Интервью руководителя MitraSoft для программы «Технологии для бизнеса»

Как защитить свою компанию от утечки данных? Что такое виртуальная комната и как она работает? Как долго происходит обучение сотрудников для работы с ней? 

Генеральный директор «MitraSoft» Рустам Гуломов ответил на эти вопросы в программе «Технологии для бизнеса».

 

 

• Сегодня вопрос надежной защиты данных остается ежедневным испытанием для бизнеса. Руководство компании узнаёт об утечке уже слишком поздно, когда её обсуждают сотрудники и клиенты. Вы считаете вопрос внутренней безопасности сегодня стоит остро? 
• Вопрос внутренней безопасности всегда стоит остро. И, как мы можем видеть, и российские, и западные компании страдают от утечки данных.  Мы все видели ситуацию, когда на фоне сокращений в западных компаниях, руководство выписывало себе большие премии, и это становилось достоянием общественности. Такого рода утечки влияют на стоимость публичных компаний, на репутацию, и, конечно, этот вопрос актуален. И будет актуален еще долгое время, так как основной фактор утечки данных — это как правило человеческий фактор. Большинство проблем с безопасностью связаны с тем, что в компаниях отсутствует регламент и понимание того, каким образом нужно работать с чувствительными документами, а также отсутствуют процессы передачи данных.

 

• Расскажите о Вашей компании, и о том, что такое защита документов 
• Наша компания является разработчиком виртуальной комнаты данных.  которая называется Vaulterix.  Любая компания имеет чувствительные данные. Это может быть инсайдерская информация, или информация связанная с финансовыми результатами работы организации. И время от времени этими данными нужно делиться. Сотрудники делятся данными между собой, иногда данные предоставляются в общий доступ для внешних контрагентов — например, сделки, связанные со слиянием или поглощением. Компания приобретает активы и должна поделиться большим объёмом информации с большим количеством заинтересованных лиц. В этой ситуации и возникают проблемы. Как только Вы передаете документ внешнему контрагента, Вы теряете над ним контролем. Вы не знаете кто этот документ открывает и как информация, которую вы передали будет распространяться. Виртуальную комната данных позволяет этот процесс взять под контроль. А также позволяет управлять доступами, защитить документы с помощью маркировки, создать инструменты, которые позволяют контролировать где и когда открывают Ваши документы. Также мы обладаем технологией DRM защиты, которая позволяет защищать документы, даже после того как они были скачаны на чужой компьютер
• То есть  прослеживается каждый шаг?
• Прослеживается каждая операция, которая выполняется над документом. 

 

• Часто ли к вам приходят клиенты у которых уже проблемы? Например, их взломали или произошла утечка информации.
• Такие ситуации бывают, но это не мейнстрим. Служба безопасности любой организации, как правило, стараются действовать превентивно, и, обычно, нам приходят уже с конкретной задачей, которую необходимо решить.

 

• А какие конкретно решения Вы предлагаете? От чего защищают Ваша программа?
• Мы защищаем документы от несанкционированного доступа, маркируем их и помогаем расследовать инциденты.

 

• Сколько времени занимает внедрение системы?
• Всё зависит от проекта и от количества информационных систем с которыми нам необходимо выполнить внедрение. Есть проекты, где мы являемся маленьким кирпичиком в стене безопасности, когда строится защищенный контур и виртуальная комната данных играет в этом контуре одну из ключевых ролей. При этом существует еще масса других информационных систем, с которыми необходимо настроить взаимодействие. Исходя из этого и планируются сроки реализации проектов. У нас есть внедрения, которые длятся месяцами, а есть проекты, которые мы закрывали под ключ за несколько месяцев

 

• На сколько сложно внедрять данную систему?  С какими сложностями сталкивается компания?
• Обычно главная сложность — это обилие продуктов других производителей. Не всегда выполняется спецификация, не всегда есть доступ к актуальной документации. Поэтому мы решаем эти проблемы уже по мере их возникновения. У нас накоплен хороший опыт и мы умеем работать практически с любыми продуктами, которые представлены на отечественном рынке.

