Подкаст «Техпреды. Пермь». Артём Нечаев

Оскар Ягафаров:

Всем привет! Это подкаст «Техпреды. Пермь», подкаст, в котором мы знакомимся с резидентами технопарка Morion Digital, технологическими предпринимателями. У нас сегодня в гостях Артем Нечаев, руководитель компании «Центр РИС». Артем, привет!

Артём Нечаев:

Привет, Оскар!

Оскар Ягафаров:

Артем, мы обычно начинаем наш разговор с того, что наш гость рассказывает о компании и своем предпринимательском пути. Поделишься?

Артём Нечаев:

«Центр РИС» — это компания, которая занимает активную позицию на рынке Пермского края в сфере информационной безопасности. Нашей отличительной чертой является возможность реализовать полный цикл услуг по информационной безопасности. Это начинается от обследования, включая различные пентесты.

Проектирование — это, наверное, наша основная особенность. Далеко не все компании, работающие в нашем секторе, умеют и могут это делать. Банально потому, что проектировщики — это штучный товар. Это люди, которых надо долго и скрупулезно выращивать. Это довольно уникальные специалисты, за которых надо держаться.

Мы также можем поставлять комплексные решения, быстро их развертывать, причем в промышленных масштабах. Например, мы обслуживаем две защищенные сети, которые в общей сложности насчитывают 40 тысяч рабочих мест. Это две крупнейших защищенных сети в Пермском крае.

Оскар Ягафаров:

Скажи, а кто у вас заказчики? Это государственные структуры, частные предприятия, крупный или мелкий бизнес?

Артём Нечаев:

Основные наши заказчики на данный момент — это государственный сектор. У нас также есть крупные заводы и большое количество компаний среднего бизнеса. В основном это медицинские организации, потому что они частично связаны с этими защищенными сетями. В целом мы стараемся сейчас расширить круг клиентов в коммерческом секторе.

Чтобы показать объем рынка: примерно 80% рынка продуктов и услуг в сфере ИБ реализуется в коммерческом B2B-сегменте. Еще порядка 15% — это госсектор, различные региональные и федеральные министерства, и только около 2% — частные клиенты.

То есть объем рынка указывает на то, что основные заказчики находятся в коммерческом секторе, и это, как правило, крупные промышленные компании.

Оскар Ягафаров:

Нашим зрителям напомню, что у нас был один из выпусков, посвященный информационной безопасности, смотрите по ссылке в описании. Артем, скажи, по-твоему, куда движется рынок информационной безопасности? Компании не только начинают, но и оказывают услуги по пентесту, то есть тестированию систем безопасности на предприятии. Затем они находят уязвимости и предлагают спроектировать новую систему безопасности и ее реализовать.

Сейчас эти три функции реализуются в одной компании силами одного бизнеса, одного юридического лица. Или это уже возможности для появления специализации компаний? Кто-то проводит пентесты, кто-то проектирует, кто-то внедряет защиту.

Артём Нечаев:

Если говорить о нас, то мы оказываем все эти услуги. С точки зрения рынка в целом, тенденция идет к тому, что компании увеличиваются, укрупняются. Рынок ИБ в России достаточно молодой, несмотря на то, что Россия на текущий момент является девятым рынком в мире по ИБ. Но тенденция к укрупнению имеет место, и компании начинают включать в себя все больше функционала и услуг.

Поэтому мы так или иначе наблюдаем тенденцию к тому, что компании будут увеличиваться и поглощать более мелких участников рынка.

Оскар Ягафаров:

Одна из наших задач — популяризировать технологическое предпринимательство. В связи с этим вопрос: если молодые выпускники хотят пойти на рынок ИБ с целью запустить свой бизнес, можешь порекомендовать какие-то новые, перспективные сегменты или направления, чем стоит заняться?

Артём Нечаев:

Я скажу так: если просто настроенный на успех студент хочет пойти именно на рынок ИБ, ему, наверное, придется пройти достаточно трудный путь. Вход на этот рынок достаточно высокий. Он связан с лицензированием и капитальными затратами, которые необходимо понести, чтобы начать работать.

Офис можно снять, это небольшие затраты, но потребуется купить оборудование, выполнить требования лицензирования. По самым скромным расчетам, только входной пакет будет стоить несколько миллионов рублей.

Оскар Ягафаров:

То есть вывод такой, что стартапы в ИБ могут запустить…

Артём Нечаев:

…уже скорее опытные сотрудники с определенным стартовым капиталом. В целом текущий кадровый рынок характеризуется большим дефицитом специалистов по ИБ. Что делается с этим? Мы поначалу пытались искать готовых специалистов, потратили большой объем времени на обсуждения с кандидатами, которые есть на рынке.

