16+
Среда, 8 декабря 2021
  • BRENT $ 75.18 / ₽ 5542
  • RTS1659.68
2 ноября 2021, 17:06 Компании
Спецпроект: С теми, кто в теме

Positive Technologies: противостояние хакеров и защитников и слухи о выходе на биржу

Сообщество международных хакеров действует глобально. Поэтому и решения, которые могли бы быть эффективны в области кибербезопасности, должны быть глобальными

Максим Пустовой. Операционный директор компании Positive Technologies
Максим Пустовой. Операционный директор компании Positive Technologies Фото: пресс-служба

О выходе на биржу, новом Standoff, российских системах безопасности, противостоянии хакеров и новых технологиях в работе компаний рассказал операционный директор одной из крупнейших в России компаний по созданию систем кибербезопасности Positive Technologies Максим Пустовой.

Вы являетесь частью растущего и очень важного сегмента рынка. Сейчас многие, по крайней мере, из других отраслей выходят на биржу, считается, очень хорошее время. У вас — двадцатилетняя компания с крупной историей, и как-то весной, ходили слухи, что вы о таких планах тоже заявляли. Ситуация изменилась?
Максим Пустовой: Действительно, слухи ходили и весной, и летом. Я бы ответил так: эти планы — все еще планы, но они — все более материальны. Мы не отказываемся от этой цели. Изначально озвучивался следующий год, но я думаю, что есть вероятность, что мы сделаем это в 2021 году.
Идеологически в нашем IT секторе все компании — буквально, семейные и частные. Вот таких акционерных, открытых пока не было. Это какая-то особенность? Почему наш IT-сектор до сих пор не на бирже?
Максим Пустовой:Я думаю, есть две причины. Первая — не так много у нас известных крупных IT-компаний, которые дошли до стадии зрелости, когда публичный статус и возможность торговаться на бирже возможны и востребованы. Многие российские IT-компании росли в рынке, который не всегда был понятен. И приходилось в нашей неопределенной ситуации лавировать, создавать какие-то структуры, порой не совсем комплементарные тому, что обычно называется открытой, прозрачной и чистой, в этом смысле, компании. Нужно предпринимать много усилий для того, чтобы подходить под критерии публичной компании: это предполагает так называемое раскрытие информации о финансовой деятельности, о контрагентах, о финансовых потоках. Такую компанию должны проаудировать компании из большой четверки. И, прямо скажем, не многие российские IT-компании к этому готовы. А вторая причина, — это некий элемент недоразвитости такого финансового рынка в стране.
Сейчас многие размещаются где-то за границей. У вас наверняка есть с этим сложность, ведь вы плотно связаны с Россией и даже, странным образом, попали в санкционный список. О чем, правда, сейчас никто давно не вспоминает. Вероятно, вы будете размещаться в Москве?
Максим Пустовой: Нельзя не упомянуть этот момент. Действительно, весной одна из компаний нашей группы попала под американские санкции. Но это не та компания, которая планируется к размещению на бирже. И в этом смысле здесь санкционного контекста нет. Но между российской биржей, иностранной биржей и параллельным листингом на двух биржах мы выбираем размещение на российской бирже. И этому есть понятные финансовые причины. Более 95% нашего бизнеса связано сугубо с Россией, даже не с СНГ. Конечно, у нас есть амбиции на международную экспансию, но сейчас наш домашний рынок — это Россия, поэтому размещение на российской бирже выглядит наиболее разумным.
Вы сказали, что одно из двух главных препятствий для российских IT-компаний по выходу на рынок — это сложность в предоставлении публичной отчетности. Почему это происходит?
Максим Пустовой: Я бы сказал, что это, наверное, наследие из девяностых. Потому что предпринимательская деятельность и частный бизнес складывались, прямо скажем, в такой непрозрачной, непонятной среде. Приходилосьподстраиваться, создавать структуры, которые обслуживали потребности, может быть, заказчиков, может быть, контрагентов. В результате, если посмотреть сейчас на большое количество российских компаний, то чаще всего это холдинги, где масса активов, связанных между собой странными отношениями. Структуризация и консолидация — это большое усилие, которое нужно предпринять, чтобы создать прозрачную и понятную структуру.
