Мировой рынок кибербезопасности стремительно меняется. Еще быстрее меняется «рынок» киберугроз. Но в России на защиту от атак до последнего времени выделялось не так много средств, как хотелось бы.

О том, как эту проблему решают представители бизнеса и государственной власти, нам рассказал Денис Черкасов — российский технологический инвестор и венчурный предприниматель, специалист в области управления быстрорастущими компаниями.

Денис также специализируется на выведении убыточных технологических активов на уровень прибыльности.

• В настоящее время он управляет портфелями технологических фондов для Группы Сбербанк, является генеральным директором ЗАО «Управляющая компания «СБВК».
• Входит в советы директоров российских и зарубежных высокотехнологичных компаний, в том числе финской компании Канату (Canatu Oy), ведущего мирового производителя гибких экранов для электроники.
• В прошлом — член Советов директоров ОАО Концерн «Калина», ЗАО «Дикая Орхидея», ЗАО «Айко», Кортона 3Д, Parallalel Graphics (Ireland).

Вы инвестор и специалист по кибербезопасности. Как вы пришли к этому? Чем занимаетесь в настоящее время?

Вы правильно заметили, что мой бэкграунд инвестиционный. Он и продолжает оставаться инвестиционным. Бо?льшая часть моей профессиональной жизни связана с инвестициями, с управлением инвестициями других инвесторов, фондов и так далее. По образованию я экономист, также изучал математику (настолько глубоко, насколько это можно сделать на экономическом), преподавал в Высшей школе экономики и в совместном институте ВШЭ и Лондонской школы экономики (эта образовательная программа называется МИЭФ-ICEF — прим. ред.).

Тема кибербезопасности появилась на моем радаре именно через инвестиционное направление. В портфеле фондов под нашим управлением было несколько компаний, которые занимались в том числе технологиями безопасности в режиме реального времени. Тогда я впервые с этим столкнулся, и мне пришлось детально погрузиться в специфику, начать работать над развитием продуктов, делающих более безопасными финансовые транзакции и активно развивающийся интернет вещей.

Отмечу, что с какого-то момента (3 года назад или чуть больше) тема информационной безопасности перестала быть исключительно темой ИТ-специалистов, инженеров, а стала сферой ответственности и руководителей бизнесов, и простых граждан, которые всё активнее пользуются интернетом. До этого кибербезопасность была мало кому интересна за пределами узкой области ИТ. Кроме пожарных стен (Firewall), люди, не занимающиеся кибербезопасностью, не знали практически ничего. Степень грамотности и «гигиены» пользования компьютерными сетями была достаточно низкая.

Я бы сказал, что и до сих пор там есть куда расти…

Согласен. Если мы время от времени читаем истории о том, что кто-то залез в компьютер помощницы руководителя крупной компании, у которой хранится конфиденциальная информация, включая все коды и пароли к государственным системам, то, конечно, здесь есть, над чем работать.

Например, полтора года назад во многих компаниях, с которыми я сотрудничаю, появилась новая директива руководства – не открывать поздравительные открытки (новогодние, рождественские и так далее). До этого только специалисты в области кибербезопасности знали, что можно легко установить вредоносную программу на компьютер пользователя, отправив ему такого рода письма.

Другое свидетельство роста «популярности» темы кибербезопасности со знаком минус: несколько месяцев назад служба судебных приставов одного из российских регионов разослала своим клиентам предупреждение: «не открывайте письма, которые приходят якобы от нас». Дело в том, что злоумышленники рассылали людям письма от имени приставов с уведомлением о взыскании штрафа и просьбой пройти по ссылке. А при переходе пользователя по указанной ссылке мошенники заражали компьютеры жертв. А ведь еще два-три года назад, когда от имени, например, налоговой службы приходили письма с вредоносными файлами, таких предупреждений не приходило.

Такой подход свидетельствует об осознании важности предупреждения преступлений при работе с ИТ среди агентов экономической деятельности, в том числе и на государственном уровне.

Наша служба и опасна, и трудна. И, на первый взгляд, как будто не видна…

Актуальность защиты информации возросла вследствие общей цифровизации нашей жизни. Интернет перестал быть уделом техногиков и ИТ-специалистов, сегодня цифровые технологии распространились практически на все сферы человеческой деятельности. Интернет присутствует не только в профессиональной деятельности, но и в личной жизни. Предприятия старой индустрии – заводы, промышленные комплексы – переходят на цифру.

