Контроль рабочих станций без иллюзий о «доверии».
On-premise DLP-система для банков и госсектора Узбекистана. Скрытый агент Windows, реал-тайм SOC-консоль аналитика, защита от инсайдеров — без передачи данных за периметр.
Главный риск утечки — не хакер. Это сотрудник.
Файрвол и антивирус не увидят, как операционист пересылает выписки в Telegram, а уходящий разработчик копирует репозиторий на флешку. Это поле DLP.
Три компонента. Один контракт. Полная картина.
SOQCHI — это не одна программа, а связка из трёх компонентов, каждый из которых отвечает за свою часть работы.
Скрытый Windows-агент
Go-бинарь весом 4 МБ, регистрируется как сервис до входа пользователя. Без иконки в трее, без видимого окна, без процесса с очевидным именем. Подписан Authenticode, разворачивается через GPO/SCCM/MSI.
- Скриншоты · буфер · USB · печать
- Сеть · процессы · активное окно
- Защищён от удаления без админ-прав
On-premise сервер
Node.js + PostgreSQL + MinIO. Разворачивается в вашей инфраструктуре. Никакой телеметрии «домой» не уходит. Поддерживает air-gapped окружение без выхода в интернет.
- REST API + WebSocket
- JWT + TOTP + AD/LDAP/SSO
- Syslog · webhook · экспорт в SIEM
SOC-консоль аналитика
Electron-десктоп и веб-версия. Тёмный интерфейс «терминала» — оптимизирован для 8-часовой смены оператора. Live-стрим, ⌘K-палитра, ролевая модель, аудит-лог действий.
- Real-time stream с задержкой 2 сек
- Cross-search · палитра · хоткеи
- 10 страниц по доменам мониторинга
Что собирает агент за рабочую смену
9 каналов телеметрии, корреляция в SOC-консоли. Аналитик видит не шум, а цельную картину действий сотрудника.
Скрытый агент
Windows-служба без UI и иконки в трее. Запускается до входа пользователя.
Скриншоты раб. стола
JPEG-кадры каждые 60–120 секунд. Хранение в зашифрованном S3 или on-premise.
Контроль буфера обмена
Регекс-детекция PAN, ИНН, СВИФТ-кодов, паролей. Маскирование на лету.
USB и съёмные носители
Подписка на DeviceChangeEvent. Блокировка по политике (read-only / deny).
Сетевые соединения
Все TCP ESTABLISHED. Авто-флаг на файлообменники, VPN, Tor, mega.nz.
Процессы и приложения
Top-N по CPU/RAM. Преднастроенный список «угроз»: AnyDesk, TeamViewer, PuTTY.
Задания печати
Захват очереди печати. Имя документа, страницы, кто и на каком принтере печатал.
Активность в браузере
Активное окно, заголовок, URL. Топ доменов по сотруднику и подразделению.
Live-стрим в SOC
WebSocket в консоль аналитика. Задержка до 2 секунд от события до экрана.
Три отрасли — три разные «больницы» утечек
Мы спроектировали DLP с оглядкой на местные регуляторы и операционную специфику. Не импорт коробки, а продукт под ваши задачи.
Соответствие требованиям ЦБ и защита банковской тайны
- — Сотрудники операционного зала выгружают выписки клиентов в Telegram
- — IT-подрядчики копируют дампы БД на USB во время регламентных работ
- — Невыполнение требований ЦБ по контролю АРМ операционистов
- + Полный аудит-след действий: скриншоты, буфер, USB, печать, сеть
- + Готовые шаблоны политик под банковскую тайну и PCI-DSS-подобные требования
Защита персональных данных граждан и государственной тайны
- — Сотрудники МФЦ скачивают базы данных граждан на личные носители
- — Госслужащие пересылают служебные документы через личные мессенджеры
- — Невозможность контролировать удалённые рабочие места в регионах
- + Полностью on-premise развёртывание, без передачи данных в иностранные облака
- + Все журналы хранятся внутри периметра, ключи у заказчика
Защита коммерческой тайны и интеллектуальной собственности
- — Менеджеры по продажам копируют CRM перед увольнением
- — Разработчики выгружают исходный код на личный GitHub
- — Подрядчики получают доступ к чертежам и забирают их с собой
- + Внедрение за 1–2 недели вместо 6+ месяцев у западных вендоров
- + Цена в разы ниже Symantec / ForcePoint / Trellix
От подписи договора до первого инцидента — менее недели
Никаких «месячных интеграций», демо-сред и консалтинговых часов по настройке. Продукт спроектирован так, чтобы СБ увидела ценность в первую же смену.
