РБКBiznes

Крупный план — Кибербезопасность

Охранник данных

Zecurion строит бизнес на борьбе с утечками информации, и он все время растет

Самая популярная, раскрученная киберугроза — неуловимые и могущественные хакеры, которые совершают взломы, проводят вирусные атаки и нарушают работу объектов инфраструктуры. Но едва ли не больший ущерб экономике наносят «внутренние враги», из-за беспечности или по злому умыслу которых происходят утечки данных на миллиарды долларов в год. Их объем растет, а с ним растет бизнес разработчиков DLP-систем (Data Leak Prevention, или Data Loss Prevention — предотвращение утечек данных), таких как компания Zecurion, выручка которой за последние пять лет выросла в пять раз, почти до 1 млрд руб.

Текст: Владимир Гендлин
Фото: Арсений Несходимов для РБК

Осенью 2016 года журналисты The Insider обнаружили в продаже базу данных 20 млн клиентов и должников российских банков — имена, адреса, телефоны, места работы. В их числе — больше 100 тыс. персональных данных сотрудников подразделений ФСБ, ФСО и других силовых структур, высокопоставленных чиновников и депутатов. Весной того же года житель Екатеринбурга прислал в редакцию портала Ura.ru найденную на помойке документацию строительной фирмы, в том числе документы об аукционе на ремонт здания института ФСБ, сканы паспортов и миграционных карт строителей из Северной Кореи и расписки в получении черного нала.

Только за прошлый год в СМИ можно обнаружить сообщения о найденных на свалках бумажных документах и цифровых носителей с персональными данными граждан. Данные утекают из государственных организаций, гостиниц, больниц и институтов, от мобильных операторов и пр. Кроме утечек по халатности есть умышленные хищения и бизнес на торговле персональными данными и коммерческими секретами. Например, в 2015 году бывший сотрудник «Яндекса» Дмитрий Коробов скопировал на флешку исходный код и алгоритмы работы поисковика и попытался продать их на хакерских форумах — сначала за $25 тыс., потом за 250 тыс. руб., которые хотел потратить на создание стартапа. Сам «Яндекс» оценил стоимость кода в несколько миллиардов рублей. В конце 2015 года Коробов был осужден на два года лишения свободы условно.

Корреспондент журнала РБК забил в поисковой строке «Яндекса» запрос «сканы паспортов купить» — 73 млн результатов, 376 показов за месяц. Продавцы предлагают сортировку по полу, возрасту и т.д., цена — 30–40 руб. за штуку. «Сканы учредительных документов» — 102 млн результатов, «сканы договоров» — 82 млн. Подобные документы могут быть использованы для получения кредитов, кредитных карт, хищения средств с легальных карт и других мошеннических схем.

В опубликованном летом этого года исследовании компании InfoWatch говорится о 213 зафиксированных в России утечках конфиденциальной информации из госорганов и частных компаний в 2016 году (это на 80% больше, чем за предыдущий год) и 14% от числа утечек такой информации во всем мире (по числу утечек Россия заняла второе место после США). Всего скомпрометировано — попало или могло попасть в чужие руки — до 128 млн записей, в том числе о банковских счетах и картах. Этот показатель за минувший год вырос более чем в 100 раз.

«Картина утечек данных из российских организаций стремительно приближается к общемировой. Это связано со схожестью объектов защиты (типов используемых данных), с ростом ценности информации и увеличением числа каналов передачи данных», — говорится в докладе InfoWatch. В 2016 году в России большинство утечек пришлось на сетевой канал (68%), на бумажную документацию — 26% (в среднем по миру 69,5 и 10,8% соответственно).

В России чаще всего утекают персональные данные и платежная информация: на них пришлось 80% случаев 2016 года. В 68% случаев виновными в утечке информации оказались сотрудники компаний, в 8% случаев — руководители, и это характерная страновая особенность (в среднем в мире руководство организаций допускает 2% утечек). Как говорится в исследовании Zecurion Analytics по итогам 2015 года, экономический кризис в России повлиял на рост числа утечек: сотрудники компаний, озабоченные сокращениями или опасающиеся увольнения, начали в массовом порядке копировать конфиденциальную информацию «на всякий случай».

Мировой рынок DLP-систем сформировался в начале 2000-х годов, в России — чуть позже. На отечественном рынке работает порядка десяти российских и зарубежных компаний, причем практически все из них на просьбу назвать лидера отвечают просто: «Мы!»

