CRN Podczas swojego wystąpienia na Forcepoint Forum dużo czasu poświęcił Pan zachowaniu użytkowników sieci, pomijając kwestie związane z infrastrukturą. Ludzie są ważniejsi od technologii?

Matthew Moynahan Cyberataki są bardzo wyrafinowane. To niezwykle ciekawe zjawisko z socjologicznego punktu widzenia. Hakerzy uderzają w ludzi i każdy z nas może w dowolnym momencie stać się ich ofiarą. Uważam, że za bardzo koncentrujemy się na technologii. Wszystkie wcześniej opracowywane produkty miały na celu powstrzymywanie cyberprzestępców. Ale nikt na poważnie nie przywiązywał wagi do różnych ludzkich sposobów działania. To zdecydowanie bardziej interesujące niż koncentrowanie się na infrastrukturze.
 
Wielu menedżerów z USA postrzega Europę Wschodnią jako obszar, gdzie największym popytem cieszą się proste, sprawdzone systemy. Tymczasem Forcepoint proponuje nowe podejście do ochrony danych. W jaki sposób docieracie do polskich klientów?

Pod pojęciem cyberbezpieczeństwa to samo rozumie się w Stanach Zjednoczonych, Niemczech czy w Polsce. Funkcjonuje u was wiele dużych banków, przedsiębiorstw oraz różnych instytucji, które mają do czynienia z danymi krytycznymi. Pracownicy IT z Europy Środkowej są bardzo dobrze wyedukowani i doskonale rozumieją nasze produkty. W niektórych przypadkach przewyższają umiejętnościami specjalistów z USA. Poza tym portfolio Forcepointa jest bardzo szerokie, są też w nim prostsze rozwiązania. Co nie zmienia faktu, że staramy się, aby były bardziej inteligentne i wykonywały zaawansowane zadania.

Jak to wygląda w praktyce?

Dobrym przykładem są produkty web gateway, które mają blokować dostęp do stron z hazardem, przemocą itp. Ale jest to tradycyjne podejście. Lepiej jednak podjąć próbę zrozumienia zachowania użytkowników, którzy odwiedzają tego typu serwisy. Któryś z organów państwowych może zapowiedzieć, że skoro walczymy z terroryzmem, to zablokujmy wszystkie strony związane  z tą tematyką. Takie działanie ma pewien sens. Jeśli ktoś odwiedza witryny z prochem strzelniczym, niekoniecznie oznacza to, że ma niecne zamiary. Może to być chociażby student przygotowujący raport o historii Chin. Natomiast gdy ta sama osoba wkrótce potem odwiedzi serwis poświęcony konstruowaniu bomb, to powinien być poważny sygnał ostrzegawczy. Takie podejście do ochrony danych jest nowe i zasadniczo różni się od „starej szkoły”. Analityka, sztuczna inteligencja i uczenie maszynowe sprawiają, że produkty stają się bardziej wyrafinowane, a dostarczane przez nie wyniki są imponujące. Jednak nie trzeba posiadać zaawansowanych umiejętności technicznych, aby wdrażać nowe systemy. Nasi klienci rozumieją działanie kanałów internetowych czy obsługę e-maili. I to się nie zmienia, aczkolwiek zapewniamy im dużo większą wartość, chociażby w postaci dodatkowych funkcji, wobec dostępnych w przeszłości.

Do analiz potrzebujecie dużych ilości danych. W jaki sposób je pozyskujecie?

Informacje pochodzą z wielu źródeł. Jednak nasze podejście różni się od tego, co proponuje na przykład Splunk, który gromadzi wszystkie dane z data center, a następnie zajmuje się ich analizą. Forcepoint koncentruje się na konkretnych informacjach. Mówimy: dostarczcie nam dane dotyczące Kowalskiego, i na ich podstawie tworzymy dokładny profil tej osoby. W rezultacie, kiedy ktoś ukradnie jej tożsamość, potrafimy dostrzec anomalie, ponieważ haker nie zachowuje się tak jak Kowalski. To tak, jak gdybyś miał profil na Amazonie, z którego jasno wynika, że nie lubisz horrorów. Ale któregoś dnia zamawiasz pięć filmów o tej tematyce. W tym momencie zapala się czerwona lampka. Dlatego staramy się uzyskać maksymalną wiedzę z wyselekcjonowanych zbiorów danych. Zbyt wielka ilość informacji sprawia, że powstaje galimatias. Jak widać, nasz sposób myślenia różni się od podejścia większości analityków.

A co z prywatnością użytkowników?

Traktujemy ją bardzo poważnie. Niektóre amerykańskie firmy, takie jak Facebook czy Google, przekroczyły pewną granicę, choć prawdopodobnie nie naruszyły prawa. Niemniej wymienione koncerny mają kłopoty, ponieważ zerwały ze swoimi klientami umowę społeczną. Forcepoint absolutnie nie zamierza podążać tą drogą. Dla nas prywatność użytkowników jest kluczowa. Zaczynamy od anonimizacji danych, a każdy pracownik w naszym systemie funkcjonuje jako konkretna liczba. Nie wiemy, kim dokładnie jest, aczkolwiek znamy jego zachowania i realizowane przez niego zadania. Dopóki nie przekroczy pewnej linii, cały czas pozostaje postacią anonimową. Jednak kiedy działa niezgodnie z prawem, zostaje zatrzymany.

Analizujecie zachowania użytkowników z różnych części globu. W jakim stopniu one się różnią? Jakie ma to znaczenie przy tworzeniu ich profili?

Oczywiście pewne różnice występują. W Hiszpanii bądź we Włoszech ludzie poświęcają dużo czasu na lunch. Uwzględniając to w naszych analizach, zapewniamy użytkownikom wyższy poziom ochrony. Jeśli ktoś w czasie lunchu korzysta z kont pracowników, system bezpieczeństwa wysyła sygnał do administratora sieci. Są też osoby, które mają w zwyczaju późne przychodzenie do pracy. Wprawdzie hakerzy mogą przejąć tożsamość takiego pracownika, ale będą się łączyć z siecią za pośrednictwem jego biurowego komputera w godzinach porannych. Cyberprzestępcy wiedzą, jak oszukać ludzi, ale nie znają ich indywidualnych zachowań. Dlatego zrozumienie profili ludzkich jest tak bardzo istotne. Forcepoint czerpie wzorce z popularnych technologii konsumenckich i przenosi je na rynek zabezpieczeń dla przedsiębiorstw.