Мировой рынок кибербезопасности стремительно меняется. Еще быстрее меняется «рынок» киберугроз. Но в России на защиту от атак до последнего времени выделялось не так много средств, как хотелось бы.

О том, как эту проблему решают представители бизнеса и государственной власти, нам рассказал Денис Черкасов — российский технологический инвестор и венчурный предприниматель, специалист в области управления быстрорастущими компаниями.

Денис также специализируется на выведении убыточных технологических активов на уровень прибыльности.

• В настоящее время он управляет портфелями технологических фондов для Группы Сбербанк, является генеральным директором ЗАО «Управляющая компания «СБВК».
• Входит в советы директоров российских и зарубежных высокотехнологичных компаний, в том числе финской компании Канату (Canatu Oy), ведущего мирового производителя гибких экранов для электроники.
• В прошлом — член Советов директоров ОАО Концерн «Калина», ЗАО «Дикая Орхидея», ЗАО «Айко», Кортона 3Д, Parallalel Graphics (Ireland).

Вы инвестор и специалист по кибербезопасности. Как вы пришли к этому? Чем занимаетесь в настоящее время?

Вы правильно заметили, что мой бэкграунд инвестиционный. Он и продолжает быть инвестиционным. Большая часть моей профессиональной жизни связана с инвестициями, с управлением инвестициями других людей, фондов и так далее. По образованию я экономист, также изучал математику (настолько глубоко, насколько это можно сделать на экономическом), преподавал в Высшей школе экономики и в совместном институте ВШЭ и Лондонской школы экономики.

А тема кибербезопасности появилась на моем радаре именно через инвестиционные двери. В портфеле наших фондов было несколько компаний, которые занимались ИТ-безопасностью. Тогда я впервые с этим столкнулся, и мне пришлось детально погрузиться в специфику, начать работать с соответствующими специалистами.

И с какого-то момента (3 года назад или чуть больше) тема информационной безопасности перестала быть исключительно темой ИТ-специалистов, инженеров. Но до этого это было мало кому интересно за пределами ИТ. Кроме пожарных стен (firewall) люди, не занимающиеся кибербезопасностью, не знали практически ничего. Степень грамотности, «гигиены» пользования компьютерными сетями была достаточно низкая.

Я бы сказал, что и до сих пор там есть куда расти…

Согласен. Если мы время от времени читаем истории о том, что кто-то залез в компьютер помощницы руководителя крупной компании, у которой хранится конфиденциальная информация, включая все коды и пароли к государственным системам, то, конечно, здесь есть, над чем работать.

Более того, полтора года назад во многих компаниях, с которыми я сотрудничаю, появилась новая директива – не открывать поздравительные открытки (новогодние, рождественские и так далее). До этого только специалисты в области кибербезопасности знали, что можно легко установить программу на компьютер пользователя, отправив ему такого рода письма. Иногда они приходили даже от имени какой-то знакомой организации.

Другой пример «популяризации» этой темы – служба судебных приставов разослала своим клиентам предупреждение: «Не открывайте письма, которые приходят от нас». Дело в том, что злоумышленники рассылали людям письма от имени приставов с уведомлением о взыскании штрафа и просьбой пройти по ссылке. А при переходе пользователя по указанной ссылке мошенники делали свое грязное дело.

Помню, два-три года назад от имени налоговой службы приходили письма с вредоносными файлами. ИТ-специалисты их отлавливали, но предупреждение клиентам не приходило.

Наша служба и опасна, и трудна. И, на первый взгляд, как будто не видна…

Так что вся эта схема по защите информации стала популярной не от хорошей жизни, а из-за общей цифровизации нашей жизни. Интернет перестал быть уделом специалистов и распространился практически во все сферы деятельности. Теперь он присутствует не только в профессиональной деятельности, но и в личной жизни. Даже предприятия старой индустрии – заводы, промышленные комплексы – переходят на цифру.

Это и государственные организации…

Абсолютно верно. Еще пять лет назад наши электростанции были аналоговыми: рубильник, масляный фильтр и инженер-электрик, который по указанию диспетчера ходит и дергает эти рубильники. Вот вам и онлайн-управление. И сейчас, когда мы слышим эту историю, воспринимаем ее с улыбкой. Ведь в настоящее время одним нажатием кнопки можно, например, половину страны перевести на другой режим электроснабжения. Понятно, что, если кнопку можно нажать из одного места, то есть возможность сделать это и из другого места. Поэтому злоумышленники могут получить к ней доступ и сделать свою грязную работу.

