В 2025 году поставки программных продуктов в сфере защиты данных превысят 24 млрд рублей, прогнозирует Б1. В основном это закупки лицензий для бизнеса на использование систем предупреждения утечек данных (DLP), спрос на которые у отдельных разработчиков растет год к году темпами значительно выше средних. Однако использование этих программ сопровождается большим числом ложных срабатываний, которые иногда приводят к конфликтам с сотрудниками. Forbes разбирался, как можно улучшить эффективность работы систем и повысить лояльность сотрудников, работу которых эти программы контролируют
Слежка в Telegram
В один из сентябрьских дней 2025 года Алексей Фиалков (фамилия изменена по его просьбе), дата-инженер IТ-компании X5 Tech (входит в X5 Group, управляющую торговыми сетями «Пятерочка», «Чижик», «Перекресток» и др.), работал из дома. Утром он зашел со своего смартфона на сайт X5 Group, загрузил PDF-файл с финансовыми результатами группы за II квартал, опубликованный 13 августа, и отправил этот файл в рабочий чат в мессенджере Telegram. На следующий день вечером он получил письмо от службы безопасности компании. Как следует из его поста в соцсети LinkedIn, Алексея уведомили, что он «нарушил политику информационной безопасности компании, отправив файл, содержащий охраняемые корпоративные сведения, кому-то через Telegram».
Айтишник не сразу вспомнил, где и когда он отправил злополучный файл, рассказал Фиалков Forbes. А поняв, что речь идет о пересылке опубликованного ранее пресс-релиза в рабочий Telegram-чат, он заподозрил компанию в мониторинге своей личной переписки в этом мессенджере и написал письмо в службу безопасности с требованием подтвердить или опровергнуть свою догадку. Еще через несколько дней, не дождавшись ответа, Алексей написал пост в LinkedIn под названием «Служба безопасности X5 Tech следит за личной перепиской сотрудников?».
Этот пост вызвал определенный резонанс, пользователи соцсети оставили больше сотни комментариев. Благодаря этому, по словам Фиалкова, он добился встречи с руководством службы безопасности, на которой ему сообщили, что предупреждение о нарушении политики безопасности было отправлено ему по ошибке. Его также проинформировали, что мониторингу подлежат только корпоративные устройства и мессенджеры, а не личные. Об этом Фиалков также написал в LinkedIn. Таким образом, конфликт был исчерпан, но ситуация оставила неприятный осадок.
«Инцидентом разочарован, — сетует Фиалков в разговоре с Forbes. — Их бот, который следит за утечками, не фильтрует информацию о том, что публичные данные были отправлены или реально конфиденциальные. Просто увидел, что в файле содержались какие-то финансовые сведения, и прислал мне письмо, что я нарушил политику безопасности компании».
В пресс-службе X5 Group оперативный комментарий Forbes не предоставили.
Пересылку файлов в мессенджерах может отследить DLP-программа, а также обладающие DLP-функциями системы документооборота, DCAP-системы, системы анализа сетевого трафика, межсетевые экраны и др., рассказал заместитель генерального директора разработчика DLP-систем группы компаний «Гарда» Рустэм Хайретдинов.
«Все эти системы могут отследить пересылки файлов в мессенджерах, хотя и не все из них могут заглянуть внутрь файла, то есть прочитать его. Для срабатывания DLP-системы часто достаточно названия файла, его атрибутов и источника (папки, компьютера), откуда он был скопирован», — уточнил Рустэм Хайретдинов.
Чтобы предметно комментировать ситуацию, в которую попал сотрудник ретейлера, по словам представителя «Мегафона», также имеющего в портфеле DLP-систему, необходимо иметь больше исходных данных: какая система использовалась, включена ли в ней ИИ-аналитика, как обучена модель и т.д.
Рынок DLP
Ассортимент российских систем DLP (Data Loss Prevention) сейчас насчитывает больше десяти зрелых продуктов, полагает Рустэм Хайретдинов. В России существует около десятка DLP-систем с разным функционалом, подтверждает представитель «Мегафона». Уровень проникновения DLP-систем в малом и среднем бизнесе «очень низок», отмечает руководитель аналитического центра производителя DLP-системы Zecurion Владимир Ульянов: «До сих пор они остаются классом продуктов, нацеленных в большей степени на крупный бизнес». В 2024 году вендоры DLP-систем, по словам Ульянова, выручили 15 млрд рублей. В эту сумму не входят партнерские комиссии, стоимость услуг по внедрению и настройке. В 2025 году выручка производителей вырастет примерно на 10%, до 16,5 млрд рублей, прогнозирует Ульянов.
