Иннополис 1 июня 2022

«Третья сторона»: «Утечка Яндекс.Еды показала, что даже трепетное отношение к данным — не панацея»

Далее

Почти все современные сервисы и приложения обещают защитить личные данные пользователя. Но каждую неделю появляются сообщения об утечках — иногда настолько больших, что адреса и телефоны миллионов россиян собирают в единую карту. «Хайтек» поговорил о проблемах сохранности данных с Антоном Бочкаревым и Артемом Наливайко, создателями «Третьей стороны» — платформы, которая подбирает бизнесу специалистов по информационной безопасности.

«Рынок информационной безопасности неэффективный и консервативный»

— Почему вы остановились именно на стартапе, который занимается подбором исполнителей в сфере информационной безопасности? Как от работы в свиноферме перешли к ИБ?

Антон: Я работал на одного из крупнейших производителей свинины в России. Был аутсорсным экспертом по информационной безопасности (ИБ) по анализу защищенности внутренней сети компании. Имитировал действия потенциального злоумышленника по захвату сети компании и ключевых бизнес-систем. Свиноферма, а точнее, все вместе — ферма, завод и офисы компании — один из моих самых ярких проектов. Вы даже не представляете, насколько там все автоматизировано и насколько на это может повлиять потенциальный хакер, что мне и удалось. В мои задачи по этому проекту входило подсветить ключевые проблемы и предложить рекомендации по исправлению. К сожалению, подробности раскрыть не могу — NDA.

Антон Бочкарев

В ИБ я ушел сразу после школы. Хоть и попробовал множество активностей в ИТ, но далеко от информационной безопасности никогда не уходил, я энтузиаст. Для меня стартап — дело моей жизни, шанс на порядок улучшить рынок. Работая в этой сфере со старших курсов, я все больше понимал, что рынок неэффективный и консервативный. Он максимально не гибок, об эффективности бизнес-процессов речи и не идет. Рынок сопротивляется изменениям в бизнес-процессах, в первую очередь это связано с профессиональной деформацией руководителей, которые стараются избегать любых изменений, рассматривая их как дополнительный риск.

Чем больше я работал в индустриальных компаниях, тем лучше были видны проблемы. Я был в совершенно в разных ролях с разных сторон рынка и считаю, что смогу сделать его лучше. Ключевой момент — мы видим будущее рынка услуг в ИБ в сервисной модели. Это как рынок такси, который агрегаторы сделали более совершенным.

— К Артему такой же вопрос: почему из финансовой сферы вы перешли в кибербезопасность? Какая ваша роль в проекте?

Артем: Когда работаешь на большую компанию — не видишь результаты своего труда. Часто работаешь в команде, тебя страхуют, ты страхуешь. Здесь другая история — если чего-то не сделаешь, этого не будет. Появляется гораздо больше возможностей для самореализации. Я всегда хотел попробовать себя в стартапе, тем более в индустрии, которая казалась мне интересной.

Артем Наливайко

Мы маленькая компания, у нас нет жесткого разделения ролей. Я больше занимаюсь созданием конечного продукта, презентациями, переговорами. Отдельное спасибо сообществу Российской экономической школы — они помогли мне поверить в себя. Когда в любой момент можешь задать вопрос людям, которые строили бизнес в куче разных стран, — это не только очень полезно, но и мотивирует! Так мы не наступили на грабли наших предшественников, нас убедили, что начинать можно без инвестора. Самое главное — я убедился, что идея рабочая и востребованная.

— Как человек обучается кибербезопасности? Это путь хакера наоборот?

Антон: Обучение кибербезопасности кардинально отличается от обучения на программиста, совершенно другой образ мышления. В вузах есть специальности, они дают базу, вектор профессионального движения, этого достаточно. Но работа в этой сфере — удел энтузиастов, специалисты здесь рождаются из практики и самообучения. Программированию, конечно, нас тоже учат, но совсем не так, как программистов.

У нас свои хакерские конференции и комьюнити. Кибербезопасность — это не часть айти, а лишь область с большим пересечением с айти. Отдельные любопытные энтузиасты попадают в безопасность и из айти, через большой пласт самостоятельно полученных знаний и добытой легальной практики на смежных работах или хакерских соревнованиях. Профильное высшее образование не обязательно, но желательно.

«Проблемы информационной безопасности не решаются годами»

— В какой момент вы поняли, что нужна платформа, которая подбирает исполнителей по информационной безопасности?

Антон: Я вижу много проблем на рынке услуг ИБ, они не решаются годами. Главная — цепочки посредников, ситуация, когда 10 тыс. человек продают услуги тысячи исполнителей.