Так что в индустрию кибербезопасности оказались вовлечены специалисты самых разных направлений – не только финансисты-инвесторы, которые пытаются разобраться, куда лучше вложить средства. В ближайшее время эта индустрия станет просто гигантской.

И с какими компаниями вы работаете сейчас?

Практически со всеми крупными мейджорами: это и «Лаборатория Касперского», и Group-IB, InfoWatch, IBM – со всеми у нас так или иначе складываются профессиональные контакты в этой отрасли. Речь идет о принципиально новом подходе к способам защиты. В ответ на новые угрозы во многих случаях используются старые техники защиты. Это все равно что Тетрациклином лечить новейшие вирусы.

А вы, получается, вкладываетесь в разработку новейших «препаратов» на рынке кибербезопасности?

Да, уже понятен принцип, понятна философия этой истории. У нас уже пройден этап прототипирования, мы входим в продакшн-стадию. У нас понемногу появляется статистика использования. Однако, следует оговориться, что это не one fit all solution, это не панацея, не мумие, которое защищает от всего.

Принцип работы нового продукта заключается в онлайн-отслеживании того, какие команды могут отдавать одни программы или программно-аппаратные комплексы другим программам и программно-аппаратным комплексам, соответственно. Если программа ведет себя атипичным образом, ее деятельность блокируется.

При этом возникает целый комплекс сложных моментов. Если, например, рассмотреть работу банкомата, то в случае ее нарушения известен ущерб. Другой вариант – работа беспилотного автомобиля: выполняет ли он команды неверно или подчиняется командам со стороны, пока понять в режиме онлайн невозможно. И вообще, как распознать, что это действительно угроза?

Кроме того, не стоит забывать, что есть такой принцип – «Не навреди». Одно дело, когда в процессе работы с банкоматом теряются деньги (их можно и застраховать), другое – промышленная катастрофа, которая может привести к человеческим жертвам.

Можете назвать наиболее яркое событие или инцидент в области информационной безопасности, случившееся в 2016 году? Имеется в виду масштаб последствий для индустрии. И какие выводы из этого были сделаны непосредственно вами?

Это безусловно принятие Доктрины новой информационной безопасности. Документ не так широко освещался в прессе, но в среде специалистов он разбирался очень детально. Это основополагающий курс развития отрасли на ближайшие лет пять – это точно. А, возможно, и десять лет.

После выхода доктрины стало окончательно ясно, что кибербезопасность перестала быть исключительно темой для обсуждения ИТ-специалистами. У нас появились новые, цифровые, каналы управления – их нужно защищать в том числе на государственном уровне.

Было много других событий, но это самое важное с точки зрения долгосрочных последствий.

Есть мнение, что на Западе люди гораздо больше готовы защищать электронную инфраструктуру, потому что там вообще никакой бизнес уже не может существовать без интернета. Даже плотник, который принимает индивидуальные заказы так или иначе представлен в интернете. Необходимо ли в нашей стране убеждать людей, что проблемы в с информационной безопасностью существуют? Насколько велика разница между тем, как работает индустрия кибербезопасности на Западе и в России?

Вы правильно подметили тенденцию. Можно съездить на горнолыжный склон в Европу и на горнолыжный склон в нашей стране и обратить внимание на количество людей в шлемах и без шлемов. Как-то так получается, что структурированному западному уму не нужно сильно ударяться о камень, чтобы решить, что нужно кататься в шлеме. Российский ум в среднем не так структурирован.

Мы крепчаем от ударов :)

Безусловно есть такой русский «авось»: пока сам не столкнусь не поверю, мне все это «впаривают».

И вот некоторые представители бизнеса с хитрым прищуром задают вопрос:

— Сколько все это стоит?
Мы отвечаем:
— Шесть миллионов долларов в год.
— А сколько это на самом деле стоит?

Наверное, они думают, что на самом деле это стоит 60 рублей.

По похожему принципу работает механизм принятия решений. Например, вы — топ-менеджер или владелец бизнеса, которому нужно решить, куда лучше направить деньги: в рост перспективного бизнеса или «выбросить их на ветер» под предлогом обеспечения информационной безопасности. Если у него есть, к примеру, 100 миллионов рублей, то 80 из них можно потратить, допустим, на развитие нового бизнеса, а 20 – на поддержку существующего бизнеса.

