Лев Матвеев, СёрчИнформ, о профайлинге сотрудников

Лев Матвеев: Профайлинг выходит из чистой безопасности на помощь бизнесу

Лев Матвеев: Профайлинг выходит из чистой безопасности на помощь бизнесу

Лев Матвеев

Основатель, председатель Совета директоров ООО «СерчИнформ» – ведущего российского разработчика средств защиты информации.

Окончил Минский радиотехнический институт в 1993 году, специальность – инженер-программист. Автор патентов в области обработки неструктурированной информации. На разных этапах карьеры возглавлял ИТ-компании численностью от 30 до 500 человек. Член ассоциации независимых разработчиков ПО ISDEF (Independent Software Developers Forum).

Основатель ежегодного Road Show SearchInform – серии образовательных конференций для специалистов сферы ИБ в России и странах СНГ.

Лев Лазаревич регулярный спикер экспертных сессий и круглых столов в рамках крупнейших мероприятий страны: Петербургский международный экономический форум, ЦИПР, Международный IT-Форум с участием стран БРИКС и ШОС в Ханты-Мансийске, Уральский банковский форум и другие.

Экспертные интервью и комментарии Льва Матвеева выходят в ведущих федеральных изданиях: Forbes, РБК, Ведомости, Известия, КоммерсантЪ и других.

...

Лев Матвеев, председатель совета директоров «СёрчИнформ», рассказал читателям Anti-Malware.ru о первых успехах нового направления профайлинга, о том, как расширяется линейка продуктов компании, а также поделился планами «СёрчИнформ» на ближайшее время.

Очень много разговоров вокруг вашего нового ProfileCenter. В прошлую нашу беседу он проходил первые боевые тесты у клиентов. Каково положение дел сейчас?

Л. М.: За несколько месяцев у нас порядка 200 компаний тестируют продукт, 10 фактических продаж. Ясно, что помогла хорошая база клиентов — около двух тысяч. Но 200 триалов — это очень хороший процент. Признаюсь, модуль принимают даже лучше, чем мы ожидали, и это говорит о том, что он востребован.

Разработка ProfileCenter — наукоемкий процесс: много затрат, много внешней критики и нет гарантии на успех. Как решились вложиться в это направление?

Л. М.: Мы постоянно вкладываемся в науку и разработку — иначе лидерами рынка не стать. В наших продуктах уже есть запатентованные технологии, такие как поиск похожих. Основу для него я разработал еще в студенческие времена. Так что предложение начать работать над тем, что никто в мире еще не делает, команда встретила с энтузиазмом.

Два года назад на закрытом форуме для клиентов наш директор по безопасности (тогда он еще не был нашим сотрудником) выступил с докладом о профайлинге. Суть доклада сводилась к тому, что в том, как человек формулирует мысли в речи и на письме, четко проявляются характер и особенности личности. Если проще: проанализировав переписку, можно составить психологический портрет человека.

Гипотезу решили проверить тут же: я открыл переписку в Skype и предложил Ивану Бируле описать моего собеседника. Иван описал его как эгоцентричного, самовлюбленного человека, любой ценой стремящегося привлекать внимание к собственной персоне. Профиль попал в цель. А учитывая, какие массивы текстов собирает и хранит DLP-система, мы не могли не задуматься об автоматизации этого анализа. Если бы система научилась профилировать сотрудников, не отрывая их от работы, это вывело бы информационную и собственную безопасность компании на новый уровень.

Приходилось ли по ходу что-то менять? Имели ли место неверные гипотезы, на которых вы набили шишки?

Л. М.: Естественно. Любая научная работа — это гипотеза, не всегда верная, она уточняется в процессе. Начали мы в марте прошлого года, коммерческий релиз вышел через год. По-моему, это очень быстрый результат. Однако в процессе многое переделывалось. Например, первоначальное видение изменилось кардинально, алгоритм усложнился в разы.

Сложной с технической точки зрения оказалась задача нормализовать текст, очистить его от «шума» — элементов, которые не несут смысловой нагрузки и не имеют ценности для анализа. Простой пример – цифры, а еще латиница, опечатки, картинки, знаки препинания. Точку в конце предложения вроде бы ставят все, это «пустой» знак, а вот наличие и количество запятых, наоборот, значимый параметр. В то же время в Skype-переписке или социальных сетях точку почти все игнорируют, и была проблема в том, чтобы научить модуль «видеть» предложения.