ИБ — это критичная сфера с высокой ценой ошибки. Можно прийти к специалисту напрямую, но как обеспечить должный уровень гарантий? ИБ — это не массовая услуга, ее нельзя строить на положительных отзывах. Поэтому мы стали не просто площадкой для поиска, а полноценным посредником, переводчиком с языка бизнеса на язык технологий. Мы помогаем писать техническое задание, составлять договора в интересах всех сторон, проверяем легальность, квалификацию исполнителя и проводим независимую экспертизу результатов работ. Нельзя просто собрать заказчиков и исполнителей в одном месте, нужен активный посредник, который сможет управлять процессом. Вся моя карьера — история о том, что такой сервис нужен.

«ИБ — это критичная сфера с высокой ценой ошибки»

— Почему заказчики не взаимодействуют со специалистами напрямую?

Антон: Во взаимодействии напрямую есть много рисков для обеих сторон, поэтому посредники пользуются этим. Рынок складывался достаточно хаотично, поэтому так и случилось, цель нашего стартапа — сломать эту устаревшую схему.

Артем: Цель нашего бизнеса — поменять эту ситуацию. Огромная прослойка подрядчиков и продажников делают рынок менее эффективным и повышает цены. Как следствие — бизнес становится более уязвимым.

— Каким образом вы проверяете, что исполнитель будет добросовестным и профессиональным? Какие у вас есть способы это проверить?

Антон: Не вдаваясь в подробности — сообщество ИБ не такое большое, и в большинстве случаев мы можем найти, к примеру, бывших коллег исполнителя. Если по нему был какой-то негатив, то мы об этом узнаем. Опыт работы на рынке достаточно показателен.

— Можете привести пример типичного заказа, с какими просьбами к вам обращаются компании? Какие решения вы им предлагаете? Могут ли у них быть какие-то специфичные запросы по поводу тех исполнителей, которые им нужны?

Антон: Заказы очень индивидуальны. Некоторые запросы стали для нас неожиданностью. Типичными можно назвать проверки безопасности веб-сайтов, приложений, пентест, настройка средств защиты, социальная инженерия — это очень популярные услуги на рынке. Но дьявол кроется в деталях — у многих заказов есть специфика, которую надо учитывать при работе с клиентом и при расчете трудозатрат. Бывают уникальные запросы, как правило, это связано с особенностями бизнеса клиента. Например, на высококонкурентных рынках основной угрозой считается промышленный шпионаж, поэтому риски конфиденциальности — наиболее актуальны. Логистические и производственные компании же в первую очередь следят за непрерывностью бизнеса, поэтому для них наиболее актуальны риски доступности.

— На какие компании вы хотите быть ориентированы? Сталкиваются ли сегодня малые предприятия с теми же рисками, что и крупные компании?

Артем: В первую очередь — на предприятия малого и среднего бизнеса, одна из наших задач — сделать услуги ИБ доступными для них. У компаний из разных отраслей есть своя специфика, сейчас мы работаем над тем, чтобы сделать наши «коробочные» предложения уникальными для конкретной индустрии.

Эти услуги стоят дорого, если обратиться в крупные ИБ-фирмы или системный интегратор. Среднюю стоимость назвать сложно, так как это целый пласт услуг, оцениваемых по трудозатратам конкретных исполнителей. Сейчас для большинства компаний риски ИБ становятся очевидны и они уже готовы на это тратиться, но если стоимость услуг будет подъемной для их бизнеса. Иначе им проще принять эти риски.

Угрозы на рынке приблизительно одинаковы для всех, но как правило у крупных компаний уже есть опыт в области ИБ и понимание того, что им нужно. К тому же для злоумышленников крупные компании представляют более интересную мишень. У малых предприятий такое понимание зачастую надо формировать — к сожалению, нередко оно приходит уже после того, как риски реализовываются.

— С каким видом информационных угроз на практике приходится сталкиваться сегодня чаще всего? С какими угрозами сложнее всего бороться?

Антон: Потеря критичных данных. Нужно разделять внутренние и внешние угрозы, они требуют разные меры предотвращения. Если надо выделить что-то конкретное, я бы говорил об угрозе потери клиентских данных. Зачастую даже потеря почтового архива может нанести бизнесу огромный ущерб. Бороться сложнее всего с человеческим фактором — одно открытое фишинговое письмо может создать массу проблем. При правильной настройке прав доступа внутри компании ущерб можно минимизировать. Но человек — всегда самая уязвимая часть системы.