Поговорим о выходе на международный рынок. Мы — внутри страны — видим возможности наших IT-компаний. Нас повсюду окружают самые разные российские программные продукты. Какие у вас мысли об этом?
Максим Пустовой: Российские инженеры, в частности, в области кибербезопасности, российские эксперты в области кибербезопасности, российские «белые» хакеры, у которых есть экспертиза, но они используют ее в мирных целях — лучшие в мире. Это данность. С этим, наверное, никто не спорит. И нужно использовать этот актив и этот потенциал для того, чтобы эти решения в области кибербезопасности вышли на международный рынок. Дело в том, что кибербезопасность абсолютно интернациональна. Хакерам все равно на политические и географические границы. Они используют одни и те же технологии и способы решить свои задачи: украсть данные, скомпрометировать, вывести активы. Сообщество международных хакеров действует глобально. Поэтому и решения, которые могли бы быть эффективны в области кибербезопасности, должны быть глобальными. И если эти решения есть, например, у Positive Technologies или у других российских компаний, то их повсеместное использование — в интересах всего мира.
Какая главная цель у идеи выйти на биржу и стать первой крупной российской публичной IT-компанией?
Максим Пустовой: Здесь есть, наверное, несколько одинаково важных для нас пунктов. Выйти на биржу и стать публичной компанией — это некий знак качества: это прозрачность, это свидетельство устойчивости бизнеса, это элемент надежности, это ваше реноме. И это важно с точки зрения работы с клиентами как в России, так и за рубежом. Другая важная составляющая цели — возможность получить инструмент, позволяющий вознаграждать сотрудников акциями компании.
Один из мотивов — борьба за кадры?
Максим Пустовой: Да, это элемент соучастия. С одной стороны, борьба за кадры, потому что, не называя имен, есть известные российские компании, публичные уже, которые действительно вознаграждают сотрудников акциями.
Насколько известно, борьба за кадры в российском IT-секторе достигает необыкновенного накала?
Максим Пустовой: Это правда, но, помимо инструментов вознаграждения акциями, есть и другая философия. Если ты совладелец компании, в которой работаешь, ты иначе относишься к своему труду и к тому, что происходит с компанией. Однако вознаграждать можно не только сотрудников, но и тех, которые в ней не работают, но вносят некий вклад в развитие. И мы, думая о публичности, параллельно начали экспериментировать с тем, как можно привлечь людей извне. Например, они могут работать в любой другой IT-компании, но иметь определенные экспертизы и знания в той области, в которой мы работаем, привнести что-то, допустим, в наш продукт. Мы это начнем использовать — и вознаградим человека акциями компании. Идея соучастия не ограничивается периметром сотрудников, она, в общем, не ограничивается ничем. Любой человек в мире, который может добавить какое-то знание в наш продукт,может быть вознагражден акцией.
То есть, главная цель — не привлечение денег, а построение другой философии компании и выход на другой уровень бизнеса?
Максим Пустовой: Мы не нуждаемся в привлечении дополнительных средств. Мы знаем, что есть убыточные IT-компании, многие из них известны, они быстро растут. И, в связи с этим, складывается ощущение какого-то подвоха, риска для инвесторов. Но мы — при том, что очень быстро растем, — прибыльная компания. Поэтому сейчас размещение на бирже и выведение в публичную плоскость не является способом привлечения средств. В будущем отрасль может консолидироваться. Мы можем задуматься о том, что нужно расти неорганически, может быть, кого-то мы захотПока это не миллионы долларов,но) финансовое вознаграждение — это не самое главное в этом вопросе. Сейчас играют две команды: одни — атакуют, другие — защищают. И те и другие — это люди, которым важно продемонстрировать свой профессионализм в этом комьюнити. Важно узнать что-то новое, приобрести какие-то знания. В таком мероприятии участвовать престижно.им купить. В будущем хорошо было бы иметь возможность привлекать капитал. Мы, кстати, в прошлом году выпустили облигации. И они торгуются на Московской бирже, это был первый такой пробный шаг. И очень успешный.
