Поделиться
Компания из России пополнила список мировых лидеров ИБ
Российские компании очень редко добиваются успеха за рубежом. Positive Technologies создала прецедент, войдя в десятку мировых лидеров в сегменте Vulnerability Assessment (по версии аналитического агентства IDC). Генеральный директор Positive Technologies Юрий Максимов рассказал CNews о российских технологиях, зарубежной экспансии, этичных хакерах и "бумажной безопасности". Мы решили не ждать чуда, и заняться подготовкой будущих кадров еще на этапе обучения. В июне была запущена образовательная программа Positive Education. Мы подписали договоры с десятками вузов. Помогаем им стендами виртуальных инфраструктур, программными продуктами, проводим мастер-классы, разрабатываем практикумы. К примеру, на прошлой неделе запустили практикум с типичными уязвимостями банковских систем. Мы видим, что это полезно не только для студентов, но и для преподавателей. А это важно. Ведь мы не можем обучить тысячи студентов по всей стране, но способны помочь десяткам менторов идти в ногу со временем и готовить специалистов с большой буквы. У вузов просто нет ресурсов заниматься этим в одиночку – ни аппаратных, ни кадровых.CNews: А как насчет компьютерного андерграунда? Ведь это тоже потенциальный источник кадров.
Юрий Максимов: Я бы не стал относить всех хакеров к андерграунду. Принято считать, что хакер – такой злобный очкарик, который сидит где-то на островах и пытается взломать систему ПВО. На самом деле хакер по определению – это сильный программист, который глубоко разбирается в устройстве компьютерных систем. Есть те, кто работают в компаниях, а есть молодые ребята, которые уже имеют навыки, но при этом еще не работают. Мы знакомимся с ними на специальных форумах, в сообществах, на конференциях. Стараемся, чтобы такие парни поняли: у них есть выбор. Они могут уйти в преступную среду – а могут легально заниматься любимой деятельностью, получать за это деньги и приносить пользу обществу. Это часть нашей стратегии развития этичного хакерства.
CNews: Почему так сложно с кадрами в России? Недостаточное внимание со стороны государства?
Юрий Максимов: Цивилизованного рынка кибербезопасности в России почти нет – в том смысле, как это понимают в развитом современном обществе. Как следствие – дефицит кадров. Мы отстаем самое минимальное на три года. Законодательные требования вообще взяты из прошлого века. Нормативные документы даже не содержат такого понятия, как "уязвимость". У нас отсутствует единый орган по координации всех действий по информационной безопасности. На Западе есть четкий план и стратегия, которая реализовывается год за годом. Существуют научные исследования, которые регулярно публикуются, обсуждаются сообществом и ложатся в основе передовых технологий.
В США, по моему, уже восемь лет проходит месячник по ИБ; в нем участвуют разные люди – от детских садов до военной разведки. Его открывает президент страны, рассказывая, как правильно защищаться от киберугроз. Звезды на МТВ выступают с клипами, где объясняют, как безопасно пользоваться интернетом. Это по-настоящему государственный подход. У нас же сильна позиция "бумажной" безопасности. В России есть много людей, которые разбираются, как правильно себя вести, если к тебе пришел регулятор. Это тоже важно и нужно, но недостаточно. Чтобы появлялись специалисты, которые будут хорошо ориентироваться в вопросах защиты от хакеров, надо этими вещами заниматься на практике. В США и Европе существуют десятки вузов, где прицельно учат людей со студенческой скамьи ломать, защищать, участвовать в разработке новых технологий. У нас этого очень не хватает. Positive Technologies второй год проводит хакерские соревнования PHDays CTF. Они являются одними из самых интересных и сложных в мире и быстро завоевали популярность за рубежом. Таких соревнований в России должно быть десятки в год, за границей сотни команд участвуют в подобных мероприятиях. С другой стороны – бизнес среда. Посмотрите на любую европейскую и американскую выставку – новые технологии, новые предложения, новые компании. Десятки неизвестных ранее имен появляются каждый год. У нас же практически одни и те же лица. Ясно, что от "сесть и заплакать" пользы не будет. Поэтому мы стараемся в меру своих возможностей изменить ситуацию. К примеру, наш Форум Positive Hack Days – это попытка организовать комьюнити, в котором можно получать информацию о современных методах защиты от взлома. Считаем, это очень важно. Мы стараемся участвовать в комитетах, которые занимаются разработкой нормативных документов, если чувствуем, что в этой области способны практически помочь. Проводим бесплатные вебинары, касающиеся самых разных аспектов: защищенность банковских систем, мобильных устройств, телефонных сетей. Поддерживаем крупнейший русскоязычный интернет-портал на тему ИБ – SecurityLab.ru, запускаем образовательные программы. К нам приходят сотни клиентов и нам важно делиться этим опытом, чтобы люди понимали, как необходимо защищаться.CNews: Картина, прямо скажем, невеселая. Неужели на российском рынке информационной безопасности так мало светлых пятен?
Юрий Максимов: Российский рынок, как и любой, специфичен. Но есть рынок, а есть отдельные его игроки. И здесь, я скажу, нам есть, чем гордиться. Зачастую уровень зрелости процессов ИБ в "просвещенной Европе" ощутимо ниже, чем у нас. Поэтому трудно однозначно сказать, что "все плохо". Нет, у российского рынка хорошие перспективы. Русские хакеры побеждают в международных CTF, их имена регулярно попадают в зал славы Google, и все это без государственной поддержки и выстроенной системы подготовки ИБ-специалистов.
В своей работе мы также часто встречаемся с очень сильными специалистами на стороне заказчика. Это носители уникального опыта, добытого на практике, с глубоким пониманием потребностей индустрии. Они подчас говорят вещи, идущие в разрез с твоим текущим пониманием реальности, но в стратегической перспективе – абсолютно верные. Многие решения, связанные с развитием компании, ее продуктов и услуг, мы принимали исходя из мнения коллег по цеху. И в большинстве случае – не жалели об этом. Скажу больше: добрая половина экспертизы, вошедшей в MaxPatrol, построена на идеях и рекомендациях таких людей.CNews: С каждым годом активность хакеров растет. Можете выделить направления, требующие наибольшего внимания ИБ-специалистов?
Юрий Максимов: Киберпреступники активно внедряются в прикладные отраслевые информационные системы. Это касается промышленных объектов, где установлены системы АСУ ТП (SCADA), технологических сетей телеком-операторов, банковских систем, SAP и др. Вот недавно мы помогли Siemens обнаружить критические уязвимости в SCADA-системе SIMATIC WinCC. Эту систему используют на критически важных и потенциально опасных объектах инфраструктуры – в атомной энергетике, в нефтегазовой и химической промышленности, на транспорте, например, в скоростных поездах "Сапсан". Ведем также ряд проектов, связанных с информационной безопасностью как нефтеперерабатывающих заводов, так и с защитой от внутреннего фрода на заправочных станциях.
В целом нам сейчас интересны задачи, которые напрямую помогают заказчикам из разных отраслей защищать их бизнес.CNews: Насколько сильно, по-вашему, рейтинг может измениться год спустя? Где вы хотели бы себя видеть в нем?
Юрий Максимов: Конечно, всегда тяжело и опасно делать такие прогнозы. На мой взгляд, у нас отличный потенциал, множество идей и мощная технологическая база. Поэтому я практически уверен, что в следующем году наше место в этом рейтинге будет существенно выше.
Петр Внедорожный
Поделиться
Короткая ссылка