В этих ответах есть своя правда: лидерство можно измерять по выручке, количеству контрактов или клиентов и даже по техническому совершенству продукта. Информационно-аналитический портал Anti-Malware. ru называет самым крупным игроком упомянутую выше компанию InfoWatch, отделившуюся в 2012 году от «Лаборатории Касперского» и возглавляемую Натальей Касперской (ее долю по итогам работы в 2013– 2015 годах портал оценил в 30,8%). Следом идут Solar Security (17,3%), SearchInform (14,9%), Zecurion (13,8%) и DeviceLock (12,1%).

Правда, Anti-Malware.ru рассчитывал эти доли исходя из своих данных о выручке компаний, которые на сотни миллионов рублей отличаются от таких же данных, которые публикует CNews Analytics. При этом большинство упомянутых фирм вообще не публикует свою финансовую отчетность, и попытки журнала РБК выяснить, данные какого из рейтингов больше соответствуют действительности, не увенчались успехов. Как заявил глава SearchInform Лев Матвеев, информацию составители рейтингов получают непосредственно от производителей без каких-либо подтверждающих документов, поэтому оценить ее объективность сложно. Но все игроки не оспаривают первое место InfoWatch и соглашаются с тем, что в целом состав крупнейших участников рынка указан верно.

Жизнь в цифре

Часы в переговорной Zecurion показывают время наоборот — не сразу понимаешь, в чем подвох, потом замечаешь, что они заметно отстают. Наконец, радость открытия — секундная стрелка движется в обратную сторону, да и минутная идет не туда. Часы куплены «в магазине прикольных товаров», но в этой шутке можно увидеть и вполне философский смысл — не важно, в какую сторону движутся стрелки, главное, что в любой момент они показывают точное время.

Гендиректор и сооснователь Zecurion Алексей Раевский немногословен и особенно не любит говорить о себе — такое ощущение, что DLP-система встроена в него самого. Профессиональная деформация или черта характера? «Он всегда такой был — скромный, сдержанный, неконфликтный», — говорит председатель совета директоров компании WikiVote Василий Буров, который дружит с Раевским уже 20 лет. «Если Леша про что-то профессиональное говорит, это означает, что он про это точно знает. Если не точно — не говорит. И вытащить из него какие-то примерные оценки всегда сложно», — добавляет Буров.

С защитой секретов Алексей связан давно. Выпускник МИФИ по специальности «прикладная математика», в 1990-х он занимался шифрованием информации, защитой программного обеспечения от несанкционированного доступа и копирования. О бизнесе не думал: говорит, что заниматься продажами ему было неинтересно, нравилось разрабатывать программы на фрилансе. О продаже этих программ Раевский договорился с компанией «Аладдин Р.Д.», крупным разработчиком софта в области информационной безопасности, но в какой-то момент отношения разладились. «Договоренности нарушались», — уклончиво объясняет Раевский.

Разногласия закончились прямым конфликтом и разрывом отношений: в 2001 году Раевский и несколько сотрудников компании «Аладдин» — Сергей Комарницкий, Роман Васильев и Александр Белявский — основали компанию под названием SecurIT. «Они долго не верили в мою идею, считали, что ниша слишком узкая. Пришлось уговаривать, убеждать, что спрос вот-вот появится», — вспоминает Раевский. Уговорить будущих партнеров Алексей все же сумел. Удалось найти и первого инвестора — небольшую компанию, занимавшуюся системной интеграцией, которая вложила $60 тыс.

Первые годы новой фирмы были непростыми. «Аладдин» пытался доказывать в судах, что программное обеспечение, которое начала предлагать новая компания, в точности похоже на софт «Аладдина» и даже название SecurIT «сходно до степени смешения» с зарегистрированной торговой маркой компании Secure NT. Но после череды судебных разбирательств SecurIT отстояла свои позиции. Правда, еще два года компании пришлось бороться за выживание.

«Удивил неожиданно скромный результат», — в своей немногословной манере описывает этот период Раевский. Проще говоря, нечем было платить людям зарплаты. Инвестор потребовал возвращения своих инвестиций, а $60 тыс. были тогда для партнеров крупной суммой. «Некоторые сотрудники разочаровались, некоторые покинули компанию, — признает Васильев. — «Лично я, хотя и ожидал большего результата, продолжал верить в успех». Выжить и вырасти SecurIT помогли события, которые в то время происходили в экономике страны.

Начало 2000-х — вторая волна приватизации, когда на авансцену вышла технология приобретения активов, получившая название «рейдерство». Явление стало массовым, и рейдерством занимались очень серьезные компании, делившие между собой предприятия и холдинги, которые после экономического подъема 2003–2004 годов начали зарабатывать миллиарды долларов.

