» и начали разбираться.
Так определились два более-менее понятных направления развития ГК InfoWatch — защита от внутренних и от внешних угроз. В каждом направлении есть свои продукты. По внутренним угрозам — это Traffic Monitor и Endpoint Security. По внешним — все остальные: и Attack Killer, и система динамического анализа целевых атак Targeted Attack Detector, и продукт по анализу исходного кода APPERCUT.
Некоторое время мы жили в парадигме, что есть внешние и внутренние угрозы. Но сейчас, во-первых, внешние и внутренние угрозы очень сильно сращиваются. А во-вторых, опыт работы на рынке в такой парадигме показал, что, как ни крути, InfoWatch воспринимают, в первую очередь, как компанию DLP. И мы сами этому способствовали.
Сейчас мы делаем поворот. Хотим, чтобы InfoWatch сосредоточился на DLP, а остальные направления будем выделять в отдельные структурные подразделения, поддерживать их финансово и организационно, но не вести в рамках единого холдинга и не делать «салат» из решений.
То есть по пути Symantec и McAfee, которые сначала скупали компании, пытались их интегрировать, а потом распродавали, идти не собираетесь?
Н. К. Я бы назвала это структурированием. Те компании, которые могут выращивать свои продукты, будут это делать. Например, Attack Killer — интересный продукт, у которого появились хорошие заказчики. Однако он лежит в стороне от InfoWatch Traffic Monitor и вообще от основной деятельности InfoWatch. И даже наши продавцы воспринимают его как побочный продукт, продавая в основном Traffic Monitor.
Мы хотим, чтобы направлением Attack Killer занималась отдельная компания. С четкими KPI, четкими стратегическими целями и задачами и четко выделенным бюджетом.
Этой осенью группа компаний InfoWatch заинтриговала всех анонсом «принципиально новых продуктов». Что нового появилось в линейке InfoWatch?
Н. К. Во-первых, мы выпустили новую версию нашего флагманского продукта InfoWatch Traffic Monitor, которая включает в себя улучшенные возможности аналитики и визуализации данных, поддерживает анализ информации на смартфонах. Смартфоны — это настоящий бич корпоративной безопасности, поскольку они имеют неконтролируемые каналы выхода в интернет в обход корпоративной сети. Новый InfoWatch Traffic Monitor 6.5 умеет с этим бороться. Его концепция укладывается в простую формулировку: от оповещения о произошедших инцидентах к их предотвращению. Основные отличия новой версии — блокирование утечек на рабочих станциях по результатам анализа, запрет операций при работе сотрудников в приложениях с критичными для бизнеса данными, запрет операций копирования-вставки данных с помощью буфера обмена и снимков экрана.
Также мы выпустили новый продукт InfoWatch Vision, позволяющий вести интуитивное расследование инцидентов ИБ и выявлять аномальные информационные потоки. Решение интегрируется с InfoWatch Traffic Monitor в качестве источника данных, предоставляет ИБ-специалисту инструменты для визуального анализа информационных потоков и выявляет инциденты в области ИБ, даже те, которые не являются нарушениями с точки зрения политик безопасности в организации. По нашей задумке, InfoWatch Vision должен помогать специалисту в принятии решений в ходе расследований, предоставляя на основе всей хранимой информации о событиях ИБ дополнительные релевантные данные.
Кроме того, вышла новая версия InfoWatch Attack Killer для защиты от внешних угроз. Интерфейс локализован на английский язык, что позволяет нам расширить присутствие за рубежом. Новая версия продукта - единственное решение, реализующее защиту от внешних угроз на протоколе WebSocket. Этот протокол используется для веб-приложений, работающих по технологии клиент-сервер в реальном времени, например, онлайн-игры, мессенджеры и др. В продукте также реализована защита от популярной атаки типа «подбор пароля».
Активно обсуждалась новость, что вы собираетесь выпустить защищенный смартфон…
Н. К. Идея, лежащая в основе этого решения — желание сделать корпоративный телефон, который сможет «закрыть дырку» в концепции BYOD (т.е. когда каждый сотрудник подцепляет к корпоративной сети принесённое из дома устройство). На наш взгляд, концепция BYOD — абсолютно ущербная с точки зрения безопасности.
Как показывает опыт последних лет, она не работает.
Н. К. С одной стороны, она как бы не работает, а с другой — используется повсеместно. Даже на предприятиях с высоким уровнем секретности люди все равно приносят свои телефоны и из-под полы пытаются ими пользоваться. Как с этим бороться? Если мы будем защищать весь «зоопарк» этих телефонов, то никаких ресурсов нам не хватит. Новые устройства появляются быстрее, чем мы будем разрабатывать защиту.