Чуть ранее вы упоминали о «белых» хакерах. Но вообще, особенность компании Positive Technologies в том, что она приглашает всех, кто способен что-то взломать, — побороться на ринге. Проводятся большие мероприятия, и одно из них — Standoff — пройдет совсем скоро. Можно ли участвовать анонимно? Расскажите о предстоящем чуть подробнее?
Максим Пустовой: Правильнее, наверное, не «белые» или «черные» хакеры, на самом деле. Правильнее сказать — белые шапочки, либо черные. Это происходит от термина white hats и black hats. Идея в том, что компания, которая ведет свою деятельность и может быть объектом кибератаки, не понимает, как же проверить себя на предмет устойчивости к этим атакам. Да, в компаниях, особенно в крупных, всегда есть подразделения, связанные с защитой от киберугроз. Но каким образом проверить, что они делают свою работу хорошо? Можно заказать какое-нибудь исследование. Придут люди, проанализируют, как устроена изнутри система защиты, но это — не реальные полевые испытания. Поэтому идея на поверхности: пригласить кого-то попробовать вас «поломать» и продемонстрировать успешность или неуспешность вот такого взлома. При этом заведомо известно, что взломщики не нанесут вред компании.
Их и называют «белыми» хакерами. А вот «черные» хакеры — black hats — это те, кто проникает в систему в своих интересах. Вот это противостояние — это, собственно, некая платформа, которую мы разработали, которая имитирует реальный мир достаточно. Представьте себе город, в котором есть разные объекты инфраструктуры: банки, системы генерации, промышленные производства, парки развлечений, которые живут своей жизнью, очень повторяющие реальный мир и то, как все эти объекты инфраструктуры, с точки зрения IT, работают и взаимодействуют между собой. И что мы предлагаем. Компания возьмет свою IT-инфраструктуру, свои системы, поместит в этот виртуальный город, и пусть те самые «белые» атакуют этот город и системы. И в режиме реального времени, но безопасным для себя образом, компания поймет, насколько инфраструктура устойчива к кибератакам.
Что получит тот, кто взломает?
Максим Пустовой: Тот, кто взломает, получит приз. Пока это не миллионы долларов, но финансовое вознаграждение — это не самое главное в этом вопросе. Сейчас играют две команды: одни — атакуют, другие — защищают. И те и другие — это люди, которым важно продемонстрировать свой профессионализм в этом комьюнити. Важно узнать что-то новое, приобрести какие-то знания. В таком мероприятии участвовать престижно.
А кто предлагает себя в качестве мишени? Какие-то реальные компании, реальные продукты? Много желающих выставить себя на Standoff?
Максим Пустовой: Да, но мы должны сохранять анонимность. Иначе задача станет более легкой, если мы расскажем участникам, что именно они пытаются взломать.
Правила игры понятны. Как раз на днях появилась новость о том, что вы нашли уязвимость в системах определенных банкоматов. Что делать в таких ситуациях?
Максим Пустовой: Здесь нужно отойти в другую сторону. В рамках Positive Technologies есть отдельный центр исследований, наши инженеры, эксперты в области кибербезопасности, задача которых состоит в том, чтобы исследовать на предмет уязвимости наиболее известные программы, которые используются во всем мире. И это могут быть просто ПОА, а могут быть программные аппаратные комплексы, которыми и являются банкоматы. Там есть софт и есть железо. Зачем они это делают? Затем, чтобы сделать мир безопаснее, потому что, если мы находим уязвимость в какой-то модели банкомата какого-то производителя, мы, следуя некой политике, называется она Responsible disclosure, не пускаем это сразу же в массмедиа и не говорим о том, что мы нашли уязвимость, чтобы дать инструмент хакерам, любым другим злоумышленникам.
Мы сообщаем об уязвимости производителю этого программного обеспечения или банкомата, входим в контакт. Рассказываем все детали, договариваемся с производителем о сроке, который ему требуется для решения этой проблемы и обновления этого ПО по базе клиентов. И только после того, как наступает этот срок, мы пускаем это в качестве новости. Нам важно об этом заявить, нам важно, чтобы мир узнал об уязвимостях, но мы даем производителю время исправить. Вот это и есть политика Responsible disclosure. И люди, которые у нас работают в этом подразделении, — это лучшие инженеры по кибербезопасности, я смело скажу, в России, а может быть — даже и в мире.