Но так или иначе пришли к тому, что берем этих сотрудников со студенческой скамьи и постепенно приводим их к тому уровню, который нам хотелось бы. Это, наверное, один из самых реалистичных сценариев получения лояльного сотрудника с необходимыми знаниями не за космические деньги.

Потому что если попытаться найти, например, сеньора в нашей области, он будет стоить очень существенных денег просто для того, чтобы переманить его из другой компании.

Оскар Ягафаров:

Это пермские вузы, скорее всего?

Артём Нечаев:

Да, это пермские вузы. Мы работаем и с политехом, и с классическим университетом. В основном к нам приходят ребята из политеха. Они приходят на практику, показывают себя в какой-то практической работе по заданиям своих научных и практических руководителей, и потом самых лучших мы оставляем, предлагая им работу. Таким образом пополняем свой кадровый потенциал.

Оскар Ягафаров:

Насколько растете каждый год, если взять последние пару лет?

Артём Нечаев:

Рост неравномерный, он связан с объемом работы, которая приходит по контрактам, но в целом мы добавляем примерно одного-двух человек в год. На текущий момент в компании 24 человека, из них порядка 20 — это именно технические специалисты, которые непосредственно заняты работами по проектированию, внедрению, а также продажами, привлечением клиентов и работой с ними.

Оскар Ягафаров:

Какой срок проходит с момента первого касания со студентом, практики, до того как он становится полноценным сотрудником, частью компании?

Артём Нечаев:

Это зависит от того, в каком направлении работает сотрудник. Если мы говорим о проектировании — это наиболее сложная и специфическая сфера нашей работы, куда, в общем-то, далеко не все студенты готовы идти и могут работать, потому что это очень скрупулезная работа, требующая определенного склада характера.

Это когда целый день сидишь, читаешь нормативную документацию, пишешь большие, порой скучные документы. Тем не менее, это скрупулезная работа. По нашей практике, это 2–3 года, чтобы сотрудник начал более-менее ориентироваться и что-то самостоятельно писать.

Если говорить о внедрении, то там, как правило, быстрее. Сотрудники через год уже ведут небольшие самостоятельные проекты. На отдельных продуктах, которым они обучились, они могут их установить, развернуть и так далее.

Совсем простые продукты, которые устанавливаются на рабочие места, мы часто поручаем устанавливать студентам. Но если говорить о серьезных решениях в области информационной безопасности, то тоже требуется минимум год-два для того, чтобы сотрудник мог квалифицированно работать.

Оскар Ягафаров:

Вопросы информационной безопасности, конечно, щепетильные, но может быть, можешь интересным кейсом поделиться в плане защиты? Может быть, есть что-то, что можно рассказать?

Артём Нечаев:

Смотри, Оскар, кейсы все на поверхности. Мы можем далеко не ходить. Если говорить не про нас, а про общую тенденцию, то количество кибератак увеличивается, и увеличивается серьезно. Наверное, ты, присутствуя на мероприятиях от министерств и так далее, видишь эти диаграммы, где показатели плавно идут вверх.

Оскар Ягафаров:

Мы и на себе это чувствуем, и сами строим эти диаграммы.

Артём Нечаев:

Вот буквально перед 28 июля я летел утром в понедельник. У меня был большой задержанный вылет из Перми в направлении Минеральных Вод, и в Москве на пересадке я застрял. Застрял по одной простой причине: была взломана база «Аэрофлота», и были отменены десятки рейсов, которые планировались на тот день.

Это пример того, как информационная безопасность влияет на нашу жизнь. Буквально одновременно с этим было взломано несколько крупных столичных сетей аптек, речь идет о тысячах объектов. А 14 июля, насколько я знаю, была взломана также крупнейшая сеть «Винлап» (имеются в виду алкогольные супермаркеты, которых по России больше двух тысяч). Несколько дней все эти супермаркеты не могли работать, просто были закрыты.

Потери для бизнеса, сам понимаешь, исчисляются сотнями миллионов рублей, как и в случае с «Аэрофлотом», помимо отложенных проблем, связанных с убытками.

Оскар Ягафаров:

Знаешь, тут два больных вопроса, как мне кажется, в этой отрасли. Первый вопрос: не может же быть абсолютной защиты?

Артём Нечаев:

Абсолютная защита существует в принципе, если ты выключишь компьютер, положишь его в сейф, закроешь на ключ и поставишь к нему вооруженную охрану. Наверное, стопроцентная защита будет реализована. Опять же, если только метеорит не упадет, но это уже о «черных лебедях».