Рейдерство — это не только и не столько крепкие парни с дубинками, штурмующие территорию очередного завода. Главной силой всегда были «белые воротнички», юристы в галстуках и с кейсами, а главным оружием — информация о предприятиях, которую добывали любыми путями. «Именно так мы и выжили: люди поняли, что информация стоит денег, и стали вкладываться в информационную безопасность», — говорит Раевский.

Вначале SecurIT разрабатывала системы шифрования информации на серверных хранилищах. В случае судебного решения или захвата без него первым делом изымаются серверы, но если информация зашифрована, то без ключа доступа к данным не получить. Линейка продуктов постепенно расширялась — появилась система двухфакторной аутентификации, система контроля доступа к приложениям, средство для шифрования магнитных лент. В 2005 году компания впервые вышла на рынок DLP с системой контроля USB-устройств и принтеров Zlock.

Держать и не пущать

Задача Zecurion DLP — минимизировать риски утечки информации. Контроль осуществляется на нескольких уровнях. На уровне рабочих станций локальные агенты следят за информацией, копируемой на флешки и передаваемой на печать и любые другие подключенные устройства. В 2015 году Zecurion получила патент от Бюро по регистрации патентов и товарных знаков США на технологию превентивного теневого копирования и контентного анализа, реализованную в своих продуктах.

Сетевой трафик контролируется на шлюзе сети. Это позволяет предотвращать утечки через электронную почту, мессенджеры, соцсети и блоги. Для предотвращения несанкционированного доступа к информации Zecurion шифрует данные на серверах и резервных накопителях, а для безопасной передачи на флешках использует криптопериметр. Это позволяет избежать популярного сценария утечки, когда сотрудники теряют флешку с конфиденциальными данными, и передачи файлов в недоверенную среду, где возможна ее утечка.

Для выявления конфиденциальной информации DLP-система использует набор различных подходов и методик. Особую ценность представляет гибридный анализ, включающий несколько технологий контентного анализа. После того как информация классифицирована, DLP-система проверяет, соответствует ли операция (копирование, пересылка и т. д.) корпоративным политикам безопасности. Когда выявляется нарушение, операция блокируется, а офицер безопасности получает уведомление.

Продажа дорогих таких систем — сложный бизнес, в котором многое завязано на личном общении и доверии, говорит Раевский. Обычно все начинается с пилотных проектов, где заказчик сравнивает продукты различных вендоров. Этот процесс может занять до года. Закупочная процедура одинакова по длительности и сложности для проекта на 2 млн и на 20 млн руб., говорит Раевский.

В середине 2000-х российский рынок DLP-систем пребывал в зачаточном состоянии, поэтому SecurIT попыталась выйти за рубеж, открыв в 2006 году офис в Нью-Йорке и придумав для иностранных рынков бренд Zecurion (вся компания стала называться так лишь после ребрендинга в 2012-м). «Попытались с наскока завоевать Америку», — с иронией вспоминает Раевский. С одной стороны, решение логичное: в Америке работают самые крупные потенциальные клиенты. Кроме того, именно в это время здесь произошел ряд громких утечек данных. Так, в 2006-м Министерство по делам ветеранов США упустило персональные данные 26,5 млн человек: воры ограбили дом сотрудника, который в нарушение регламента принес с работы ноутбук. Министр Джим Николсон попросил у сената $500 млн на устранение последствий. Но с учетом всех выплат, включая коллективный иск ветеранов к федеральному правительству в размере $1 тыс. на каждого, итоговая сумма ущерба от утечки превысила $30 млрд.

Но очень скоро стало понятно, что для серьезной экспансии нужно много вкладывать, а затраты в США сильно отличаются: в Москве хорошего специалиста по продажам можно найти за 120 тыс. руб. в месяц, в Нью-Йорке — от $10 тыс. Кроме того, доверить защиту инсайдерской информации фирме из России — довольно экзотическое решение для американского заказчика, признает Раевский. Хотя у российских айтишников определенная слава, и несколько заказчиков в США у Zecurion все же есть, добавил он. 

В том же 2006 году, когда Zecurion пыталась пробиться в США, начался рост на российском рынке DLP-систем. Его лидером была образованная в 2003 году компания InfoWatch, долю которой в 2008 году Anti-Malware.ru оценивал в 50,9% (долю SecurIT в том же году — в 14,8%). Объем российского рынка в 2008 году аналитики портала оценили в $14,2 млн, или 353 млн руб. по тогдашнему курсу. 