Еще пример: в первой версии мы ввели параметр «азартность». Но для большинства людей это слово ассоциируется с «приверженностью к азартным играм». Тогда как в психологической науке термином «азартность» обозначают вовлеченность в некий процесс. Из-за разночтений в терминологии альфа-версия вызвала неоднозначную оценку, так что в модуле появились определения и краткие пояснения терминов.

Многое переделывалось, в итоге пришли к стабильному решению и только тогда начали патентовать. Для меня было очень показательно, что среди клиентов энтузиазм вызвала уже бета-версия: у изголодавшихся людей даже подсохший хлеб идет на ура.

Для чего клиенты используют ProfileCenter сейчас? Какие основные задачи решают с его помощью?

Л. М.:  С кейсами тоже вышло показательно. В отличие от практики применения DLP, делиться которой клиенты не очень готовы, про ProfileCenter многие говорят открыто. Причем эта практика широкая и работает не только в интересах информационной безопасности. Наши клиенты проверяют сотрудников, которых руководство планирует повысить, и тех, кто остро негативно может отреагировать на повышение других и разлагать атмосферу в коллективе. С учетом психотипов сотрудников собираются группы для длительных командировок, выделяют в группы риска людей с выраженными криминальными наклонностями. Точно так же профайлинг помогает выделять тех, кто надежен и наверняка станет хорошим управленцем, кому можно доверять.

Понятно, что анализ текста требует определенного количества слов, написанных человеком. Но это востребовано и при приеме на работу. Уже сейчас заказчики ставят новичков на особый контроль на время испытательного срока. У технологии хороший потенциал на стыке с задачами HR: можно, например, анализировать социальные сети человека (это в ручном режиме уже давно делают HR-специалисты). Ведь так можно оценить, насколько он подходит на должность с психологической точки зрения. Мы думаем добавить в ProfileCenter соответствующую функциональность, которая позволит анализировать аккаунты в соцсетях: кандидат предоставляет ссылку — а мы собираем текст и анализируем. Понятно, что это вещь добровольная, как и полиграф, который часто используют при найме кандидатов на ответственные должности.

А что, по-вашему, можно сказать про UBA и UEBA спустя тот же год? Ранее вы высказывались скорее против этих технологий, но все основные конкуренты толпой двинулись в эту сторону.

Л. М.: Все говорят UBA и UEBA без кейсов и результатов. Причем даже эксперты Gartner, когда я был на конференции, подтвердили, что хваленая UEBA — это по сути то, что у нас в КИБ было 5 лет назад: статистические отчеты в ReportCenter. Возможно, чуть сложнее и с «бантиками», но по сути одно и то же.

Что касается конкурентов: прототип и коммерческий релиз — это принципиально разные вещи. От первой до последней может пройти и 5-6 лет. Я сам в свое время имел патент, занимался наукой, правда сугубо прикладной (полнотекстовый поиск среди неструктурированных данных), — и прекрасно понимаю, что прототип может не заработать. На ограниченных данных — одно, у 200 клиентов — могут возникнуть сложности. Дайте на тест коммерческий релиз, потом я буду готов что-то конкретно комментировать. Мы, в свою очередь, готовы в ответ дать на тест профайлинг.

Кстати, занимаясь патентом ProfileCenter, мы узнали, что в США была подобная разработка несколько лет назад. Однако она использовала для анализа всего трех критериев, в противовес нашим семидесяти. Мы эту разработку не тестировали и судить не можем. Но зная умение американцев все монетизировать и учитывая, что коммерческого продукта не вышло, я делаю вывод, что мы ушли вперед.

Каким видите будущее ProfileCenter?

Л. М.:  Последним важным обновлением были Рейтинги – возможность объединить людей с одинаковыми рисками в группы и ранжировать их. Например, «Болтуны» или «Скандалисты». Рейтинги обновляются — и службы могут отслеживать текущую обстановку.

Дальше планируем функциональность, которая будет показывать изменение профиля человека в динамике. Например, появление нового нелояльного сотрудника, который является неформальным лидером в коллективе.

У нас в компании недавно случилась подобная ситуация — смена настроения у сотрудника была кардинальная. В совершенно миролюбивом отделе случился разлад между несколькими ключевыми сотрудниками, и никто не мог понять, в чем причина. Посмотрели профили, увидели серьезное изменение лояльности к компании у неформального лидера. Поняли, что упустили момент, когда можно было как-то поработать с настроением или перевести его на индивидуальные работы, чтобы не демотивировать коллектив. Человек уже был настроен остро негативно как к руководству, так и к отделу. Пришлось расставаться с хорошим крепким профессионалом, чтобы не потерять весь отдел целиком.