Поэтому мы пошли одновременно двумя путями. Первое. Мы делаем программное решение по защите топ-10 моделей смартфонов, что покрывает примерно 80% рынка. Второе. Мы продолжаем трудиться над своим устройством. Пока нам удалось сделать концептуальную модель. Операционной системой там будет Android, но обрезанный и вычищенный.
Сейчас DLP понимается гораздо шире, чем несколько лет назад. Как, на ваш взгляд, трансформируется этот рынок?
Н. К. Развитие рынка идет сразу в несколько сторон. Первая — сращивание с системами безопасности другого толка: различными софтверными информационными системами и системами информационной безопасности, такими как антивирусы и SIEM. В них пытаются встроить функционал, который будет защищать от утечек. DLP становится частью встроенной системы, но при этом сама DLP-система начинает хуже работать, потому что, чтобы она работала, надо произвести глубокую настройку. Если DLP находится внутри какой-то системы, то настройку эту никто проводить не будет. Эффективность таковой встройки становится близка к нулю. Это путь «закрытия галки» в тендере — сказать, что у нас есть DLP-функционал, и те компании, которым нужен этот функционал, чтобы «отмазаться», скажем, от регуляторов, будут его закупать. А те компании, которым реально надо защищаться, все-таки будут идти к отдельным производителям. По этой причине я не верю, что DLP как рынок может исчезнуть в обозримом будущем.
Вторым направлением развития рынка является наращивание функционала отдельных систем. Например, в сторону увеличения количества каналов покрытия. Их становится все больше, и производителям приходится все эти каналы закрывать.
Наконец, третье направление движения рынка, по которому идут некоторые вендоры – это путь предсказания рисков. Некоторые встраивают в свои продукты граф связей, хотя, строго говоря, граф связей не является функционалом DLP. Некоторые усиливают функционал по слежению за сотрудниками. Поскольку DLP-система – это система перехвата информации по всем каналам, то добавив в неё несколько аналитических модулей, можно пытаться предсказывать какие-то риски предприятия с точки зрения ИБ. Мы тоже ведём разработки в этом направлении.
Как вы смотрите на внедрение «умных» DLP: например, когда система не просто информирует офицера безопасности, а предпринимает по инциденту какие-то действия?
Н. К. Я вообще не считаю, что это относится к развитию DLP-системы, это просто дополнение к возможностям настройки политик информационной безопасности. По сути, мы ведем речь о том, что у нас в политиках безопасности будут прописаны определенные действия. Я не вижу никаких технических ограничений, во многих DLP-системах эта возможность имеется уже сейчас. Например, в Трафик Мониторе.
Ощущаете ли вы рост конкуренции на рынке DLP?
Н. К. В нашей стране ситуация уникальная: Россия лидирует по числу мировых вендоров DLP. И это во многом благодаря усилиям InfoWatch, который пропагандировал саму идею, что в этом сегменте можно зарабатывать деньги. Поэтому конкуренция у нас в стране очень высокая. При этом сами компании все достаточно неплохие, правда, технологическая основа разная: кто-то приходил из рынка поисковых машин, кто-то – из сегмента контроля портов, кто-то пришел из антиспама, как начинал в свое время InfoWatch, кто-то «отпочковывался» от другой DLP-системы.
За последний год консолидации на рынке мы не наблюдаем, никто никого не покупает. Только одна компания ушла с рынка, все остальные живут и здравствуют — видимо, места и возможностей хватает. Конкуренция точно не уменьшается. Все компании предпринимают активные действия.
Что мешает масштабной экспансии наших продуктов за рубеж? Их там просто не ждут?
Н. К. Сам подход DLP создает трудности при выходе на любые иностранные рынки, потому что DLP — это плотная совместная работа с клиентом на начальном этапе. Если мы выяснили, какие объекты надо защищать, какие политики нужны клиенту, то на этапе внедрения особых проблем не будет. Если эти вопросы с клиентом не решаются, то DLP будет мало эффективна.
К сожалению, у западных клиентов и сейчас у восточных — очень потребительский подход к безопасности: «сделайте мне хорошо». В отличие от наших безопасников, которые готовы в этом разбираться, вникать, их зарубежные коллеги сами даже скрипты пишут. Когда мы раньше со скриптовым языком приходили к иностранным клиентам, они округляли глаза и не понимали, что с этим делать. Но они и сейчас не готовы совместно работать. Им IDC рассказало, что нужно DLP (я сейчас говорю про азиатские рынки, где мы работаем), дальше они объявляют тендер, в тендере прописывают функционал, дальше идет конкуренция, что называется, «по галочкам».