— Не кажется ли вам, что из-за популярности кибербезопасности это стало популизмом — каждое приложение пишет о том, что они заботятся о безопасности своих пользователей (хотя не факт, что с этим все хорошо). Не кажется ли вам, что из-за этого пользователи стали менее критически мыслящими и меньше думают о своей безопасности?

Антон: Ура, безопасность стала популярной, наконец-то! Надеюсь, эта мода поможет выбить большие бюджеты и привлечь в сферу больше толковых специалистов.

Недавняя утечка Яндекс.Еды показала, что даже самое трепетное отношение к безопасности — не панацея. Не думаю, что они меньше стали думать о безопасности, до популяризации все было еще хуже.

«До изобретения универсального квантового компьютера довольно далеко»

— Являются ли квантовые технологии реальной угрозой для компаний сейчас?

Антон: Не являются и не будут еще длительное время. До изобретения универсального квантового компьютера довольно далеко. Но уже сейчас проходит выбор постквантовых алгоритмов, которые будут внедрять в стандартные средства шифрования и будут поддерживаться большинством современного ПО. Поэтому, к счастью, в этой области щит появится гораздо быстрее меча. Ожидаем анонса постквантовых алгоритмов шифрования в ближайшие 2-3 года, а создание универсального квантового компьютера — не ранее 2030 года.

С другой стороны, квантовые технологии давно перестали быть просто хайпом, так что это, без сомнения, наше будущее. Вопрос только в том, когда оно наступит.

— А в каких областях меч может появиться быстрее щита?

Антон: Уязвимости «нулевого дня» появляются регулярно — это тот случай, когда меч появляется быстрее. Но и их влияние смягчить дополнительным компенсирующими универсальными мерами. В перспективе 5-10 лет усиленное финансирование прогосударственных групп хакеров может создать дополнительные угрозы и на коммерческом рынке.

«До изобретения универсального квантового компьютера довольно далеко»

— Каким вы видите свой идеальный продукт? Это сайт вроде «Профи», где обычные клиенты будут искать себе исполнителей в сфере информационной безопасности? Уверены ли вы, что это настолько популярная услуга и ваш сайт будет популярен?

Артем: Это совсем не «Профи», ведь основное у нас — это не телефон и резюме исполнителя. Проверка исполнителей — один из важнейших сервисов платформы, ведь на том же «Профи» вся проверка заключается  в том, что сверяется ФИО и фото с паспортными. Разве это проверка?

Наш идеальный продукт — это простая и понятная клиенту «коробка», которая учитывает все его потребности, не заставляет погружаться в технические нюансы слишком глубоко. При этом «коробка» сбалансированная, она уже учитывает особенности его бизнеса, специфику индустрии, существующие угрозы и может быть доработана под конкретный запрос.

Для нас важно не только сделать хороший продукт, а максимально эффективно выстроить его сопровождение от помощи в составлении ТЗ, договоров, первичных коммуникаций с исполнителем и до создания итогового отчета. В перспективе мы хотим научиться генерировать их автоматически.

В целом услуги по безопасности — это целый пласт услуг, с учетом естественного роста рынка ИБ и роста спровоцированного международной обстановкой, мы уверены, что заказов на платформе будет более чем достаточно.

— Что в вашей работе интересует вас сейчас больше всего? Что вы хотите изменить в этой сфере? Как на это должна повлиять «Третья Сторона»?

Артем: Мы хотим сделать рынок услуг ИБ максимально эффективным, прозрачным и безопасным. Это достаточно чувствительная сфера, многие процессы в котором строятся на доверии. Я бы назвал это так: «лучшие рыночные практики, понятные бизнесу».

Мы прекрасно понимаем, что всегда будем посередине — между бизнесом и экспертами в ИБ. И нам очень важно сделать так, чтобы обе стороны понимали друг друга и были довольны.

— Как внешние обстоятельства влияют на то, что происходит в сфере информационной безопасности? Что поменяли пандемия и события после 24 февраля? К примеру, как обезопасить сотрудников, которые работают удаленно? Как защититься от атак или киберугроз от самых крутых хакеров в мире?

Антон: Новых угроз не появилось, просто они очень серьезно выросли, как выросла и цена ошибки. DDOS — это история про оборудование, и в основном на стороне провайдера или про внешний сервис. В идеале стоит сделать взлом нерентабельным или максимально маловероятным. Но любая система будет уязвима, — всегда.

Обезопасить удаленных сотрудников надо так же, как и остальных. На этапе приема на работу отличий нет, а вот к настройке рабочих мест подход иной. Современные средства контроля доступа позволяют снизить риски удаленки до уровня обычных офисных работников, если конечно поручить настройку контроля доступов профессионалам.

