— Рустэм, какие тенденции вы бы могли выделить в сфере информационной безопасности?

— Сейчас активно меняется вообще весь IT-ландшафт в финансовой сфере. Многое требует переосмысления. Все наверняка обратили внимание на то, что Банк России начал заниматься несвойственными регулятору вещами: наряду с анализом состояния рынка и регулированием он становится игроком финансового рынка, например создает платформы для разных типов взаимодействия. Нам, «безопасникам», эти процессы интересны, поскольку придется встраиваться в эти платформы, обеспечивая защиту информации. Дополнительный ИБ-функционал понадобится и всем нашим клиентам-банкирам.

Границы между финансами и иной критически важной инфраструктурой страны сегодня размываются. Возьмем ту же биометрию, которую уже надо понимать шире, чем просто сервис удаленной идентификации при проведении финансовых операций. Единая биометрическая система (ЕБС) стала местом пересечения интересов операторов больших государственных программ, в том числе программы «Цифровая экономика».

Когда проект регулируют различные заинтересованные стороны, возможны разные варианты событий — это и «лебедь, рак и щука», которые тянут каждый в свою сторону, и преобладание одного регулятора, и взвешенная согласованная сторонами позиция. Пока создается впечатление, что позиции согласованы, есть надежда, что влияние каждого участника на проект будет его усиливать.

Замечу, что раньше Банк России выдвигал настолько суровые требования к уровню защиты информации, что далеко не все банкиры могли их выполнить. Сегодня регулятор не только выдвигает требования, но и предлагает различные способы им соответствовать, в том числе технологические, хотя ЦБ, в общем-то, — не технологическая компания. К любым аномальным активностям надо очень внимательно прислушиваться, поэтому и я, и вся наша команда интересуемся практически всем, что здесь происходит.

— В чем, на ваш взгляд, проявляется аномальная активность регулятора?

— На мой взгляд, сейчас многое зависит от команды: практически все определяют не столько процессы, сколько личности, а люди, которые пришли в последние годы в Банк России, более технологически продвинутые, чем раньше. Вместо того чтобы ограничить себя проявлением законодательной инициативы, они решили взять в свой арсенал и мастерчейн, и биометрию, и систему быстрых платежей. С технологической точки зрения происходят очень интересные вещи, мне как инженеру в прошлом это интересно.

— Изменения IT-ландшафта, очевидно, потребуют изменения продуктовой линейки компании. Как вы видите эволюцию развития направления DLP (Data Loss Prevention)?

— Из некой экзотики, которой направление DLP было 15 лет назад, оно превратилась в обязательную часть системы обеспечения информационной безопасности организации. Сейчас мы видим потенциал роста DLP в умении обрабатывать большие данные, а также их обогащении информацией из других IT-систем. А это предполагает тесную интеграцию DLP в общую систему контроля процессов или систему расследований, противодействия мошенничеству и т.д., потому что любое мошенничество сегодня связано с коммуникациями.

Замечу, что раньше Банк России выдвигал настолько суровые требования к уровню защиты информации, что далеко не все банкиры могли их выполнить

У наших клиентов уже есть множество накопленных данных: проиндексированная и проанализированная переписка, другие виды коммуникации всех сотрудников и т.д. Запрос со стороны бизнеса логичен: дайте нам на этом материале не просто категоризацию «конфиденциально/неконфиденциально», а полноценную аналитику. И мы ее даем: наши системы, например, уже умеют предсказывать увольнение по изменению характера переписки. Допустим, у человека был определенный поведенческий паттерн в коммуникациях, и вдруг этот паттерн меняется: например, активность сотрудника падает, изменяются частота, мощность, регулярность, плотность и другие характеристики коммуникаций, сотрудник меняет «рисунок» своего поведения в информационном пространстве, хотя рабочие процессы не изменились. Это может означать, что либо человек устал, и тогда его надо отправить в отпуск, либо у него ребенок родился, и он не спит ночами, либо он просто «выгорел». Но чаще всего по статистике это означает, что сотрудник готовится компанию покинуть. Такие аномалии мы уже можем показывать с большой точностью, и это совсем не DLP, не борьба с утечками — это предсказательная аналитика, построенная на данных, накопленных в DLP-системе.

