Алексей Раевский
Алексей Раевский окончил Московский государственный инженерно-физический институт (ныне НИЯУ МИФИ) по специальности «Прикладная математика» и аспирантуру Московского института электроники и математики. Ученая степень: кандидат технических наук.
До 2001 года Алексей участвовал в разработке систем защиты программного обеспечения от несанкционированного копирования и систем защиты информации от несанкционированного доступа. В 2001 году Алексей Раевский основал Zecurion и в настоящий момент является генеральным директором компании.
В 2017 году получил степень MBA в международной бизнесшколе IMD (Лозанна, Швейцария). В 2017 году вошел в Экспертный совет при Генеральной прокуратуре Российской Федерации. Награжден Почетным дипломом Российской Академии Наук за большой вклад в развитие информационных технологий в России.
Генеральный директор компании Zecurion Алексей Раевский рассказал о тенденциях на рынке DLP и новых продуктах компании, а также о том, как научить людей работать без применения «дубинки».
Компания Zecurion известна прежде всего как DLP-вендор, поэтому первый вопрос — про рынок DLP. Какие сейчас вы наблюдаете на нем тенденции?
А. Р.: По нашим оценкам, рынок продолжает расти, хотя рост его замедляется, особенно в России. За пределами России — другие истории, разные в разных регионах. Например, в Европе в связи с GDPR планируется приличный рост, в Америке это выражено в меньшей степени, про Азию пока ничего не могу сказать. Если говорить про Россию, основные клиенты уже попробовали DLP и приняли решение, кто-то уже его использует, а кто-то решил, что ему это не нужно. Никаких скачков не ожидается.
А если говорить про технологические тенденции?
А. Р.: Что касается технологий, то появляются тенденции, связанные с искусственным интеллектом — тот же User Behavior Analytics. Кроме этого, важная тенденция — облачные технологии, потому что сегодня многие компании, даже в России, начинают переходить на сервисную модель. Это касается и госучреждений, и коммерческих структур. Все двигается, со скрипом, но двигается. Мы ждем, что DLP тоже будет предлагаться как сервис.
Сегодня есть потребность контролировать данные в этих облаках...
А. Р.: Да, это отдельная проблема. Сейчас даже есть целая новая аббревиатура — CASB.
А насколько логичным в перспективе вы видите плотную интеграцию или даже объединение рынков DLP и CASB?
А. Р.: На мой взгляд, CASB — это логическое продолжение DLP. Аналогичным образом раньше был Firewall, потом он эволюционировал в Next Generation Firewall. Что касается CASB — я не знаю, будут ли аналитики считать, что это часть DLP или что-то отдельное, — но по сути задачи решаются те же самые, правда, в другой инфраструктуре и на других платформах.
Давайте поговорим о другом интересном сегменте — контроль привилегированных пользователей. У вас недавно появился свой продукт Zecurion PAM. Почему вы обратили внимание на этот сегмент рынка, ведь он очень конкурентный и насыщенный?
А. Р.: На мой взгляд, он как раз не очень насыщенный и не слишком конкурентный. У существующих вендоров есть явные пробелы даже в технологическом плане. Я уже не говорю о том, что в России практически нет локальных вендоров, которые выпускали бы продукт соответствующего уровня. А поскольку продукт востребован, мы считаем, что здесь перед нами открываются хорошие перспективы.
А DLP и контроль привилегированных пользователей могут быть интегрированы?
А. Р.: Пока это не очень понятно. Явной интеграции пока нет, но хранение всех инцидентов в одной базе данных будет удобным. Если офицер безопасности в одной консоли сможет просматривать инциденты от DLP и PAM, а также от модуля User Behavior Analytics — он будет благодарен. Однако тут важно понять, что DLP не пытается заменить SIEM.
Когда о PAM говоришь с широкой аудиторией, особенно c айтишниками, он воспринимается как карательный инструмент: ИБ его установит и начнет всех кошмарить. Как на ваш взгляд правильно позиционировать этот продукт?
А. Р.: Это зависит от конкретного случая. Да, его можно позиционировать как инструмент контроля ИБ за системными администраторами, потому что эти две службы не всегда дружат и не всегда понятно, кто главный. Если говорить о мировой практике, то информационная безопасность входит в информационные технологии, то есть руководит всем CIO, и в его подчинении находится информационная безопасность. У нас же они чаще всего разделены, отдельно — информационные технологии, отдельно — служба безопасности, в которой есть информационная безопасность. Для этих двух моделей позиционирование будет разным.
Для самих айтишников этот инструмент может быть полезным?