— Какие проблемы, заблуждения и мифы в области корпоративной безопасности существуют сегодня? Какие из них самые опасные для обычных пользователей и ваших клиентов?

Антон: «Нам нечего защищать» — такие комментарии до сих пор встречаются, тут без комментариев. «У нас все хорошо, ведь еще нас не взломали!» — не всегда взлом заметен сразу, об этом компания может не знать длительное время, в зависимости от целей злоумышленников.

Иногда клиенты говорят: «Мы никому не интересны», но чаще всего злоумышленники пытаются взламывать все подряд и монетизировать все, до чего могут дотянуться. Поэтому никто целенаправленно вас не будет искать, просто зацепит по касательной.

«Сейчас бизнес ощутил множество рисков, которые раньше всерьез не рассматривал»

— Как вы попали в Иннополис? Для чего это вам было нужно и как помогает в развитии?

Антон: В Иннополис мы пришли сознательно. Нам хотелось воспользоваться благами особой экономической зоны, их в России уже достаточно. Выбрали именно Иннополис просто потому, что там меньше потенциальных конкурентов, чем в том же Сколково, и приятная атмосфера ИТ-города. Я родился и вырос в Казани, бывал в Иннополисе с выступлениями, тут учились мои друзья, это тоже повлияло.

Иннополис нам помогает в первую очередь в пиаре. Помогают связи с другими стартапами-резидентами, например, два шикарных рекламных ролика нам нарисовали ребята резиденты!

Артем: Обычно в ОЭЗ идут за инвесторами, сотрудниками или связями. И всегда — за возможностью платить меньше налогов, это отличная сделка как для государства, так и для компании. Из перечисленного выше больше всего нам интересны связи, сообщество — сотрудников в штате у нас нет, а инвестора на первоначальном этапе мы решили не привлекать. Сейчас компания строится на наши средства. Через какое-то время будем искать инвестора, но мы хотели бы это сделать на существенно более позднем этапе.

— Как долго вы сможете вкладываться в проект? Сколько еще лет вложений нужно, чтобы он начал окупаться, на каком этапе вы начнете поиск инвесторов?

Артем: Дело не в деньгах, а в том, как их применить. Мы могли добиться всего того же, что мы сделали сейчас, потратив в десять раз больше, и просто заткнув проблемы деньгами. Вместо этого у нас было очень много бесплатной или относительно дешевой рекламы. Это не партизанский маркетинг, но нечто идейно близкое.

Проект не требует серьезных вложений. Нам не нужны десятки или сотни миллионов рублей. Инфобез — про доверие, а если его и можно попытаться купить — это очень дорого и без гарантий результата. Мы как-то сидели с Антоном и думали, на что нам могут понадобиться деньги инвестора. Поняли, что такие вещи есть, но ключевыми для достижения результата они не являются.

— Как вы планируете адаптироваться к тому, что сейчас происходит — санкции, изоляция? Как вы относитесь к тем мерам поддержки, которые уже одобрило правительство?

Артем: Мы пытаемся максимально воспользоваться этой ситуацией, ведь тема безопасности стала более актуальной. Бизнес ощутил множество рисков, которые раньше всерьез не рассматривал. Утечки и взломы крупных компаний усилили их паранойю и желание работать над своей безопасностью. Рынок растет еще быстрее, чем раньше.

Санкции и изоляция усложнили ситуацию с некоторым профильным ПО, закрыли доступ к иностранным заказчикам и рекламным площадкам. Но меры поддержки начинают постепенно исполняться, они нам кажутся довольно полезными. Мы уже попали в реестр аккредитованных IT-компаний и воспользуемся некоторыми предложениями.

— Какие у вас цели на ближайшие несколько лет?

Артем: Наша главная цель сейчас — запустить стабильные продажи. При этом заниматься лучшим сервисом — наиболее эффективным, предлагающим более качественные услуги по лучшим, в сравнении с другими странами, ценам. Он должен быть понятным и прозрачным — мы же не только про продажи, а консультируем, рассказываем и стараемся помочь людям выработать базовые компетенции в ИБ.

Антон: Мы считаем, что вывод нашей платформы на рынок позволит сделать услуги ИБ доступными любому клиенту. Для нас это способ изменить рынок информационной безопасности в России, сделать его более прозрачным, понятным, доступным и честным.


Читать далее:

Оспа обезьян становится глобальным вирусом: почему она передается так быстро

Во Вселенной происходит что-то странное: как объяснить нестыковки в постоянной Хаббла

Диагноз за минуту: как ИТ меняет здравоохранение