Это и государственные организации…

Абсолютно верно. Например, семь лет назад электростанции были в большей части аналоговыми: рубильник, масляный фильтр и инженер-электрик, который по указанию диспетчера ходит и переключает эти рубильники. Сейчас, когда мы слышим эту историю, воспринимаем ее с улыбкой. Ведь в настоящее время одним нажатием кнопки можно, например, половину страны перевести на другой режим электроснабжения. Понятно, что, если кнопку можно нажать из одного места, то есть возможность сделать это и из другого места. И злоумышленники могут получить к ней доступ. Необходима защита.

Получается, что сегодня в индустрию кибербезопасности оказались вовлечены специалисты самых разных направлений – в том числе и финансисты-инвесторы, которые пытаются разобраться, куда лучше вложить средства. В ближайшее время эта отрасль станет просто гигантской по объему инвестиций и размеру трат на безопасность.

И с какими компаниями вы работаете сейчас?

Наши растущие ИТ-компании сотрудничают практически со всеми крупными мейджорами. Со всеми у нас так или иначе складываются профессиональные контакты в этой отрасли. Речь идет о принципиально новом, комплексном, подходе к способам защиты, поэтому совместная работа всех компаний, присутствующих на этом рынке и тех, кто выходит с новыми решениями, очень важна.

Другое дело, что в ответ на новые угрозы клиенты во многих случаях используют устаревшие, неэффективные техники защиты. Это все равно что тетрациклином лечить новейшие вирусы.

А вы, получается, вкладываетесь в разработку новейших «препаратов» на рынке кибербезопасности?

Да. Речь идёт о развитии систем защиты в режиме реального времени. Уже понятен принцип, понятна философия этой истории. У нас уже пройден этап прототипирования, мы входим в продакшн-стадию. У нас понемногу появляется статистика использования. Однако, следует оговориться, что это не one fit all solution, не мумиё, которое защищает от всего. Эти механизмы должны быть использованы в комплексе с другими технологиями кибер-защиты, только тогда они работают максимально эффективно.

Принцип работы нового продукта заключается в онлайн-отслеживании того, какие команды могут отдавать одни программы или программно-аппаратные комплексы другим программам и программно-аппаратным комплексам, соответственно. Если программа ведет себя атипичным образом, ее деятельность блокируется.

При этом возникает целый комплекс сложных моментов. Если, например, рассмотреть работу банкомата, то в случае ее нарушения известен ущерб. Другой вариант – работа беспилотного автомобиля: выполняет ли он команды неверно или подчиняется командам со стороны, пока понять в режиме онлайн невозможно. И вообще, как распознать, что это действительно угроза?

Есть такой принцип – «Не навреди». Одно дело, когда в процессе работы с банкоматом теряются деньги (их можно и застраховать), другое – промышленная авария, которая может привести к экологической катастрофе или человеческим жертвам. Если это происходит вследствие ложного срабатывания системы защиты в режиме реального времени, ответственность ложится на разработчиков такого ПО и команду по безопасности, которая внедряла такое ПО.

Поэтому действие систем защиты в режиме реального времени для устройств управления технологическим процессом (АСУ ТП) или для интернета вещей требует особенно тщательной проработки, наши компании сейчас над этим усиленно работают.

Можете назвать наиболее яркое событие или инцидент в области информационной безопасности, случившееся в 2016 году? Имеется в виду масштаб последствий для индустрии. И какие выводы из этого были сделаны непосредственно вами?

Если говорить о событиях, то это, безусловно, принятие новой Доктрины информационной безопасности России. Документ не так широко освещался в прессе, но в среде специалистов он разбирался очень детально. Это основополагающий для отрасли документ, определяющий дальнейший курс её развития на ближайшие пять лет. А возможно, и следующие десять лет.

После выхода доктрины стало окончательно ясно, что кибербезопасность перестала быть исключительно темой для обсуждения ИТ-специалистами в узком кругу. У нас появились новые, цифровые, каналы управления – их нужно защищать в том числе на государственном уровне. Было, конечно, много других событий, но это самое важное с точки зрения долгосрочных последствий.