Вот эта история с банкоматом знаменательна не тем, что очередной раз удалось взломать банкомат и изъять средства. Таких ситуаций очень много. Ее уникальность в том, что это происходило в режиме так называемого black box. Если говорить простыми словами, условно, у вас есть провод, которым вы можете как-то подключиться к банкомату, и у вас нет никакого понимания, как он устроен внутри, у вас нет понимания, какой софт используется там, какое аппаратное обеспечение используется. Вы в режиме black box пытаетесь взломать банкомат и, как правило, это невозможно. То есть, успех близок к нулю. А в данном случае, удалось продемонстрировать, как можно в режиме black box действительно взломать банкомат и изъять средства.
В реальном мире чаще бывает так, что хакер не имеет сообщника внутри системы? Или, как правило, все большие утечки и взломы происходят при участии кого-то по ту сторону стены?
Максим Пустовой: В жизни все проще. Для хакера все значительно проще. Не нужно иметь кого-то внутри компании, чтобы знать, как можно «сломать» компанию. Потому что любая компания сейчас светится в интернете. То есть те или иные ее системы, которые представлены в интернете, — это взаимодействие с контрагентами, которые часто сейчас автоматизированы. То, какие системы использует компания, хакер может узнать простым сканированием. И вы сразу поймете, какой почтовый сервер используется, какой WEB-сервер используется, какое аппаратное обеспечение используется, какая система защиты. И скорее всего, уже есть набор ключей, который позволяет открыть эту дверь тем или иным образом. Здесь не нужен инсайдер. Но, как технику проникновения, действительно очень часто используют социальную инженерию, фишинг, когда кто-то из сотрудников компании получает письмо и компрометирует компанию через себя. Злоумышленник получает привилегии аккаунта этого сотрудника, а дальше уже распространяет свою атаку. Но в реальной жизни вы как профессиональный хакер можете очень много узнать об организации, не имея никакого инсайдера.
Многие компании, например, Microsoft, уже дважды за последнее время, в своих отчетах пишет, что большая часть атрибутированных хакерских атак совершена русскими хакерами. Как вы к этому относитесь?
Максим Пустовой: Мы относимся к этому с недоумением по одной простой причине — что означает вот эта самая «атрибуция»? Нет нигде прописанных правил, с которыми все согласились, мировое сообщество или даже на уровне отдельных государств, какая атрибуция — правильная. Атрибуция — это вещь крайне сомнительная и, как правило, скорее инструмент каких-то геополитических войн. Уже пять-шесть лет определенная техника атак и следы, которые оставляют хакеры, — известны. Любая группировка знает о том, какие это техники, какие это следы. И может мимикрировать и оставлять именно их, для того чтобы, по большому счету, атрибуция произошла нужным им образом. Поэтому мы относимся к таким заявлениям, как минимум, с иронией, а как максимум, с негодованием.
А почему с негодованием? Вам не кажется, что наши инженеры, профессионалы, хакеры получают, таким образом, огромную рекламу? В конце концов, может быть, поднимая ставки нашего IT в дальнейшем на мировом рынке?
Максим Пустовой: Мы не хотели бы, чтобы российское IT каким-то образом попадало в геополитику. То есть мы старались всегда быть вне геополитики. Наши исследования, все эти находки в рамках Responsible disclosure всегда делались ответственно, профессионально, независимо от того, к какой географии или к какой стране относился производитель ПО или железа, в котором мы нашли уязвимость. Мы действительно считаем, что кибербезопасность — это угроза мировая и делить это на какие-то геополитические регионы неправильно. Наши решения работают в любой географии, в любой компании по всему миру. И знания, которые в них заложены, — одинаково эффективны, будь это установлено в Америке или в России.
Сейчас часто говорят, что киберпреступность опережает средства защиты, причем опережает очень быстро, особенно там, где это касается денег. Кратко: ваша оценка соревнования щита и меча?
Максим Пустовой: Неприятно констатировать, но, безусловно, киберпреступники пока выигрывают, причем с большой форой. Среднее время существования профессионального хакера в инфраструктуре компании — шесть месяцев. К моменту, когда он себя проявил, он был в системах уже шесть месяцев. Он уже знает все ходы и выходы. Вы только узнали о взломе и о том, что ваши данные украли, а это произошло уже достаточно давно.