И вот к нему приходит ИТ-специалист и говорит:

— Нам нужно сервера обновить.
— А зачем?
— Они уже на ладан дышат.
— Если тебе дать волю, ты все 100 миллионов можешь потратить на новые сервера.

А потом, когда серверы выходят из строя, начинаются пожар и претензии типа «почему меня раньше не предупреждали».

И вот с мерами по защите от киберугроз все происходит ровно по тому же сценарию: пока не хакнут, мужик не перекрестится. До этих пор людям кажется, все, что они видят на мониторе, не видит больше никто.

Еще один распространенный пример – это государственная компания. Если там приняли решение направить ресурсы на информационную безопасность, к ним приходит представитель Счетной палаты и спрашивает, зачем они так много денег на ИТ потратили. Есть примеры больших расходов крупных государственных банков на ИТ. Их сопровождают заметки в СМИ о том, что часть этих денег ушла на откаты.

Насколько это правда, мы не можем судить. Сам факт больших трат на ИТ-инфраструктуру воспринимается проверяющими органами как омертвление капитала, подкармливание мировой буржуазии. Мол, деньги-то вкладываются даже не в наши серверы, а в зарубежные.

Но теперь доктрина информационной безопасности во многом облегчает жизнь бизнесу и менеджерам государственных компаний: они могут аргументировать большие траты на ИТ положениями доктрины.

Каково ваше мнение по поводу влияния сверху? Появляется Финсерт, который начинает накачивать отрасль кадрами, деньгами, но пока ничего сильно не изменилось. Конечно, теперь неисполнение распоряжений по обеспечению информационной безопасности может грозить штрафами, отзывом лицензий банков и так далее. Насколько эффективно такое влияние сверху? Или это должна быть некая внутренняя мотивация?

Я думаю, что влияние сверху хоть как-то работает. А в нашей российской реальности – это единственный способ. Внутренняя мотивация очень слаба, как я уже рассказывал выше. Если у самой организации нет желания тратиться, можно хоть десять доктрин придумать. Но с другой стороны, чтобы дать возможность тратить достаточно большие суммы на безопасность без претензий со стороны проверяющих органов, оценивают количество атак, которые были предотвращены и финансовые потери, которых удалось избежать благодаря этому.

Это очень хороший критерий. Когда наши компании показывают подобные отчеты клиентам, владельцам бизнеса, становится сразу многое понятно. Хотя некоторые продолжают возражать: «А, может быть, и без вашей защиты атаки не смогли бы пройти или их бы вообще не было». Так что директива сверху является внешней мотивацией и для таких скептиков.

Еще им можно показать пару примеров, как человек с познаниями школьника может изменить показания датчиков крекинговой установки на каком-нибудь МПЗ. И это легко можно сделать из любой точки мира.

История со Stuxnet: 0,1 секунды разницы в работе одного микроконтроллера центрифуги вызвала катастрофические последствия.

Да. Хотя такие случаи в свое время были и на Западе. Так что мы идем в рамках мировой тенденции. И вот сейчас пытаемся перейти на следующий этап.

Кибератаки ведь тоже разные. Есть, например, Credential Stuffing, Denial of Service. Отдельные виды атак используют уязвимости на уровне логики работы приложений. Какие новые атаки могут появиться в ближайшее время? В достаточной степени сегодня в России развита защитная индустрия?

Новые виды атак могут появиться в ближайшее время. Мы все живем в «предвкушении» и ожидании. Злоумышленники продемонстрировали удивительную приспособляемость и степень эволюционирования. Это продолжится на всех уровнях инфраструктуры.

В России индустрия кибербезопасности слабо развита. Игроков мало, и, если утрировать, можно сказать, что мы практически не защищены.

Когда я стал погружаться в эту историю, у меня возникла аналогия в голове: есть широкий поток (река) и отдельные кирпичи в виде антивирусных решений. И продавцы говорят: «Смотрите, этот кирпич ведь защищает». Конечно, если встать именно за этот кирпич, то вода сквозь него не течет. Некоторые специалисты называют это snake oil или мумие. Эта защита, скорее, психологического уровня. Широко известные программы-антивирусы не защищают от целенаправленных атак. Нам с вами и это понятно, а массовому потребителю, который купил «Касперского» и спит спокойно, это непонятно. И мало кто ему пытается это объяснить.