То есть сегодня можно с большой долей вероятности предсказывать, что сотрудник уволится в течение следующего месяца, на основании того, что его поведение в коммуникациях стало похожим на то, как люди себя ведут перед увольнением. Поведенческие паттерны нельзя подделать, это подсознательные действия, поэтому, даже если сотрудник захочет обмануть систему, он не сможет этого сделать.

Любая предиктивная аналитика основана на статистике, на обучении с помощью данных, полученных на основе предыдущих кейсов. Если в компании достаточно большая текучка, мы можем проанализировать поведение и коммуникации сотрудников и в конечном счете увидеть, что сотрудник себя ведет «похоже на…». Благодаря выходу на сцену технологий по обработке больших данных и собственно наличию самих больших данных, мы теперь можем видеть не только, кто, когда, кому, что написал, но и что он делал в информационной системе перед этим и после этого, находить неявные корреляции в коммуникациях и поведении. Речь теперь идет не только о переписке «точка-точка», но и обо всем, что было вокруг каждой из этих точек.

— Сегодня много говорят о так называемых бэкдорах. Почему?

— Бэкдор — это закладка, «задняя дверь», недокументированная возможность. Этот вид уязвимости возникает, когда программист пишет заказанный ему функционал, но при этом оставляет себе «дверку», позволяющую позже зайти в систему и сделать все, что он захочет. С добрыми намерениями, заметим: чтобы в случае сбоя быстро понять его причину и оперативно ее устранить. Сегодня системы разрабатываются очень быстро и маленькими шажками, поэтому программисты практически живут в этой системе в постоянных изменениях, требования жесткие, в том числе и по скорости исправлений, поэтому есть искушение оставить себе такую недокументированную возможность. Мы часто ловим программистов, которые, например, делая какой-нибудь 1С-проект, оставляют для себя возможность зайти удаленно и что-то поправить.

Это опасно: хотя первоначально удаленное управление делается с благими намерениями, у программиста могут возникнуть другие намерения, например, при его увольнении. Кроме того, такую «дверку» могут обнаружить хакеры. Соответственно нужны средства оперативного контроля разработки. Если проанализировать статистику, то половина утечек — это работа не инсайдеров, а хакеров, в том числе с использованием таких бэкдоров. В ГК InfoWatch разработкой мер по противодействию хакерам занимается специализированная компания Attack Killer. Ее основная рыночная «фишка» — создание роботизированных комплексов в этой сфере.

— Ощущает ли InfoWatch нехватку кадров в области ИБ? Как решается эта проблема в рамках компании и на общероссийском уровне?

— Проблема есть. Мы не можем предложить таких денег, как крупнейшие мировые технологические компании. Если им нужен специалист, то они его купят за любые деньги. Конечно, нам удается при немного меньших зарплатах удерживать людей интересными задачами, которые они будут решать самостоятельно: все-таки на огромной «фабрике программирования» чаще всего программист выполняет маленький кусочек работы на конвейере, а наши масштабные проекты дают разработчикам возможность проявить себя в творчестве.

Нам приходится постоянно отсматривать молодых ребят с хорошим потенциалом, которых еще не берут, например, в компании-гиганты из-за отсутствия опыта, но видно, что навыки у них есть, и мы «протаскиваем» их через нашу воронку. У нас есть программы стажировок для студентов старших курсов технических специальностей. Но мы понимаем, что, как только такой человек станет звездой, его перекупят Google, AliExpress, «Яндекс», «Сбер», «Тинькофф» и другие лидеры рынка.

Когда топ-программист уходит в «высшую лигу», у нас происходит ротация — на его место встает его помощник, и далее, вплоть до стажеров, все продвигаются на ступеньку выше. Это не отток, когда люди приходят, поработают и уходят. Это процесс наставничества, постоянной передачи знаний. И, конечно, у нас ни одну задачу человек не решает в одиночку, у него всегда есть смежники, помощники, ученики. Сейчас, к сожалению, идет бешеная конкуренция за кадры. Почему мы занимаемся роботизацией? Потому что людей нет, и больше их не станет. Усугубляют ситуацию и демографическая яма, и отток технарей за рубеж, и растущий спрос на них в стране в рамках «цифровизации».

— Недавно ГК InfoWatch стала партнером SAP. Какие цели ставят партнеры?