А. Р.: Да, безусловно. Допустим, в компании есть главный администратор, у него в подчинении — много админов: бывает 10, а бывает и 50. Один из них создает пользователей, второй раздает права, третий удаляет. Как начальнику контролировать их работу и убедиться, что они делают то, что нужно: что права раздаются в соответствии с политикой безопасности и так далее? При этом привилегированными пользователями могут быть не только админы, но и аутсорсеры, и вендорская поддержка.
Когда в компании безопасники и айтишники разделены, то специалисты ИБ часто находятся на положении Золушки — им порой даже не дают админские права: чтобы поставить агенты на компьютеры пользователей, им надо ходить на поклон. Средство контроля привилегированных пользователей может все сбалансировать, и этот инструмент позволит держать дерзких айтишников в узде.
Хотелось бы обсудить другой интересный сегмент — контроль эффективности сотрудников и учет рабочего времени. Сейчас он однозначно не обозначен на рынке и находится все время «сбоку». При этом класс продуктов есть, и продуктов много — мы делали сравнение 9 продуктов, а на Западе их несколько десятков. Насколько этот сегмент рынка имеет право на существование в обособленном виде?
А. Р.: Конечно, у этих систем есть побочные функции — например, DLP lite. Однако если мы говорим не об этом, а о «дубине», то на мой взгляд это не очень перспективный рынок. Это относится не столько к технологиям, сколько к управлению: если у менеджера возникает потребность купить такой продукт, ему надо переквалифицироваться в управдома. Мы же говорим про людей, которые занимаются не физическим, а умственным трудом, и я считаю, контролировать их таким жестким способом — значит, снижать у них мотивацию. Одно дело, когда при входе на оборонное предприятие обыскивают и отбирают телефоны, и другое дело обычные небольшие и средние компании, на которые эти средства позиционируются. Странно, когда в компании работает 50 сотрудников и возникает необходимость в таком средстве.
Однако многие считают, что в России иначе нельзя, без «дубинки» люди работать не будут...
А. Р.: Если есть нормально выстроенная система мотивации, KPI и люди понимают, что делать, чтобы получать зарплату и премию, они будут работать. Если стоит система, чтобы человек не сидел в Фейсбуке, он будет сидеть в Фейсбуке с телефона. Если у него нет активности — он скажет, что думал. Программист написал не 100 строчек кода, а 20. Почему? «Думал, как лучше реализовать». И действительно, вопрос не в том, сколько строчек кода он написал, а вовремя вышел релиз или нет, сколько у него багов. В любом бизнесе можно найти способ ставить задачи сотрудникам таким образом, чтобы они эффективно их выполняли.
А если используется DLP-lite как средство собственной безопасности?
А. Р.: Да, у этой темы есть определенные перспективы, мы тоже смотрели в эту сторону, но даже для DLP lite должен быть человек, который будет с этой системой работать. Нужно все равно смотреть логи, архив безопасности, потому что автоматически это возможно только для комплаенса. Но у нас он не является драйвером рынка и все законы о персональных данных никого не стимулируют покупать даже DLP lite.
Сегодня есть интерес со стороны служб экономической безопасности и безопасности в целом к использованию того же DLP, но в каком-то адаптированном для целей внутренней безопасности виде — в этом направлении вы что-то делаете?
А. Р.: В России DLP для этого и используется — именно для внутренней безопасности. Не потому, что есть какой-то закон и надо ему соответствовать, а потому, что организации по тем или иным причинам беспокоятся о своей безопасности. Им важно понимать, что делают люди за компьютерами, какую информацию они отправляют по электронной почте, что хранят на компьютере и что скидывают на флешку, чтобы вовремя предотвратить утечку. Практически у всех наших заказчиков есть специальный человек, который просматривает архив инцидентов и может дать делу ход: это может быть как выговор, так и более серьезные юридические последствия.
Как вы смотрите на государственные инициативы по безопасности — Реестр, ГосСОПКА, программу по цифровизации?
А. Р.: Это правильные инициативы, но они, на мой взгляд, запоздали. Невозможно взять и из ничего создать современную инфраструктуру. Тот же американский CERT существует почти 30 лет. Конечно, лучше поздно, чем никогда, и то, что обратили на эту тему внимание, — уже неплохо.
А в бизнесе это вам помогает, вы какую-то поддержку от государства получаете?
А. Р.: Конечно, помогает. Например, мы перестали конкурировать с Symantec, McAfee и прочими зарубежными вендорами и объяснять, чем мы лучше. В России изначальное убеждение, что западные продукты лучше. В чем-то да, но наши продукты лучше подходят под наши задачи.