Профайлинг все больше выходит из чистой безопасности на помощь бизнесу. Тут вопрос не только в том, чтобы работать с негативом. Если есть сотрудник талантливый, мотивированный, стремящийся делать больше, чем прописано в его трудовом договоре, — нужно его двигать дальше. А как его увидеть в масштабе большой компании? Тут и вступает в дело ProfileCenter.

Какая нам в этом выгода? Я всегда говорю, что мы бизнес-компания и нацелены на получение прибыли. Расширение сферы деятельности профайлинга позволит нам в числе прочего расширить бюджеты на безопасность. Если одна и та же система сможет не только обеспечивать безопасность данных, но и подсказать, как и кого мотивировать, — почему нет?

Будете выводить технологию на иностранный рынок?

Л. М.:  Конечно. В планах английский и испанский языки. Но мы всегда держимся политики, что надо отточить технологию на домашнем рынке. Так сказать, научиться быстро и качественно «собирать ягоды в родном лесу», и только потом идти в незнакомый. Поэтому планы на ближайший год — сильно усовершенствовать профайлинг и тогда двигаться за рубеж.

Там мы видим хорошие перспективы для продукта: нет аналогов, позволяющих без профайлера и отрыва человека от работы понять, что от него ждать. Причем, может, нескромно сказано, но мы надеемся, что эта технология поможет поднять имидж России в наукоемких разработках. Мне обидно, что страну сейчас обвиняют в копировании технологий. Я считаю, это не так.

Что касается других продуктов — что нового интересного вышло за год?

Л. М.: Из ключевых обновлений в КИБ могу назвать контентный маршрут документов. Система стала показывать, от кого ушел файл, по какому каналу и как дальше распространялся. Такие наглядные схемы в разы ускоряют процесс расследования.

Из последних новинок — появился файловый аудитор, который позволяет отслеживать не только контент внутри сетевого периметра, но и контекст, в котором происходит любое действие. Работаем над объединением пользовательских консолей. По сути, вне общей консоли, где сосредоточена вся работа аналитиков, у нас остались только политики безопасности.

Если же делать общий срез, то последний год работы над DLP мы посвятили повышению отказоустойчивости, производительности, скорости и пользовательским интерфейсам. Например, производительность КИБ уже увеличилась на 30-40%: мы отказались от старой архитектуры и пришли к новой, которая эффективнее использует современное оборудование и последние технологии.

В «СёрчИнформ SIEM» на порядок увеличилась производительность. Добавились новые инструменты. Например, карта сети, которая наглядно представляет количество компьютеров, принтеров, серверов и других устройств в компании. Это за исключением новых коннекторов и правил для них. В общем, об обновлениях продуктов можно делать отдельное интервью.

Файловый аудитор — это третий серьезный продукт за три года. Вы взяли высокий темп. Это стратегическое решение или давление клиентов?

Л. М.: В некоторой степени и то, и другое. Мы сознательно расширяем линейку продуктов, т. к. понимаем — заказчики хотят получать максимум решений от одного вендора. Если DLP-вендор предлагает еще и качественную SIEM-систему, которая изначально интегрирована с DLP и отлично работает с ней в связке, то клиент будет только «за» купить все комплектом. Мы стремимся закрывать все внутренние угрозы безопасности, при этом избавляем заказчиков от головной боли с так называемым «зоопарком продуктов». Они увидят результат в едином AlertCenter, им будет удобно проводить расследования. Ситуация, когда клиент сначала видит аномалию в SIEM, а затем проводит расследование в DLP — нередкая. Прыгать из системы в систему — неудобно и долго. Если такая ситуация случается раз в полгода — не проблема, но если в компании сидят 10 аналитиков и ежедневно работают с инцидентами? Здесь экономия даже 20 минут на каждом расследовании — это огромные деньги.

Что касается файлового аудитора, то идею нам действительно подкинули клиенты. Два крупных заказчика заявили, что хотят видеть в нашей DLP модуль FileAuditor и готовы его купить, как только он выйдет в релиз. В настоящее время клиенты используют продукты-аналоги, но, как я отмечал выше, хотят, чтобы все было от одного вендора. Мы подсчитали затраты на разработку, поняли, что этот проект выгоден экономически, и запустили его в работу.

Не могу не задать традиционный вопрос про планы. Что-то еще новое стоит ожидать в ближайшее время?

Л. М.:  Нет, пока будем доводить до совершенства то, что выпустили, и развиваться на зарубежных рынках.

Большое спасибо за интервью и успехов в вашем бизнесе!