Лев
Матвеев

председатель совета директоров "СёрчИнформ"
© ComNews
20.04.2022

Есть ли в России проблемы с защитным ПО, как бизнес справляется с экстренной миграцией на российские системы, есть ли у российских программ преимущества перед западными, а также каких мер поддержки компании ждут от государства? Поговорили об этом со Львом Матвеевым, основателем и председателем совета директоров "СёрчИнформ", отечественной компании - разработчика систем информационной безопасности.

Как показал опрос АРПП, уровень использования отечественных ИБ-решений превышал 90% еще до февраля 2022 года. Насколько это "средняя температура по больнице"? Какие сегменты наименее благополучны?

Опрос отражает реальное положение дел в большинстве сегментов. Во-первых, потому, что отечественные ИБ-решения всегда были сильны и составляли достойную конкуренцию западным вендорам на местном рынке. Во-вторых, импортозамещение в стране началось не вчера, многие успели обеспечить себя полностью отечественным софтом. Так, некоторые наши заказчики с легкой душой говорят: хорошо, что мы купили когда-то все ваши решения, не нужно сейчас экстренно что-то менять.

Если говорить о внутренней безопасности, наименее благополучен здесь сегмент SIEM и DCAP. Иностранные SIEM стоят почти у 60% заказчиков, все это кастомизированные системы, и, как правило, внедрения занимали у заказчика до нескольких лет. Мы собираемся сыграть серьезную роль в импортозамещении этого софта. С нашей "коробочной" SIEM, которая разворачивается на инфраструктуре заказчика от шести-восьми часов, мы сможем побороться с конкурентами.

Что касается DCAP, то мы были первыми, кто в 2019 году выпустил отечественный файловый аудитор. Сейчас некоторые конкуренты заявляют о выпуске DCAP, но я думаю, что пока это просто маркетинг, коллеги по рынку не обзавелись большими клиентами. Мы же можем предоставить кейсы реальных внедрений и работы нашего ПО на инфраструктуре в несколько тысяч ПК.

Президент России недавно подписал указ о запрете на закупку иностранного ПО для субъектов КИИ с 2025 года. Это правильно?

Я понимаю, чем продиктовано это решение, и, вероятно, без таких мер просто не обойтись. При этом в области ИБ для КИИ уже создано множество решений, которые готовы конкурировать с иностранным ПО и без запрета. Однако мы понимаем ситуацию и уже предложили российским организациям механизм по быстрой миграции на российские технологии в случае, если им срочно необходимо заменить ИБ-решение.

Что сейчас должно сделать государство, чтобы помочь легче пройти путь импортозамещения?

Я вижу, что это должны быть меры по двум направлениям: поддержка вендоров и поддержка заказчиков. Что касается разработчиков, государство вводит меры поддержки для ИТ-компаний. Кроме мартовского указа президента, в прошлом году уже были первый и второй пакеты мер поддержки.

Меры поддержки заказчиков - это субсидирование закупок необходимого ПО. Такое тоже есть, проблема в том, что у этих мер есть ограничения: под льготы попадают только МСП.

Но самое главное - это меры по развитию экономики, если компании будут чувствовать себя благополучно, сами придут и купят необходимый для работы софт.

Что могут сделать вендоры, чтобы помочь?

Многие российские вендоры стараются не повышать цены, дают заказчикам время согласовать бюджеты. Кто-то предлагает специальные условия по миграции с зарубежного ПО на отечественное.

Видя, как тяжело сейчас приходится компаниям, мы, например, объявили акцию: до 1 июля мы заменим иностранное ПО класса DCAP- (Varonis, Imperva, Netwrix и др.) и SIEM-систем (ArcSight, QRadar, Splunk и др.) по цене годовой техподдержки. То есть не будем брать с клиентов повторно деньги за покупку лицензий.

Ваше ПО написано на открытом коде или это собственная разработка?

Все наши продукты - собственная разработка. DLP-система "СёрчИнформ КИБ" - к примеру, единственное российское решение с собственным движком обработки данных SearchServer. Мы предпочитаем не использовать открытый код в наших решениях по двум причинам. Во-первых, это критично для безопасности, так как уязвимости в оригинальном коде мигрируют в продукт на базе этого кода. Во-вторых, в коммерческом решении клиент платит за уникальные функции, а уникальные функции равны уникальному исходному коду.