Деплой через GPO
MSI/Inno-установщик с тихими параметрами. За одну ночь покрываем 500–2 000 АРМ через групповые политики или SCCM. Без участия пользователя.
Агенты «приходят» в SOC
Каждый агент рапортует backend каждые 60 секунд: hostname, IP, OS, hardware. Список парка собирается автоматически — никаких ручных списков.
Аналитик подключается
Запускает консоль на своей рабочей станции. Логинится через AD/SSO + TOTP. Видит live-стрим, инциденты, top-рисков. Готов к работе.
Первый инцидент
По нашему опыту — критическое срабатывание (USB, Tor, файлообменник, AnyDesk) случается в первые 48 часов на парке от 200 машин. Окупает пилот.
Где мы выигрываем у western и legacy
Symantec, ForcePoint, Trellix — серьёзные продукты. У них своя ниша. Но для банка или госоргана УЗ есть три нюанса: скорость, цена и юрисдикция данных. Мы закрываем именно их.
| ▸ критерий | ▸ soqchi наш продукт | ▸ western dlp Symantec · ForcePoint · Trellix | ▸ legacy dlp локальные конкуренты |
|---|---|---|---|
| On-premise / air-gapped | да | Частично, через cloud-mgmt | да |
| Развёртывание | 1–2 недели | 6+ месяцев | 3+ месяца |
| Скрытый агент Windows | да | да | частично |
| Real-time SOC-консоль | WebSocket, 2-сек задержка | Поллинг, 30-сек | Только отчёты |
| Локальная поддержка (RU/UZ) | да | нет | частично |
| Экспорт данных за рубеж | нет | Cloud-telemetry | нет |
| Compliance ЦБ РУз и ПДн | готовые шаблоны | нет под местные нормы | адаптация |
| Стоимость на 500 АРМ / год(условные единицы) | $ | $$$$$ | $$$ |
| Подпись бинарников | Authenticode | да | частично |
| REST + WS API | да | REST only | нет |
| Готовность к 2026 году | Active development | Legacy + ML | Maintenance |
▸ disclaimer · сравнение основано на публичной документации вендоров на Q1 2026. Не маркетинговая FUD — мы уважаем конкурентов, но считаем, что для местного рынка наш подход даёт лучший TTV.
Сама DLP — не должна стать каналом утечки
Это продукт для службы безопасности. Мы серьёзно отнеслись к вопросу «кто и как смотрит данные». Доверьтесь — но сначала проверьте нас аудитом.
On-premise / air-gapped
Никакой телеметрии за периметр. Полностью изолированная инсталляция возможна.
Подпись Authenticode
Бинарь агента подписан — SmartScreen и AV не блокируют установку.
Шаблоны под ЦБ РУз
Готовые отчёты под требования регулятора. Принимаются внутренним аудитом.
AD/SSO + TOTP
Никаких локальных паролей у аналитиков. Только корпоративная учётка + 2FA.
Защита от удаления агента
Без админ-прав не убрать. Любая попытка остановки фиксируется как critical-алерт.
Аудит-лог действий аналитика
Кто смотрел чей скриншот и когда — отдельный журнал для службы безопасности.
Прозрачно — pilot бесплатный, дальше по АРМ
Никаких «договоримся при встрече». Стартуете на пилоте без денег, переходите в продакшн — по понятному per-seat. Большим парком — скидка по объёму.
Pilot
Хотите попробовать на части парка перед закупкой
- До 50 рабочих станций
- Полная функциональность консоли
- Backend в вашем периметре
- Email-поддержка в рабочие часы
- Готовые шаблоны политик под банк/гос
Standard
Компании 100–2 000 АРМ. Защита коммерческой тайны и контроль персонала.
- Без лимита по числу АРМ
- Все коллекторы (скриншоты, USB, печать, сеть, буфер)
- Ролевая модель + интеграция с AD
- Webhook / Syslog / REST API
- SLA 4 часа на critical
- Обучение аналитиков (онлайн)
Enterprise
Банки Tier-1, госорганы, холдинги. Air-gapped, custom-интеграции, on-site работа.