Есть мнение, что на Западе люди гораздо больше готовы защищать электронную инфраструктуру, потому что там вообще никакой бизнес уже не может существовать без интернета. Даже плотник, который принимает индивидуальные заказы так или иначе представлен в интернете. Необходимо ли в нашей стране убеждать людей, что проблемы в с информационной безопасностью существуют? Насколько велика разница между тем, как работает индустрия кибербезопасности на Западе и в России?

Вы правильно подметили тенденцию. Чтобы понять тенденции, можно съездить на горнолыжный склон в Европу и на горнолыжный склон в нашей стране и обратить внимание на количество людей, катающихся в шлемах и без шлемов. Как-то так получается, что структурированному западному уму не нужно сильно ударяться о камень, чтобы решить, что нужно кататься в шлеме. Российский ум в среднем не так структурирован.

Мы крепчаем от ударов :)

Безусловно есть такой русский «авось»: пока сам не столкнусь с угрозой, не поверю. А специалисты по ИТ-безопасности мне все это «впаривают», чтобы получить увеличенные бюджеты.

С мерами по защите от киберугроз очень часто решения принимаются по простому сценарию: пока не хакнут, топ-менеджер не осознает важность установки и совершенствования защиты. Еще один типичный пример – это государственная компания. Если там приняли решение направить ресурсы на информационную безопасность, к ним приходят контрольные органы и спрашивают, зачем они так много денег потратили на ИТ.

Но теперь доктрина информационной безопасности во многом облегчает жизнь бизнесу и менеджерам государственных компаний: они могут аргументировать увеличенные траты на ИТ, в том числе, положениями новой доктрины.

Каково ваше мнение по поводу влияния сверху? Появляется Финсерт, который начинает накачивать отрасль кадрами, деньгами, но пока ничего сильно не изменилось. Конечно, теперь неисполнение распоряжений по обеспечению информационной безопасности может грозить штрафами, отзывом лицензий банков и так далее. Насколько эффективно такое влияние сверху? Или это должна быть некая внутренняя мотивация?

Я думаю, что влияние сверху хоть как-то работает. А в нашей российской реальности – это зачастую единственный способ продвинуть новые подходы в работе. Внутренняя мотивация очень слаба, как я уже сказал выше. Если у самой организации нет желания тратиться, можно хоть десять доктрин придумать. Но с другой стороны, чтобы дать возможность тратить достаточно большие суммы на безопасность без претензий со стороны проверяющих органов, оценивают количество атак, которые были предотвращены и финансовые потери, которых удалось избежать благодаря этому.

Кибератаки ведь тоже разные. Есть, например, Credential Stuffing, Denial of Service. Отдельные виды атак используют уязвимости на уровне логики работы приложений. Какие новые атаки могут появиться в ближайшее время? В достаточной степени сегодня в России развита защитная индустрия?

Новые виды атак могут появиться в ближайшее время. Мы все живем в «предвкушении» и ожидании. Злоумышленники продемонстрировали удивительную приспособляемость и умение быстро эволюционировать. Это продолжится на всех уровнях инфраструктуры. В России индустрия кибербезопасности слабо развита. Игроков мало, и, если утрировать, можно сказать, что российские компании и предприятия практически не защищены. С государственной инфраструктурой дела обстоят лучше.

Если спросить, почему финансисты этим интересуются, — как раз потому, что они видят эту проблему. Моя аналогия про Тетрациклин, указанная выше, относится также и к этим историям. Бывают большие компании, существующие на рынке защиты информации много лет. Они заработали себе репутацию и деньги, но эти компании сейчас не могут предложить полноценные комплексные решения против новых видов атак.

Старым игрокам этого рынка придется тоже как-то перестроиться, либо заняться дистрибуцией более современных продуктов. У российских компаний-мастодонтов есть такой подход под названием Not Invented Here (NIH): «То, что вы делаете, это ерунда. Мы можем изобрести такой продукт за полдня. Поэтому покупать мы его у вас не будем, мы его сами сделаем».