 

• Скажите, а как  работает внедрение данной защиты?
• Мы создаём защищенные системы. Как правило — это система НАЗВАНИЕ .Она находится внутри периметра заказчика. Один из компонентов системы смотрит в интернет для того, чтобы внешние  контрагенты могли подключиться и получить ограниченный доступ к данным. Если компания пожелает его предоставить, и пользователь желает войти в комнату,  (а комната — это такое защищенное хранилище, где находится чувствительная информация) он проходит аутентификацию. Система определяет какие права и полномочия есть у данного конкретного пользователя, находится ли его местоположение внутри защищенного периметра, либо он находится снаружи. Затем к  документам предоставляется доступ в соответствии с политиками безопасности, которые были предоставлены.

 

• С данной технологией может работать каждый сотрудник?
• Наша задача заключается в том, чтобы создать удобную систему, в которой сможет работать любой сотрудник, даже не обладающий какой-либо специальной квалификации. Для этого мы проводим обучение персонала. После того, как система выходит в опытно-промышленную эксплуатацию, мы собираем обратную связь и всегда работаем с замечаниями, которые мы получаем. Нужно понимать, что безопасность и удобство работы — это две противоположные вещи, и нам нужно балансировать где-то посередине.

 

• Сколько длится обучение? Может ли человек закончивший не имеющий специального образования начать работать в данной системе?
• Обучение длится всего 1,5 часа. Наш опыт работы показывает, что обучиться работать с виртуальной комнатой данных  может каждый. В нашей системе мы сделали упор на удобство для пользователя.  Интерфейс программы полностью повторяет проводник от операционной системы Windows и пользователь выполняет все привычные действия. Если человек работает на компьютере, он сможет научиться работать с виртуальной комнатой данных в течение очень короткого времени. 
• Должны быть какие-то знания в программировании?
• Базовые знания пользователя компьютера достаточно.

 

• Расскажите как реагировать, если возникли проблемы? Какие ошибки часто совершают компании?
• Основная ошибка — это отсутствие регламента. Какую бы систему бы Вы не приобрели и не внедрили в предприятия, Вы должны понимать, что безопасность — это процесс, который продолжается непрерывно. Поэтому просто внедрив решение и забыв о нем, обеспечить этот процесс не получится. Работа должна вестись непрерывно. В крупных организациях есть служба безопасности, которые этот процесс обеспечивают. Наша задача уметь и быть готовым отвечать на актуальные угрозы безопасности. Основная угроза безопасности — это конечный пользователь, который не имеет злого умысла, но в силу отсутствия знаний и регламентов внутри организации своими неосторожными действиями может повлечь события, которые приведут к утечке данных. 

 

• Многие компании сейчас переходят на российские решения. Чем наши решения отличаются от зарубежных именно в информационной безопасности?
• В этой конкретной области есть отличия между нашими отечественными компаниями и западными коллегами. В первую очередь это желание хранить данные непосредственно внутри организации. Поэтому большинство наших внедрений — это внедрения  НАЗВАНИЕ, когда сервер с виртуальной комнатой данных находится внутри инфраструктуры заказчика.В иностранных компаниях есть твердая тенденция перехода в “облака”, когда безопасность и структура отдаются на аутсорс, и данные хранятся в “облаке” на сервере провайдера.
• Это не очень безопасно?
• Есть определенные риски хранения данных вне организации, они достаточно большие. Когда сервер находится удаленно, вы не можете гарантировать, что к вашим данным никто не имеет доступ без вашего разрешения. 
• А есть ли риск вообще потерять данные?
• Риск потери данных всегда присутствует. Есть технологии, которые позволяют их минимизировать. Обычно эти технологии — это аппаратные комплексы, но есть и программные решения, которые позволяют это сделать.

 

• Как Вы считаете, стало ли больше случаев или просто увеличилось внимание к данной проблеме?
• Проблема безопасности данных и компрометации растёт в прогрессии. Если взять данные РБК, то мы увидим, что за 2022 год количество утечек выросло больше, чем в три раза. Зафиксировано около 600 млн единиц утечки данных.  Обычно утекает информация о клиентах из серверов доставки еды, такси.  Мы все слышали об этих случаях, они достаточно громкие. Это связано с тем, что количество серверов растет, и соответственно растет количество пользователей. Значит будет расти и количество утечек.

 

• Сколько стоят решения для безопасности данных?
• Зависит от количества рабочих мест в организации, задач и сложности интеграции.  У нас есть проекты стоимостью от десяти миллионов, а есть проекты стоимостью несколько сотен тысяч рублей. Как правило, это коробочные решения, которые предоставляются нашими партнёрами. 