Если спросить, почему финансисты этим интересуются, — все потому, что они видят эту проблему. Моя аналогия про Тетрациклин, указанная выше, относится также и к этим историям. Бывают большие компании, существующие на рынке защиты информации много лет. Они заработали себе репутацию и деньги, но эти компании сейчас не могут предложить полноценные решения для новых видов атак.

Их продукты продолжают покупать, так как бренд вроде бы проверенный, и сложилась определенная привычка. «Если компания существует уже 10 лет и по-прежнему успешно продает, значит, в ней что-то есть», — так думают люди, далекие от мира ИТ-безопасности. Но рано или поздно даже у них возникнет потребность в защите от новых типов атак. Поэтому над решениями такого рода работаем и будем их предлагать.

Так что старым игрокам придется тоже как-то перестроиться, либо заняться дистрибуцией более современных продуктов. У российских компаний-мастодонтов есть такой подход под названием Not Invented Here (NIH): «То, что вы делаете, это ерунда. Мы можем изобрести такой продукт за полдня. Поэтому покупать мы его у вас не будем, мы его сами сделаем».

Иногда такие смешные попытки происходят. Мы знаем такие истории, когда они потом приходят и говорят: «Вот новый продукт от нашей, известной и опытной компании». А потом смотришь его, а там – пустота. Там все плохо, как минимум, в плане внедрения этого решения. И потом ИТ-специалистам приходится это внедрять, поминая «ласковыми» словами любимый бренд. А менеджер его убеждает, что продукт хороший, потому что куплен у уважаемой компании, которая 20 лет на рынке. У компании, которая 6 месяцев рынке, специалист по закупкам, например, купить продукт не может, так как не разбирается в нем.

Более того, его никто не будет ругать, если он купил плохой продукт у известной компании. А если он купил плохой продукт у неизвестной компании, его будут обвинять во всех смертных грехах и решат, что он «откатчик».

А на самом деле, проблема в том, что у специалиста по закупкам нет необходимой экспертизы. Так что теперь уметь оценить продукт должны и специалист по закупкам, и специалист по архитектуре, и менеджеры, которые распоряжаются ресурсами внутри организации.

Со временем на российском рынке все-таки появятся новые заметные игроки. Раскрученный бренд «русские хакеры» в итоге сыграет на руку российским компаниям на рынке ИТ-безопасности. Хотя я думаю, индийские и китайские специалисты не хуже русских. Но русские хакеры страшнее, и поэтому дороже.

Как видят ситуацию правоохранительные органы? Все-таки многие киберпреступления в результате получают статус уголовно наказуемых.

Они смотрят, учатся, растут. Конечно, есть еще, куда расти — особенно в плане вынесения решений и применения наказаний.

В плане отражения атак они выстраивают продуктивное сотрудничество с коммерческими компаниями. Это естественная история: должна быть создана среда, экосистема, где государство использует способности и таланты ИТ-компаний в обнаружении и противостоянии атакам. В США — то же самое.

Практика ведения разбирательств по такого рода преступлениям еще совсем новая. Тут еще расти и расти. Работа в судах – это вообще отдельный пласт. И разобраться в этом очень сложно даже судьям. Если вспомнить дела по защите авторских и интеллектуальных прав, здесь уже начинается блуждание.

А когда вы уходите в тему виртуальных преступлений, тут отечественной судебной системе, по моим наблюдениям, стоит развиваться еще больше, чем правоохранительным органам в целом.

Но самый высокий уровень развития – это отражение угроз онлайн. Потому сначала надо отразить. А затем уже разбираться. Здесь правоохранительные органы работают очень динамично.

А каков потенциал прибыли на этом рынке? Каковы перспективы с точки зрения бизнеса? Стоит ли молодым ребятам идти в эту область, чтобы создать успешные компании? Ведь по сути те, кто сейчас работает в мелких проектах, производящих продукты для защиты от киберугроз, — это и есть те самые «русские хакеры».

Отрасль динамичная. В нее приходят большие деньги: и государственные, и корпоративные. А там, где большие деньги, нужны и большие ресурсы, чтобы эти деньги освоить. Под «освоить» я здесь понимаю создание продукта.

Если индустрии не удается «переварить» эти деньги, получается рост цен на плохие продукты. Здесь нужно идти молодым. Перед ними стоят творческие, очень сложные и ограниченные во времени задачи. Я думаю, что этот тренд будет финансироваться еще лучше, чем финтех. Несмотря на то, что Россия обеспечивает только 3% мирового ВВП, доля ее ИТ-продуктов в мировом экспорте достаточно высокая. Мы знамениты экспортом оружия, ИТ-продуктов, сельскохозяйственной продукции и нефти.