Компания Б1 относит DLP к числу продуктов для защиты данных, сегмент которых в 2024 году занял 10% от общего объема рынка продуктовой разработки в сфере информационной безопасности (ИБ), или 21 млрд рублей. Этот сегмент будет расти на 15% год к году на горизонте до 2030 года, отмечают аналитики Б1. Эксперты ГК «Солар» (входит в «Ростелеком») полагают, что DLP — это единственная технология, которая входит в домен защиты данных, поэтому рынок DLP-систем в России также равен 10% от общего рынка продуктовой разработке в сфере ИБ.
Рустэм Хайретдинов более оптимистичен в прогнозах. Он сообщил, что российский рынок DLP, по разным оценкам, составит в 2025 году около 40 млрд рублей. По его словам, это только стоимость лицензий, инфраструктура и работы в сумму не включены. Рынок будет расти на уровне 10% в год в основном за счет расширения инсталляции в крупных компаниях, полагает он.
Представитель «Мегафона» отмечает, что спрос на услугу DLP в 2024 году был в два раза выше, чем в 2023-м. В текущем году, по прогнозам, он составит примерно 80% относительно 2024 года, сообщил представитель оператора.
В 2021 году объем рынка DLP не превосходил 8 млрд рублей, но, так же как и мировой, отечественный рынок DLP рос быстрее индустрии кибербезопасности в целом, обращает внимание аналитик ФГ «Финам» Леонид Делицын. Сейчас глобальному рынку DLP прогнозируют ускорение роста — глобальный рынок развивается быстрее. Так, по оценке аналитиков Precedence Research, темпы прироста выручки глобального рынка DLP составят в среднем 22,3%, так что объем рынка вырастет с текущих $3,4 млрд (2025 год) до $21 млрд в 2032 году.
«Любая система принятия решений делает ошибки двух видов — отправляет на казнь невиновного и милует закоренелого злодея. А детекция утечки включает решение — была утечка или ее не было, — считает Делицын. — Система востребована, если совокупные штрафы за все неверно принятые решения меньше, чем без такой системы, или, проще говоря, с системой выгоднее, чем без нее. А без ошибок такие системы работать не могут в принципе, так же как не может существовать вечного двигателя».
Работа над ошибками
Ложные срабатывания — это «универсальная болевая точка» DLP-систем, отмечали в 2018 году эксперты «Солар» в своем блоге на Habr. «Они могут быть вызваны неправильной настройкой политик, но соль в том, что даже если интегратор постарался и все внедрено-настроено грамотно, ложные срабатывания все равно никуда не исчезают. И их много. Если услышите, что у кого-то их нет, не верьте — everybody lies», — отмечается в публикации.
«По опыту внедрения и экспертным оценкам специалистов Сбербанка, совокупную точность (соотношение ложноположительных и ложноотрицательных срабатываний) классической DLP-системы редко удается удержать на уровне выше 70%. Дальнейшее повышение точности ведет к значительному росту затрат на управление и актуализацию политик», — сообщается в публикации на сайте «Сбера».
Как считает Рустэм Хайретдинов, хорошо обученные DLP-системы имеют общую точность категоризации документов порядка 95%, а на данных, имеющих стандартную структуру (номера документов, телефоны, индексы, любые идентификаторы, вроде номеров билетов и артикулов товаров), близки к 100%. Ложные срабатывания могут быть вследствие некорректного управления признаками конфиденциальности, как в примере Фиалкова, так и ввиду недостаточной обученности системы классификации документов, отметил он.
Точность DLP — это не справочный показатель из таблицы, отмечает Владимир Ульянов. По его словам, точность одной и той же DLP «может плавать в очень широком диапазоне от заказчика к заказчику». Со стандартными, заводскими настройками или типовыми политиками, которые могут поставляться вместе с продуктом, сложно рассчитывать на повышенную точность системы, полагает эксперт.