 

• Кто ваши клиенты? Где особенно нужны такие решения?
• Изначально класс решений был предназначен для обеспечения безопасности сделок по слиянию. Когда организации необходимо предоставить доступ к числительным данным в случае продажи актива, например, аудит покупателя. Но сейчас, особенно после локдауна, когда многие люди стали работать удалённо, потребность в решении такого класса резко выросли. У заказчиков возникло понимание необходимости использования таких решений, и нашими клиентами являются компании из разных отраслей. Это и государственные компании, и страховые компании, банки.  Например, мы работаем с заводом по производству труб, и с организацией по развитию экономических отношений между Россией и одной из стран Средней Азии. 

 

• Какие бывают проблемы? Какие риски несет бизнес?
• Риски для бизнеса — это разглашение конфиденциальной информации, получение доступа к чувствительной информации организации третьими лицами. Если компания публичная, у неё возникают риски, которые влияют на стоимость компании и ее акций. Если компания разрабатывает уникальный проект, она также хочет защитить своих плоды интеллектуальной собственности и виртуальная комната данных позволяет эту задачу решить.

 

• Виртуальная комната данных работает в совокупности с роботизацией  или с другими технологиями?
• Роботизация не совсем наша сфера. Виртуальная комната данных интегрируется с системами по информационной безопасности, c  антивирусной системы класса DLP, когда пользователь загружает данные. Виртуальная комната данных должна уметь эти данные направить в стороннюю система для проверки, получить ответ и в зависимости от ответа сторонней системы, комната данных либо позволит загрузить этот документ, либо не позволит.

 

• Чтобы Вы посоветовали руководителям компании? На что нужно обращать внимание в первую очередь, чтобы защитить свой бизнес?
• В первую очередь внимание нужно обращать на процесс обеспечения безопасности, должны быть регламенты. Сотрудники организации должны иметь чёткий процесс, по которому они работают. К сожалению во многих компаниях до сих пор чувствительная информация отправляется по электронной почте, передается через мессенджеры, и без этого понимания говорить о конфиденциальности и сохранности данных пока не приходится.

 

• Почему вообще так безответственно относится к безопасности? Она же должна стоять на первом месте.
• Это обычный процесс. Люди привыкли работать с документами. Когда поступает запрос на какой-то документ, легко использовать электронную почту, либо передать через мессенджер. Многие компании уже задумались об этой проблеме. Как правило, публичное облачное хранилище и отправка документов по незащищенным каналам блокируется. Но до сих пор мы встречаем кейсы, когда ограничений нет, и пользователи действуют с документами как угодно.

 

• В каком направлении будет двигаться рынок в ближайшее время
• В силу политической ситуации, любая компания из России, которая занимается информационной безопасностью, сейчас не обладает перспективами выхода на зарубежные рынки. Поэтому, на мой взгляд, все производители сейчас будут концентрироваться на потребностях российских заказчиков. Большинство наших клиентов — это дружественные страны, страны СНГ и российские пользователи.

 

• Как вы оцениваете перспективы it-компании на международном рынке?
• Перспективы туманны. Есть варианты дробления бизнеса, отделения, изменения резиденции. Средний и малый бизнес точно не сможет использовать эти инструменты. Это связано с финансовыми затратами, и с другой стороны, несмотря на, например, европейскую резиденцию, корни всё равно прослеживаются. Поэтому наши компании будут концентрироваться на потребностях российских заказчиков, что хорошо для российского рынка. Мы будем конкурировать друг с другом, будем стараться предоставить более качественные услуги и делать их более доступными

 

• Расскажите как выглядит корпоративная политика компании? Как правильно замотивировать сотрудника? Как избежать выгорания?
• Мы небольшая компания одного продукта. Разрабатываем виртуальную комнату данных, и большинство людей, которые с нами работают стояли у истоков создания этого продукта. И лучшая мотивация — это любовь к своей работе, и любовь к тому, что мы делаем. Очень приятно, когда мы создаём бизнес-процесс, по которому работают десятки тысяч пользователей ежедневно. Очень приятно видеть, что продукт развивается. Небольшая компания может привлечь и удержать сотрудников с помощью семейной обстановки и развития продуктов.