Сегмент российских SIEM довольно конкурентный. Чем обусловлен ваш выход туда?

"СёрчИнформ SIEM" появилась после множества запросов заказчиков. Клиентов не устраивало, что в классическом понимании SIEM - это "игрушка" для айтишников, что сотрудники ИБ не могут настроить систему под себя без привлечения ИT-специалистов - собственных или вендора. Под эти потребности мы сначала дорабатывали функционал "СёрчИнформ КИБ", а после приняли решение выпустить отдельный продукт. В результате появилась система, которая легко разворачивается, настраивается - да еще и бесшовно интегрирована с DLP. Заказчиков это привлекает.

Если система так проста и удобна, почему российские заказчики массово не перешли на нее?

Во-первых, к западным решениям просто привыкли и не хотят учиться работать с новым продуктом. Во-вторых, в некоторых компаниях установленные программы закупались на десятки миллионов, а потом еще кастомизировались, годами дорабатывались под конкретные нужды, интегрировались с другим внутренним ПО. Это стоило немалых денег. ИБ-специалистам бывает сложно согласовать бюджет повторно, даже если появилось решение получше.

Тем не менее у нас есть множество кейсов, когда компании переходили с западной на нашу SIEM. Заказчики отмечали скорость развертывания и получения первых результатов, простоту создания правил корреляции. Сейчас у отечественных заказчиков появилась возможность "переехать" на нашу систему по цене техподдержки, не оплачивая повторно лицензии. Я думаю, желающих будет достаточно.

Давайте обсудим ситуацию на российском рынке DCAP. Почему вы решили разрабатывать отечественное решение, когда рынок был прочно занят западными системами?

На "СёрчИнформ FileAuditor" было много предзаказов: рынок нуждался в отечественном решении с широким функционалом по приемлемой цене. В РФ тогда были представлены только иностранные системы, которые этим требованиям не соответствовали. Один из заказчиков пришел с конкретным кейсом. Он увидел дорогостоящее исследование рынка, которое стоило его компании около $100 тысяч, в интернете. Как выяснили, права доступа к файлу были у нескольких десятков человек, но кто-то переложил документ в общую папку, и исследование оказалось в доступе у 300 сотрудников. Так от запросов конкретных клиентов появился новый продукт для всего рынка.

Ваш FileAuditor повторяет функционал западных систем или имеет оригинальные возможности?

Мы и здесь пошли по своему пути, а не повторяли чужой. Только наш FileAuditor - настоящее средство контентного разграничения доступа. Система сама анализирует файл и принимает решение - показать его пользователю или нет, запретить ли действие с ним.

Во всех DCAP-системах оценивается атрибут файла, в котором прописаны параметры доступа. Проблема такого подхода в том, что любой пользователь с доступом может взять секретный документ, сохранить его в другом формате, перенести в папку общего доступа - и там его сможет посмотреть любой желающий. В случае с нашим FileAuditor такое не пройдет.

Второе существенное отличие - у нас реализована возможность блокировать доступ и пересылку конфиденциальных файлов в любых приложениях. Конкуренты этого не могут.

Для российского пользователя существенным преимуществом станет и лучшая поддержка кириллицы, чем у иностранных аналогов.

Проще или сложнее стало работать на российском рынке в изменившихся условиях? Какие появились новые возможности, какие риски создает новая ситуация?

Что сейчас у заказчиков установка "покупать российское" - не упрощает жизнь вендорам. По крайней мере среди решений по внутренней безопасности - конкуренция между российскими программами чуть ли не жестче, чем на международном рынке. У нас много сильных конкурентов в DLP и SIEM, так что - нет, проще не стало.

Более того, если заказчикам сложно, то эти сложности отражаются и на вендоре. Мы же не просто поставляем продукт и забываем о клиенте. У нас постоянно на связи с заказчиком менеджер, специалист техподдержки, специалист внедрения. В сложные времена мы еще больше погружены в задачи клиента. Сейчас компании меняют ИТ-инфраструктуру - ПО, сетевое оборудование ушедших вендоров на новое. А это новые уязвимости, новые каналы передачи данных, новые интеграции, новые политики безопасности… Многим заказчикам приходится на ходу перестраивать защиту или даже полностью заменять и защищающий софт. Чтобы четко решать эти проблемы, нужна слаженная работа вендоров, ИТ- и ИБ-департаментов, которые должны все это запускать и думать, как защитить.