Пока все без исключения вендоры на этом рынке врут про свой функционал. Все норовят перечислить в списке возможностей то, что написано кое-как и никак не тестировалось. Если это удалось запихнуть в тендер, то он молодец, его выиграл. Единых требований к DLP, как, например, к антивирусу, нет. Кто-то говорит, что должна быть защита данных «At Rest» (Прим. «Данные в покое» - имеется в виду анализ данных не только по перехваченным каналам, но и находящихся в хранилище. InfoWatch полагает, что анализ данных в хранилищах – это задача других программных продуктов), у большинства ее нет: все пролетают, Symantec выигрывает тендер. А другой говорит, что нужна интеграция с SIEM или чем-то еще. И, естественно, выигрывает тендер.
Для новых игроков это очень сложная ситуация. Нам приходится говорить клиентам неприятную вещь — что им нужно в это дело вникать, а клиенты не хотят. А с другой стороны, в этих играх сравнения мы, как наивные русские, проигрываем, потому что пишем, как оно есть.
Заметна ли предвзятость к российским продуктам, особенно в текущей политической ситуации?
Н. К. На Западе мы не работаем, а на Востоке такого не наблюдается. Хотя касательно Ближнего Востока, можно теоретически полагать, что такая предвзятость имеется, потому что они приезжают на встречи и улыбаются, но сделок не заключают. В Индии конверсия к сделке у нас довольно неплохая, но там другая проблема: очень низкая цена сделки. Для DLP-систем – это просто смешные деньги — 10-20 тысяч долларов. У нас поездки инженеров внедрения туда столько будут стоить.
Два года назад вы в своем докладе рассказали о видении DLP в контексте платформы для больших данных. Тогда это выглядело футуристично, но сейчас какие-то черты этой концепции уже вырисовываются. Действительно ли в будущем DLP может стать платформой для больших данных, аккумулирующей все каналы, к которой будут обращаться различные подразделения?
Н. К. Легко сказать, но трудно реализовать. Чтобы сделать систему, которая бы анализировала большие данные даже внутри одной компании, нужно провести колоссальную работу по созданию аналитического аппарата, который будет вычленять инциденты. В чем загвоздка? Допустим, мы выявляем, что у нас сработала система DLP по каким-то параметрам с вероятностью не 100% и не 70%, а 50%. Потом нам веб-фильтр сообщил, что есть какая-то подозрительная активность, но насколько она опасна для предприятия – он оценить не может, потом еще какая-то технология о чем-то сигнализировала… Допустим, мы соберём данные из разных источников. Дальше нужно понять, что именно является инцидентом, какая совокупность факторов. Надо придумать алгоритм, по которому мы бы: а) выявляли инциденты и б) не спамили компанию понапрасну. У нас уже два года идет разработка. Сначала мы пошли по одному пути, выяснили, что он тупиковый, сейчас идем по другому.
Нет же никого, кто показал бы, как правильно. Пока это научно не решенная задача, но мы пытаемся её решить. Я, например, считаю, что будущее за этим. И мне представляется, что именно DLP-система может стать наилучшей платформой для обработки данных.
С другой стороны, агрегация инцидентов и событий, выявление признаков, по которым инцидент должен быть идентифицирован — это очень сложная интеллектуальная задача, для которой нужно придумать отдельный алгоритм.
Каким образом в этом контексте будет идти сотрудничество с компанией «Ашманов и партнеры»?
Н. К. С «Ашманов и партнеры» мы интеграцию не ведём, мы с «Крибрумом» делаем интеграцию, это не секрет. «Крибрум» - это наша совместная с «Ашманов и партнёры» компания. Она даже получила грант «Сколково», чтобы сделать новый продукт, который мы условно назвали DLP 2.0. Идея состоит в том, что продукт собирает касающиеся компании данные из социальных сетей, которые позволяют выявлять инциденты безопасности за пределами компании. В ноябре у нас заканчивается разработка. Еще какое-то время мы закладываем на тестирование и месяца три возьмем на окончательный релиз.
Как вы оцениваете усилия государства в области импортозамещения? Что еще необходимо сделать?
Н. К. Я оцениваю усилия государства по поддержке компаний – разработчиков софта положительно. Поддержка государства однозначно помогает. В частности, самой эффективной мерой поддержки я считаю льготы на взносы социального страхования — мы платим 14%, а не 27%, как все остальные. Это очень существенно, потому что наши основные расходы — это расходы на заработную плату: в нашем секторе они составляют от 60 до 80% от оборота компании. InfoWatch не исключение — у нас порядка 70%.