— SAP — это один из крупнейших в мире производителей ERP-систем и бизнес-систем вообще. Все идет к тому, что в ближайшем будущем системы безопасности будут встраиваться в информационные системы на стадии их проектирования. Раньше бизнес-системы существовали отдельно, сначала появлялся их функционал, безопасность надстраивались позже. С появлением тотальной цифровизации надстраивание безопасности уже не справляется со своей задачей по скорости изменений: пока ты настраивал внешние системы безопасности, система уже изменилась, и надо делать это снова. Поэтому сейчас клиенты хотят все получать из одних рук, они хотят изначально безопасные IT-системы. Создать такие системы на уровне каждого клиента невозможно, это можно сделать только на этапе разработки и производства. У нас уже есть несколько проектов с SAP, в рамках которых наши решения встраиваются в их системы.

Из некой экзотики, которой направление DLP было 15 лет назад, оно превратилась в обязательную часть системы обеспечения информационной безопасности организации

Можно предположить, что в среднесрочной перспективе, скажем, лет через пять, ИБ в виде отдельных проектов исчезнет, безопасность станет встроенной функцией любой системы. Как, например, в автомобилестроении сегодня покупатель автомобиля не может купить подушку безопасности и встроить ее в свое транспортное средство — это неотъемлемая часть конструкции машины. Мы сегодня говорим, что безопасность — это одна из функций информационной системы, она должна быть реализована внутри системы, а не навесными или накладными решениями. Партнерство с SAP — это как раз шаг в сторону взаимопроникновения бизнес-систем и систем безопасности.

Раньше были весьма условные требования к безопасности бизнес-систем, в лучшем случае контролировалась длина пароля. Никто не проверял их на бэкдоры, например. Все системы писались, чтобы бизнес мог на них работать, а уже потом звали «безопасников», причем хорошо, если на приемку, но чаще — на расследование инцидентов.

Но к врачу обращаются, не тогда, когда человек умер, а как только проявились первые симптомы заболевания. Почему же бизнес ждет, когда инцидент случится, а ИБ-экспертов зовет только зафиксировать «летальный исход»? Сегодня на пленарной дискуссии много и правильно говорили на эту тему ключевые эксперты Банка России, причем, что важно, — не из области безопасности.

— Сегодня также много говорят о сложности работы за пределами России? Каково ваше мнение?

— На «цивилизованные», западные рынки российским «безопасникам» вход сегодня просто закрыт. Во-первых, санкции, прямой запрет закупать продукты и услуги. Во-вторых, общая паранойя по поводу русских хакеров. Наши конкуренты в Германии, например, в качестве аргументов не приводили заказчикам сравнительные характеристиками решений, а демонстрировали статьи о «русских хакерах». «Это же русские, а вы им свои системы доверяете! Они у вас все украдут и отдадут в КГБ!», — примерно такая откровенно грязная конкуренция сейчас на «цивилизованных» рынках. Стоит один раз напугать человека, и он уже будет постоянно коситься на нас. Как говорится, «ложечка найдется, но осадочек навсегда останется».

В итоге нам пришлось продать наш бизнес в Германии, особого бизнеса в других европейских странах и в Северной Америке у нас не было, хотя планы экспансии были. Наши российские партнеры, которые успешно работали в США, либо ассимилировали, скрывая русские корни, либо потеряли бизнес и ушли на «антиамериканские» рынки, где с подозрением относятся к нашим главным конкурентам в глобальном разделении труда.

В сфере информационной безопасности есть четыре основных игрока в мире: американцы, израильтяне, китайцы и мы. При этом арабы с их проамериканскими настроениями в шутку говорят, что им нужны русские решения, чтобы контролировать американские бэкдоры, и американские, чтобы контролировать русские бэкдоры. Это про яйца, которые надо раскладывать по разным корзинам: безопасности много не бывает. Они, безусловно, боятся целиком доверить свою безопасность американцам, представляя себе, что ЦРУ будет копаться в их данных, никого не спрашивая. Поэтому, даже если у них есть какие-то американские решения, они ощущают потребность дублировать их русскими.

— Может быть, в этом есть здравый смысл?

— Конечно, есть! Диверсификация рисков — это нормально. Все сделанное в России, особенно софт, в Юго-Восточной Азии и на Ближнем Востоке ценят. Надо сказать, что нам там здорово помогает государство — и деньгами, и лоббистскими возможностями. Где-то помогает оплачивать выставки, где-то организует специальные мероприятия, приглашая туда нужных людей. В этом смысле мы очень благодарны государству и рады такому партнерству.