По итогам прошедшего в феврале VIII Уральского форума «Информационная безопасность финансовой сферы» пришел к печальному выводу: банки не привыкли жить в условиях продолжительного кризиса. Непривычный для руководства большинства банков длительный режим жесткой экономии приводит к прямо противоположным последствиям – вместо повышения эффективности затрат к выбрасыванию денег на ветер.
Мы все привыкли переживать кризисы, уже сложились «стандартные решения» и «модели поведения», как у интеграторов с вендорами, так и у заказчиков. Например, можно поставить сегодня часть системы и провести часть работ бесплатно, чтобы «отбить» затраты на следующий год в развитии этого же проекта или реализации другого. Либо «отбить» деньги на сервисе и подписке на техническое обслуживание. Но сегодня все понимают, что на следующий год бюджет может быть еще меньше. И банки не готовы обещать возмещение, и поставщики решений уже не расположены идти на такие схемы.
В результате ситуация, которую я считал частностью, оказалась общей для всего рынка ИБ банков. Например, вместо дорогих DLP‑решений покупают и внедряют решения стоимостью в пять или десять раз ниже. Просто потому, что «нет бюджета», а они дали «1000 рублей» за рабочее место. В момент продажи такой дешевой системы сейлы, как от них и требуют, утверждают, что «все будет работать», «весь функционал есть». Руководство банка радуется: «Ну вот, обошлись малой кровью, а говорили, что DLP стоит как самолет…». Только потом директора по информационной безопасности сталкиваются с проблемами: либо с этой «дешевой системой» работать просто невозможно, настолько она неудобная, либо на том количестве рабочих мест, на которых ее развернули, она никогда не работала и сейчас не будет, либо в каждом офисе приходится ставить отдельную систему, и ни о каком «распределенном решении» речь идти не может. Еще один вариант, когда под лозунгами «дешевая DLP» продают то, что к DLP имеет крайне далекое отношение, и крупные вендоры аналогичные решения называют совсем другими словами.
Уже потом, в кулуарах конференций мы все получаем одинаковые отзывы: «Да, поставили, да, не работает, но руководству мы сказать об этом не можем – нас же спросят, куда потрачены деньги? И новых бюджетов на замену системы нет и не будет».
Но что для банка «неработающая DLP»? Для руководства банка это мина замедленного действия. До сих пор для многих слова «репутационный ущерб» означают, что какой-то клиент из-за утечки его персональных данных подаст в суд. Ну сколько в Москве таких идеалистов наберется? А по всей России? На самом деле, «репутационный ущерб» – это когда клиент с многомилионными проводками случайно узнает, что информация о них стала известна третьему лицу. Кому хочется, чтобы об этом было известно всему свету? Никому. Клиент уйдет из банка, расскажет о случившемся своим друзьям и знакомым. Сегодня, когда каждый крупный клиент на счету, для любого банка это может стать серьезной проблемой.
При этом руководство банка, во-первых, не знает о такой проблеме, во-вторых, уверено, что «все в порядке, DLP работает». Нет, не в порядке.
Но если мы хотим продавать качественный продукт, то должны уметь донести всю сложность ситуации и до руководителей по безопасности, и до руководства банков. Донести на понятном для каждого языке. Клиент должен принимать решение, полностью осознавая ситуацию и проблему. Если он решит принять риски, это будет его собственное, взвешенное решение. И если у него действительно нет денег на «дорогую DLP», то он осознанно будет выбирать решение другого класса и назначения, чтобы «закрыть» то, что возможно в рамках его бюджета. Тогда руководство банка будет иметь ясную картину происходящего, и руководители по ИБ будут иметь возможность впоследствии поднимать вопросы о внедрении «качественной DLP».