Компании, естественно, склонны скрывать события до последнего. Мы с этим сталкиваемся каждый день. Неприятно признавать свои недостатки. То есть то, что мы видим в публичной плоскости — это только малая часть реальных успешных взломов.
Остальные не хотят признаваться, что их взломали?
Максим Пустовой: Конечно. И в этом проблема индустрии. Но даже если основываться на статистике, о которой мы знаем, количество киберпреступлений в 2020-м и 2021 году выросло на 50%. Это существенный рост. И он связан, в том числе, и с пандемией и с тем, что многие сотрудники перешли на удаленную работу.
В этой связи, как вы относитесь к идеям такого быстрого внедрения биометрии и особенно создания в России единой биометрической системы?
Максим Пустовой: Я отношусь настороженно, но это лично моя точка зрения, не могу сказать за компанию, в данном случае. То есть очевидно, что технологический прогресс и удобство нашего взаимодействия с этим миром толкает нас к тому, чтобы это произошло в конечном итоге. Биометрия, на бытовом уровне, — это способ просто совершать покупки, не нося с собой паспорт, карточку или еще что-то. Это удобство, но это и риск, что данные могут быть украдены и скомпрометированы. Иными словами, в контексте биометрии, мы сталкиваемся абсолютно с теми же проблемами, с той же повесткой, что есть и в общем отношении к кибербезопасности и цифровизации.
Чем больше мы движемся в цифровизацию, тем больше это несет угроз. И тем выше запросы в отношении кибербезопасности. Вот биометрия — это та самая история. Это правильно делать неторопясь, потому что дров по пути можно наломать очень много.
Допустим, если мы говорим о биометрии, например, сканировании зрачка глаза — это абсолютно уникальная информация, которая может быть украдена. И вы не можете сменить этот скан своего зрачка глаза. Вы можете изменить паспорт, у него будет другой номер, вы поменяете данные во всех банковских системах, вас теперь будут снова правильно идентифицировать, но изменить скан зрачка глаза невозможно.
Поэтому действительно нужно двигаться очень осторожно в этом направлении. Это неизбежно: будет собираться биометрия, но вокруг этого нужно построить надежную стену безопасности.
Напоследок, в вашей корпоративной истории появился новый класс продуктов — «Метапродукты». На что они направлены?
Максим Пустовой: Мы долго думали над правильным названием, но, действительно, мы считаем, что это название в полной мере отражает суть этого решения. Если в двух словах, мы как компания развивались в течение 20 лет. И у нас появлялись все новые классы решений в области кибербезопасности. На сегодняшний момент всего у нас 11 продуктов. Редко какая российская компания, работающая в области кибербезопасности, может похвастаться таким широким портфелем. Каждая из систем может быть исключительно хороша и эффективна, но только в отдельно взятой проблемной области. В сегодняшней технике методики кибератак настолько сложные и настолько комплексные, что вы не можете защититься, работая над отдельными доменами. Мы подошли к ситуации, когда компаниям, чтобы комплексно защититься, нужно решение, которое покрывает все возможные вектора атак, все техники, все периметры. И решением этой проблемы является первый наш продукт О2, суть которого — обнаружить хакера и остановить его.
Всего будет три продукта класса «Метапродуктов». Но этот — основной. Это комплексное решение, которое покрывает все те проблемные области, предметные области, которые есть на сегодняшний день в любой компании. И если компания покупает наше решение О2, то она получает комплексную защиту, которая достигается для компании наименьшими затратами с точки зрения необходимости обучать персонал. Система обеспечивает невозможность вот этого недопустимого риска. Компания сама формирует эту повестку. И становится недопустимой, например, кража клиентских данных, возможность вывести средства через банковскую систему, компрометация ключевых людей в компании.
Класс систем «Метапродукты» гарантирует, что критическое событие не произойдет, потому что оно — недопустимый риск.

Добавить BFM.ru в ваши источники новостей?

Рекомендуем:

Фотоистории
BFM.ru на вашем мобильном
Посмотреть инструкцию