Правильно, что российские ИТ-компании идут на Запад. Этого не нужно бояться, это нужно приветствовать. Но безусловно, нужно взращивать и, по возможности, оставлять наши ИТ-кадры в России. Нам очень помогает наша математическая школа. Нам исключительно помогает черта нашего национального характера – умение нетривиально мыслить. А этому мы обязаны нашему великому и могучему русскому языку (это мое личное мнение). Люди мыслят словами, как ни крути. Особенности нашего языка позволяют программистам использовать математические приемы, которые не придут в голову англоговорящим. Поэтому у нас есть такое преимущество в плане такой непохожести. Это называется «синергия через диверсификацию».

Непохожесть нужно активно эксплуатировать и выдавать продукт, основанный на этом оригинальном видении. То, что кажется естественным российскому рынку, российским специалистам, может стать откровением для западных коллег. Мы понимаем логику написанного нами кода, потому что мыслим по-русски. А они не мыслят на русском и смотрят на это иначе. Для них это будет прорывом.

Чем больше придет в эту отрасль талантливых людей, тем быстрее большие деньги, которые сюда вкладываются, будут поддержаны адекватным предложением качественных продуктов. Этот опыт, навыки, полученные в ИТ-безопасности, в более широком контексте могут быть использованы и в других сферах ИТ. Так может сформировать элита, которая будет способна качественно выполнять нестандартные задачи за короткое время, используя всю свою изобретательность и креативность.

Вы прошли серьезный путь. Какие советы вы можете дать людям, которые только начинают свой собственный путь?

Конечно, я еще в процессе развития. Могу вспомнить совет Стива Джобса: «Оставайтесь голодными» и совет Ричарда Брэнсона: «К черту все! Берись и делай!»

Когда вы что-то хотите сделать, вы сначала смотрите, что у вас есть для этого. Помните, как в фильме «Изгой» (англ. Cast Away) разбился почтовый самолет, и герой остался один на острове и жил там долгое время. Когда он принял решение уплыть с острова, понадобился плот. У него были для этого ресурсы, но нужно понимать, что новое путешествие могло стать для него смертельным.

В начале пути у каждого из нас примерно такая же история. Но нужно набраться решимости и преодолеть эту прибойную волну. Вы не знаете, что будет потом: встретит ли вас корабль или вы утонете. Поэтому нужна вера.

Конечно же, нужно все-таки знать, что у вас есть: знания, связи-контакты и жизненный опыт. Всему остальному можно научиться. Мне кажется, не бывает такого, чтобы человек сегодня шел по одному пути, а уже завтра повернул совсем в другую сторону. За один день этого не происходит обычно. Все-таки есть какое-то эволюционное развитие.

Я был поражен тому, как в Индии человек, ничего не знающий об ИТ, через «три недели» работы уже начинает заниматься оффшорным программированием для заказчика. Другое дело, что и через «15 лет» он может остаться на том же уровне, которого достиг за «три недели». Поэтому себя нужно мотивировать, развиваться и так далее.

Я часто говорю своим сотрудникам так: «Вот мы начинаем новый проект. Не догоним, так хоть согреемся (если он не взлетит). Что мы теряем? У нас сейчас ничего нет. Мы пробежим, в случае неудачи у нас опять ничего не будет. С математической точки зрения мы ничего не теряем. Однако, с другой стороны, мы получим опыт, который можно использовать дальше».

Так что однозначно нужно пробовать, искать. Не нужно бояться это делать. Но все-таки стоит помнить выражение risk smart. Нужно исходить из имеющихся у тебя ресурсов.

Если, например, человек занимался живописью или музыкой и вдруг захотел стать специалистом по ИТ-безопасности, он может применить свои художественные навыки хотя бы для того, чтобы код выглядел красиво. Я тут, конечно, утрирую, но идея, думаю, понятна.

И когда вы оцениваете себя адекватно, знаете, что у вас есть, вам будет проще. Но если кто-то всегда концентрируется на том, чего у него нет, он обречен на поражение. Это основной фактор провала. Он думает: «У меня вот этого нет, а у него это есть, поэтому он преуспеет». Но тут и кроется ошибка: он преуспеет не потому, что у него ЭТО есть, а потому, что он НЕ думает о том, чего у него нет.