Иногда такие смешные попытки происходят. Мы знаем такие истории, когда они потом приходят и говорят: «Вот новый продукт от нашей, известной и опытной компании». А потом смотришь его, а там – пустота. Там все плохо, как минимум, в плане внедрения этого решения. И потом ИТ-специалистам приходится это внедрять, поминая «ласковыми» словами любимый бренд. А менеджер его убеждает, что продукт хороший, потому что куплен у уважаемой компании, которая 20 лет на рынке. У компании, которая 6 месяцев рынке, специалист по закупкам, например, купить продукт не может, так как не разбирается в нем.

Более того, его никто не будет ругать, если он купил плохой продукт у известной компании. А если он купил плохой продукт у неизвестной компании, его будут обвинять во всех смертных грехах и решат, что он «откатчик». А на самом деле, проблема в том, что у специалиста по закупкам нет необходимой экспертизы. Так что теперь уметь оценить продукт должны и специалист по закупкам, и специалист по ИТ-архитектуре, и ИТ-менеджеры, которые распоряжаются ресурсами внутри организации. Уверен, что со временем на российском рынке все-таки появятся новые заметные игроки.

Как видят ситуацию правоохранительные органы? Все-таки многие киберпреступления в результате получают статус уголовно наказуемых.

Они смотрят, учатся, растут. Конечно, есть еще, куда расти — особенно в плане вынесения судебных решений и применения наказаний. Практика ведения разбирательств по такого рода преступлениям у нас еще относительно новая. Тут еще расти и расти. Работа в судах – это вообще отдельный пласт. И разобраться в этом очень сложно даже судьям. Если вспомнить дела по защите авторских и интеллектуальных прав, здесь уже начинается блуждание.

А каков потенциал прибыли на этом рынке? Каковы перспективы с точки зрения бизнеса? Стоит ли молодым ребятам идти в эту область, чтобы создать успешные компании? Ведь по сути те, кто сейчас работает в мелких проектах, производящих продукты для защиты от киберугроз, — это и есть те самые «русские хакеры».

Отрасль динамичная. В нее приходят большие деньги: и государственные, и корпоративные. А там, где большие деньги, нужны и большие ресурсы, чтобы эти деньги освоить. Под «освоить» я здесь понимаю создание продукта.

Если индустрии не удается «переварить» эти деньги, получается рост цен на плохие продукты. Конечно, в эту индустрию стоит идти молодым специалистам. Перед ними стоят творческие, очень сложные и ограниченные во времени выполнения задачи. Я думаю, что этот тренд на кибербезопасность будет финансироваться даже лучше, чем финтех. Несмотря на то, что Россия обеспечивает только 3% мирового ВВП, доля ее ИТ-продуктов в мировом экспорте достаточно высокая.

Правильно, что российские ИТ-компании идут на Запад. Этого не нужно бояться, это нужно приветствовать. Но безусловно, нужно взращивать и, по возможности, оставлять наши ИТ-кадры в России. Нам очень помогает наша математическая школа. Нам исключительно помогает черта нашего национального характера – умение нетривиально мыслить. Этим мы обязаны нашему великому и могучему русскому языку.

Чем больше придет в эту отрасль талантливых людей, тем быстрее большие деньги, которые сюда вкладываются, будут поддержаны адекватным предложением качественных продуктов. Этот опыт, навыки, полученные в ИТ-безопасности, в более широком контексте могут быть использованы и в других сферах ИТ. Так может сформировать элита, которая будет способна качественно выполнять нестандартные задачи за короткое время, используя всю свою изобретательность и креативность.

Вы прошли серьезный путь. Какие советы вы можете дать людям, которые только начинают свой собственный путь?

Я в процессе развития и сам учусь. Могу лишь предложить обратиться к мудрости по-настоящему великих. Меня, например, вдохновляют совет Стива Джобса: «Оставайтесь голодными» или совет сэра Ричарда Брэнсона: «К черту все! Берись и делай!»

Я часто говорю своим сотрудникам: «Вот мы начинаем новый проект, он может получиться, а может и не получиться. Не догоним, так хоть согреемся (если он не взлетит). Что мы теряем? У нас сейчас ничего нет. Мы пробежим, в случае неудачи у нас опять ничего не будет на руках. С математической точки зрения мы ничего не теряем. Однако, с другой стороны, мы получаем опыт, который можно использовать дальше». Так что однозначно нужно пробовать, искать. Не нужно бояться делать. Но все-таки стоит помнить выражение risk smart. Нужно исходить из имеющихся у тебя ресурсов.