«Точность даже в большей степени зависит от качества настройки политик при внедрении DLP, чем от наименования разработчика. Почти всегда DLP опираются на вероятностные методы распознавания содержимого, которые допускают определенную долю ошибок как второго рода (пропуск нарушения), так и первого рода (ложные срабатывания). Доля ошибок определяется качеством настройки и эксплуатации системы в реальной среде. Политики требуют «подкрутки» в процессе использования для снижения числа промахов. Детерминистские методы распознавания контента, которые обычно реализуются в виде меток конфиденциальности, используется редко. Для повышения точности разработчики включают несколько технологий анализа содержимого. Совместное их использование, а также подбор наиболее подходящих технологий для разных типов файлов и сценариев использования позволяют поднять точность до очень высоких значений, которые могут приближаться к 100%. Однако на практике ошибочных решений не избежать», — отмечает Владимир Ульянов.
«Ложные срабатывания могут возникать у любого продукта по разным причинам — из-за недостаточной настройки правил, слишком жестких политик безопасности, отсутствия исключений. Кроме того, поиск по ключевым словам может не учитывать контекст и тип информации, — рассказывает представитель «Мегафона». — В случае недостаточной настройки DLP-систем и, как следствие, высокого уровня ложных срабатываний специалисты по информационной безопасности тратят много времени на расследование инцидентов. Чем точнее откалибрована система, тем выше ее эффективность».
Как рассказывает Владимир Ульянов, обычно DLP эксплуатируются в режиме мониторинга, когда нарушения только фиксируются, но не предотвращаются. «Если DLP-система работает в режиме блокировки, большое количество ошибок может затруднять и нарушать бизнес-процессы организации. Например, сотрудник не может отправить документ контрагенту, срываются сроки, возникают репутационные риски, — поясняет эксперт. — Для специалистов по информационной безопасности ошибки также представляют сложность, поскольку отнимают много времени на разбор и отвлекают от корректно выявленных инцидентов».
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Эксперт центра защиты данных ГК «Солар» Виталий Петросян отмечает, что мессенджеры — это один из наиболее распространенных каналов нелегальной передачи данных, через который проходит до 35% утечек конфиденциальной информации. По его словам, ГК «Солар» разработала технологию оптимизации средств защиты информации для сотрудников на основе паттернов их поведения. Технология позволяет компании снизить вероятность ложных срабатываний, если поведение сотрудника не соответствует базовым паттернам для всего штата компании, позволяет более гибко настраивать систему и исключать факторы демотивации, отмечает Виталий Петросян.
«Ложные срабатывания неудобны, мы все это знаем по почтовому спаму и «докажите, что вы не робот» на сайтах — это отнимает время и портит настроение, — отмечает Рустэм Хайретдинов. — В корпоративных внедрениях DLP редко используется полномасштабный режим блокирования, обычно он настроен только на конкретный вид критической информации, типа персональных данных или данных платежных карт. Истории о том, что кто-то захотел по работе, скажем, выгрузить файл, разрешенный к выгрузке, но не смог, встречаются нечасто. На производительность больше влияет процесс реагирования службы ИБ на предупреждения DLP-системы: если они, получив уведомление о подозрительной операции, сначала разбираются, была ли она опасной, а только потом отвлекают сотрудника с требованиями объяснений — ложные срабатывания не мешают».
По словам Хайретдинова, при правильном внедрении DLP-системы сотрудник может сам сообщить, что его действия были неправильно классифицированы, по аналогии с кнопкой «Не спам» в почтовом фильтре. «Такие сообщения позволяют дообучать механизм классификации DLP-системы и не допускать повторных ложных срабатываний в дальнейшем. Карательные меры при ложном срабатывании — это, безусловно, ошибка, и самым правильным будет их не допускать, а допустив, как-то компенсировать ложные обвинения. Конкретные способы извинения за ошибку выбирает сама компания», — рассуждает эксперт.
Конфликты с сотрудником из-за работы DLP также могут решаться локальными нормативными актами, говорит собеседник среди разработчиков таких систем. «Урегулирование конфликтов с сотрудником скоро перестанет быть проблемой, поскольку сохранение работы для воротничков любого цвета уже будет самой желанной компенсацией. Ведь если сотрудник уходит, его заменит Chat GPT, а за ошибками бота будет следить индустрия DLP. DLP и в этом случае окажется в выигрыше», — заключает Леонид Делицын.