Когда пошли разговоры об отмене этой льготы, мы приложили немало усилий, чтобы сохранить её. Сейчас бытует монетаристский подход — давайте отменим льготы, перестанем кормить нашу корову, а будем ее больше доить. Но при таком подходе молока у коровы не прибавится.
Российские софтверные компании до сих пор находятся в неконкурентных условиях, потому что западные вендоры приходят на российский рынок с большими деньгами. Они имеют гораздо больше возможностей как для продвижения своих технологий в плане рекламеы и маркетинга, так и в найме людей. Получается, борьба ростка с асфальтоукладчиком.
Конечно, программа импортозамещения, о которой мы говорили последние лет семь, это правильный шаг, только опоздали мы с ним лет на десять. Если бы мы начали эту деятельность 10 лет назад, сейчас бы у нас уже много чего было.
Вот, например, в прошлом году создали Реестр Отечественного программного обеспечения. Я, как эксперт, вхожу в экспертную комиссию по Реестру и вижу, сколько в нашей стране производится программных продуктов! Это просто огромные массивы! Я даже представить себе не могла, что у нас столько софта. Около 2000 продуктов уже включили в Реестр. Часто попадаются такие, о которых я даже не слышала никогда.
Перед комиссией стоит задача выявлять отечественные продукты и не пускать в Реестр иностранные. Как быстро отличить продукт? Экспериментальным путём я выработала довольно грустный алгоритм. Когда я голосую, то захожу на сайт заявителя: если текст написан мелкими буквами, на первой странице идет документация по ГОСТу и там ничего не поймешь, оформление сайта в стиле 90-х годов — значит, это точно русский продукт. Если же сайт красивый, сияющий, переливающийся — значит, надо разбираться.
То есть наша проблема не в отсутствии продуктов, а в неумении себя подать. , Вообще в России только зарождается, на мой взгляд, «культура продаж» — в том числе, поэтому мы проигрываем западным вендорам. Именно поэтому нашим компаниям нужна поддержка, потому что они зачастую делают очень хорошие решения, но им просто не хватает маркетинговой наглости, умения втюхивать, ну и денег на развитие. Выходит, если деньги из госсектора пойдут на отечественные компании — это большой плюс для развития рынка.
Верите ли вы в особые экономические зоны, как «Дубна» и «Сколково», или у нас это не будет работать?
Н. К. «Сколково» находится рядом с Москвой, ехать никуда не надо. Особая экономичность «Сколково» заключается в 0% налога на прибыль, но для большинства софтверных компаний это не является поддержкой, потому что прибыли у них пока нет — они всю прибыль реинвестируют в разработки.
Наверное, нужно нечто большее. «Сколково» предполагалось этаким технопарком, где арендаторы будут «дружить» друг с другом. Сейчас они нас приглашают, мол, переезжайте, но квадратный метр у них сейчас стоит 12 тыс руб. в год. Это при том, что офисы расположены в 7 км от Москвы по узкому шоссе. Вся инфраструктура там строящаяся — то одно не работает, то другое. За такие деньги сейчас можно снять офис в Москве. Поэтому мы, да и другие участники Сколково переезжать не торопятся.
Создается впечатление, что под давлением регуляторов у нас возникают очень специфические требования к безопасности. Мы стоим особняком ото всего остального мира. Это может привести к тому, что на государственные деньги, которые должны идти разработчикам, мы создадим много продуктов, которые нигде не будут востребованы?
Н. К. Что касается DLP, то первое, что делаешь, когда приходишь в новую страну, это изучаешь требования регуляторов, потому что они отличаются от наших. Вот, например, европейское законодательство требует, чтобы доступ к базе хранения инцидентов осуществлялся с помощью «принципа четырех глаз». Один человек не должен иметь возможность «подсмотреть». Открыть эту базу можно только в случае инцидента и в присутствии двух человек. У нас в стране такого требования нет. Это значит, что если мы захотим выйти в Европу, придется нам свой продукт доделывать. По большинству продуктов безопасности – такая же ситуация. Есть некие общие принципы, но уже сейчас мы видим, что даже внутри ЕС есть законодательства разных стран с разными требованиями. Это нормально, но это не означает переписывания всего DLP. У нас, скажем, есть база хранения инцидентов, а у большинства вендоров – нет, у них считается, что хранение инцидентов небезопасно. Или же они хранят только инциденты, полностью соответствующие каким-то их внутренним требованиям, а мы храним данные обо всех подозрительных случаях. Где-то это будет конкурентным преимуществом, а где-то нет.
Единого регулятора, который контролировал бы весь мир с точки зрения безопасности, конечно же, нет. Потому что тогда это уже сложно было бы назвать безопасностью.
Спасибо за интервью и успехов в работе!