Рост российского рынка привлек внимание крупнейших мировых производителей DLP-систем вроде Symantec и McAfee, и первое время им сопутствовал успех. Symantec вырос очень резко: его доля с 0,4% в 2008 году увеличилась до 4,6% в 2009-м, подсчитал Anti-Malware.ru. В 2010-м доля Symantec составляла уже 6,6%, еще 12,3% приходилось на техасскую компанию Websense. Американцы стремительно наращивали обороты: в 2010 году Symantec увеличил выручку на 133%, Websense — на 114,3% (SecurIT в том же году — на 44,8%). Но им было не суждено покорить российский рынок: в 2015 году доля Symantec сократилась до 1%, Websense (переименована в Forcepoint) — до 2,6%. Девальвация рубля и политика импортозамещения, обязавшая госкомпании и органы власти использовать российское ПО, сделали иностранцев неконкурентоспособными. 

Zecurion не публикует финансовую отчетность, информацию о деньгах компании приходится брать из отраслевых отчетов, где публикуются оценочные данные, или из редких интервью менеджеров. Так, как заявлял директор по маркетингу Александр Ковалев, в 2011 году выручка компании выросла на 22%, до 195,3 млн руб. (76% выручки дали продажи в России). По данным рейтингов CNews, в следующие пять лет выручка Zecurion выросла в пять раз (см. инфографику).

Другая экспансия

Среди клиентов Zecurion в России — Сбербанк, «Роснефть», «Газпром», «Аэрофлот», «Техносила», «Ростелеком» и др. Попытки компании и других участников рынка продвигать DLP-системы среди среднего и малого бизнеса пока большого успеха не имели, хотя Раевский называет одной из задач разработку решений, доступных и для них.

Между тем, по его мнению, на рынке DLP-систем сложилась уникальная ситуация, которая выгодна именно таким, как Zecurion. В начале 2000-х годов в мире были сильные стартапы в этой области — Vericept, Verdasys, Reconnex, Orchestria, Fidelis Security Systems и другие, но в 2007–2008 годах многих из них скупили крупные вендоры вроде Symantec и McAfee. По мнению Раевского, это затормозило развитие технологий в США и даже привело к стагнации рынка. Для глобальных компаний это побочный бизнес, таких разработчиков покупают «на всякий случай», говорит Раевский. Настоящие технологические прорывы совершают независимые игроки, считает он, а их почти не осталось, и российские разработчики имеют серьезное технологическое преимущество.

В InfoWatch корреспонденту РБК назвали две основные географические области роста рынка DLP — США и Россия. Каждый рынок осваивают в основном местные компании, и на российском рынке главная борьба идет между местными разработчиками. Им уже становится тесновато, и в ближайшее время можно столкнуться с насыщением, поэтому некоторые игроки вновь думают об экспансии.

Компания SearchInform в июне этого года открыла офис в Буэнос-Айресе, а в прошлом году — в Объединенных Арабских Эмиратах. InfoWatch в апреле этого года привлекла средства РФПИ (сумма не называлась) и открыла офис в Дубае, еще один офис откроется в КуалаЛумпуре (Малайзия): планируется усилить активность в Юго-Восточной Азии, на Ближнем Востоке и в Европе.

Zecurion пока не озвучивала подобных планов, но Раевский много и часто перемещается по стране и миру, если судить по его странице в Facebook (соцсеть признана в РФ экстремистской и запрещена). Например, 14 марта он катается на лыжах в Горной Шории в лыжном центре Шерегеш, 23 марта выступает на IT-форуме в Санкт-Петербурге, 24 марта публикует селфи в Генеральной прокуратуре РФ, 30 марта он уже в Амстердаме, 2 апреля — в бразильском Сан-Паулу, где проводит две недели в рамках программы executive MBA швейцарской бизнес-школы IMD.

Визит в прокуратуру несколько выпадает из списка, но Раевский говорит, что ничего странного в нем нет: в Генпрокуратуре идет проект цифровой трансформации, и ей нужны IT-эксперты (с февраля Раевский входит в состав экспертного совета при Генпрокуратуре РФ). «Жизнь все больше переходит в цифру, и госорганам приходится к этому приспосабливаться», — говорит глава Zecurion. Может быть, государство к тому же нуждается в помощи айтишников, как никто другой.

Самые свежие данные Zecurion Analytics показывают, что в первом полугодии 2017 года 43,7% утечек было совершено преднамеренно, при этом 21,1% всего объема утечек пришлось на государственные организации. Возможно, освоение этого сектора может стать гораздо более выгодным делом, чем очередные попытки зарубежных экспансий.