Что еще, на ваш взгляд, можно было бы сделать со стороны государства для поддержки российских вендоров?
А. Р.: Можно было бы сделать дополнительные льготы для экспортеров программного обеспечения. Я считаю, что если компания продает лицензии за рубеж, нужно освободить эту выручку от налогов.
Импортозамещение — это хорошо, но у него есть свои минусы, в отсутствие конкуренции продукты могут терять качество. Это видно на примере сертификации. Иногда получить сертификат практически невозможно: есть только одна компания с одним продуктом. Качество этого единственного сертифицированного продукта — порой не очень хорошее. И это понятно — у вендора просто нет стимула развивать продукт.
На рынке DLP есть несколько локальных вендоров, и поневоле приходится конкурировать. А если нет локальных вендоров? Допустим, мы выпустили свой продукт PAM, и это будет единственный выбор. Какой у нас будет стимул развивать эту систему? В этой ситуации нужна конкуренция на мировом рынке. Я считаю, что это стратегически важная задача.
Не могу обойти вниманием тему блокчейна и криптовалют. Знаю, что ваша компания присматривается к ним — какие здесь перспективы открываются для информационной безопасности?
А. Р.: Мы этот вопрос изучили и поняли, что сложно предложить специальные решения в части ИБ. Понятно, что есть вопросы, связанные с защитой приватного ключа, аппаратные кошельки и так далее, но блокчейн не перевернет сферу ИБ. Хотя тема, безусловно, интересная.
Проблемы криптобизнесменов кроются в ИБ-нигилизме. Истории доходят до смешного — ну ладно уязвимость в смарт-контракте, я готов допустить, что это сложно и не лежит на поверхности, но когда злоумышленники просто дефейсят сайт и меняют адрес, на который перечисляют деньги, это ни в какие ворота не лезет.
Вы затронули тему зарубежных рынков, какие успехи у Zecurion за рубежом?
А. Р.: Мы долгое время проводили работу с аналитическими компаниями, и она дала результаты. Сейчас все ведущие аналитические агентства включают нас в свои отчеты — Gartner, IDC, Research and Markets. Это сделало нас заметными на международном уровне. К нам стали обращаться партнеры по всему миру, начали увеличиваться продажи, и мы к этому оказались даже не совсем готовы. Увеличился приток клиентов из США, с Ближнего Востока, сейчас мы заключили партнерское соглашение с компанией, у которой хорошая сеть представительств в Восточной Европе.
Европа вообще является перспективным направлением из-за GDPR. Раньше Европа традиционно была не развита в отношении DLP, потому что рынок сегментирован, разные языки, разные схемы продаж. Если ты сделал офис в Германии, это не значит, что ты продашь что-то в Швеции или в Великобритании. Поэтому мы сейчас хотим начать с Восточной Европы, а потом посмотреть на Западную.
Как на международном рынке сказывается политическая напряженность и негатив по отношению к России?
А. Р.: Любое предпринимательство — это повышенный риск. На мой взгляд, выход на международные рынки обязателен для софтверной компании. Если этой деятельности не будет, то это скажется на ее доходах, уровне сервисов и решений. У нас увеличился прием входящих обращений от американских компаний. Для многих из них не важна политическая ситуация, на первом месте для них - хороший продукт, разумная цена и сервис высокого уровня.
Американские госорганы и оборонные компании и раньше у нас ничего не покупали. Их первый вопрос был: пришлите информацию о продукте. Второй вопрос: правильно ли мы понимаем, что вы — американская компания. Когда мы говорили, что у нас штаб-квартира в Москве и бенефициары российские граждане, на этом разговор заканчивался. И это было еще в ту пору, когда у нас были замечательные отношения с Америкой.
Почему не Латинская Америка и не Ближний Восток?
А. Р.: Ближний Восток — это отличный рынок, у нас там несколько партнеров, и мы там развиваемся. В Азии похуже как с деньгами, так и с пониманием проблем информационной безопасности. Если люди ходят босиком, то им информационная безопасность не нужна. Латинская Америка — очень сложный регион. В прошлом году я учился по программе Executive MBA в швейцарской бизнес-школе, и у нас была поездка в Бразилию. Мы там разбирали кейсы про успехи и провалы крупных корпораций на локальном рынке. Основной лейтмотив: Brazil is not for beginners (Бразилия — не для новичков — прим. ред.). Вы можете туда прийти, но с наскока у вас скорее всего ничего не получится. Чтобы идти туда, надо понимать местные особенности и быть сфокусированным. Европа — ближе, проще и менталитет нам более понятен.
Спасибо за интервью. Желаем успехов!