- Air-gapped развёртывание
- Кастомные коннекторы к SIEM
- Подпись агента вашим CA
- On-site внедрение и обучение
- SLA 1 час, выделенный менеджер
- Custom-разработка по требованиям
Вопросы, которые задают на первой встрече
Если вашего вопроса нет — напишите менеджеру. Юридический, технический или коммерческий — ответим в течение рабочего дня.
Можно ли установить агент без ведома сотрудника?+
Технически — да: агент работает как Windows-служба без иконки в трее и без видимого процесса с очевидным именем. Юридически — ваша служба безопасности обязана уведомить сотрудников о факте мониторинга через политику безопасности и трудовой договор. Мы предоставляем шаблоны таких уведомлений под законодательство Узбекистана.
Где хранятся данные — у вас или у нас?+
Только у вас. Это on-premise система: backend, БД, хранилище скриншотов разворачиваются на ваших серверах или в вашем приватном облаке. Никакой телеметрии «домой» не уходит. Возможна полностью air-gapped инсталляция без доступа в интернет.
Сколько времени занимает развёртывание?+
Пилот на 30–50 рабочих станций — 1–2 рабочих дня (включая обучение аналитика). Production-развёртывание на 500–2 000 АРМ через GPO/SCCM — обычно 2 недели от старта до полного покрытия.
Замедляет ли агент работу пользователя?+
Нет. Потребление: < 40 МБ RAM, < 1% CPU в среднем. Скриншот делается раз в 1–2 минуты в фоне, не блокируя UI. На слабых машинах (i3, 4 ГБ RAM) пользователь не замечает работу агента в течение полного рабочего дня.
Что с законодательством? Можно ли это юридически?+
Да, при соблюдении ТК РУз и Закона «О персональных данных». Работодатель имеет право контролировать действия сотрудников на корпоративной технике в рабочее время, при условии письменного уведомления. Мы предоставим юридический пакет: политика мониторинга, NDA, согласие сотрудника, регламент доступа аналитиков к данным.
Как сравниваетесь с Symantec / ForcePoint / Trellix?+
Зарубежные DLP сильнее по edge-функциям (ML-классификация контента, OCR в скриншотах), но: цена в 5–10× выше, лицензирование непрозрачно, локальной поддержки нет, экспорт данных за рубеж создаёт compliance-риск. Наша система покрывает 90% реальных задач банка/госа в УЗ за разумные деньги.
Можно ли интегрировать с нашим SIEM?+
Да. Поддерживается экспорт событий в Splunk, ELK, ArcSight, QRadar через syslog/CEF, webhook и REST API. Можем реализовать кастомный коннектор под ваш SIEM в рамках пилота.
Что если сотрудник попробует удалить агент?+
Без прав администратора — никак: служба защищена ACL, ключи реестра под TrustedInstaller. С админ-правами агент удалить можно (как и любую службу Windows), но факт остановки/удаления немедленно фиксируется в SOC-консоли как алерт критического уровня.
Работает ли на Windows 7 / 10 / 11 / Server?+
Поддерживаются: Windows 10 (1809+), Windows 11, Windows Server 2016/2019/2022. Windows 7 — по запросу, с урезанной функциональностью. Поддержки macOS и Linux пока нет (на roadmap).
А если сотрудник работает удалённо через VPN?+
Агент обращается к backend по доменному имени, поэтому работает одинаково и в офисе, и на удалёнке, и в командировке. При отсутствии связи события буферизуются локально и досылаются при восстановлении соединения.
Запросите демо. Покажем работающую систему за 25 минут.
Никаких слайдов: сразу подключаемся к демо-стенду, ставим агент на тестовый ноутбук и показываем, как событие за 2 секунды приходит в консоль. Дальше — ваш пилот на 30 АРМ.
- 25 минут
- формат демо · по Zoom/Teams/Webex
- 30 АРМ
- размер бесплатного пилота
- On-premise
- установка в вашем периметре
- NDA
- подпишем до начала разговора
Расскажите о вашей задаче
Менеджер свяжется в течение одного рабочего дня. Никакого спама.