Конечно, стопроцентная защита недостижима, если ты хочешь, чтобы твой бизнес работал. Мы, как и любые другие вспомогательные сервисы, которые помогают бизнесу, в частности IT-инфраструктуре, работать, ориентируемся больше на то, чтобы не озадачивать клиента тем, что ему нельзя, а рассказать о том, как ему можно решить какую-то проблему.

Существуют различные подходы на этот счет. Мне больше импонирует подход, основанный на недопустимых событиях. Этот подход реализуется сверху вниз, когда топ-менеджмент, учредитель или генеральный директор формирует подход, исходя из которого он говорит о том, что такое-то событие, связанное с ИТ, повлечет для нас недопустимые последствия.

Например, потери 25% выручки либо простой в 5 дней — вот такие оцифрованные вещи, которые уже потом на более низких уровнях компании декомпозируются до конкретных мероприятий, которые могут предотвратить наступление этого события.

То есть мы не фокусируемся на том, чтобы защитить все. Это невозможно, так или иначе всегда будут какие-то открытые двери или лазейки для проникновения недоброжелателей, преступников. Поэтому мы закрываем только наиболее критические угрозы для компании, которые не позволят ей дальше работать и развиваться.

Оскар Ягафаров:

То есть такая классическая работа с рисками.

Артём Нечаев:

Да, это по сути риск-менеджмент. Мы определяем эти риски и стараемся их не допустить.

Оскар Ягафаров:

А второй вопрос связан с привлечением клиентов. Многие компании, работающие в информационной безопасности, говорят: надо провести пентест, показать уязвимости, после этого будет заказ. Возникает вопрос.

На рынке, как мне кажется, существует некоторый конфликт интересов. Пентесты и защиту понимает, наверное, глава IT-департамента, который за нее отвечает. С другой стороны, заказчиком пентеста по сути должен быть генеральный директор. Поэтому если спросить свой IT-департамент, он скажет, что у них все в порядке. Получается заколдованный круг: заказчик никогда к вам не придет, потому что директор, скорее всего, даже не встретится с вами как с инфобезопасниками.

Артём Нечаев:

Это классическая история развивающегося рынка, когда осознание реальности угрозы пока не находится в головах всех руководителей по умолчанию. Приходя на какой-то завод, генеральный директор одним из первых знакомится с директором по безопасности, но именно с классической безопасностью: когда периметр огражден, КПП работает, СКУД работает, все хорошо, задерживают пьяных, ловят правонарушителей.

Но в классическом понимании момент, связанный с IT-инфраструктурой, которая существует виртуально и которую можно пощупать только в виде материальных носителей, серверов, но не информационных потоков, которые мы обнаруживаем, когда перестает работать что-то на компьютере, — это пока не всегда на повестке.

Однако текущие тенденции ведут к тому, что технологические проблемы, которые обсуждались на уровне начальников АСУ или директора по ИТ, становятся предметом дискуссии генерального директора, членов совета директоров, учредителей. Потому что, как я показал на примере последних событий, они случаются достаточно часто. Мы в информационном поле видим только самые громкие случаи, а по факту инцидентов, которые происходят в России на крупных предприятиях, их даже не в разы, а на порядки больше.

Речь идет о сотнях тысяч инцидентов за один квартал. Осознание проблемы, связанной именно с информационной безопасностью, приходит потому, что работа любой компании так или иначе основана на ИТ. Открытая дверь в IT-инфраструктуру ведет к тому, что компания в какой-то момент не сможет работать, будет парализована.

Эта тенденция не может не радовать. Я надеюсь, что постепенная популяризация и объяснение руководителям компаний, что на эту отрасль надо обращать пристальное внимание не только тогда, когда что-то случилось у тебя или у соседа, даст результат. Когда прибегает партнер по бизнесу и рассказывает со слезами на глазах, как у него зашифровали все данные и требуют выкуп в сотни миллионов рублей — а это совершенно реальный кейс из пермских компаний, — это весомый аргумент.

Но, как правило, мотивация возникает, когда уже что-то случилось, а не тогда, когда надо просто заняться скучными делами: поработать с персоналом, чтобы они не открывали подозрительные ссылки в письмах, которые приходят на почту. Потому что те же 70–80% всех реализованных атак — это как раз фишинг. Сотрудник пришел на работу, пришло какое-то письмо, он ткнул, не подумав, что-то произошло, он не понял и забыл про это.

Потом в какой-то момент выясняется, что в информационной сети уже давно присутствуют недоброжелатели, которые развивают свое присутствие в этой инфраструктуре, конечно, скрытно. Об этом узнают уже потом, когда случается громкий инцидент.

Необходимо подумать о том, каким образом комплексно спроектировать систему защиты компании. Не просто купить антивирусы, раздать их и успокоиться на этом. Это организационная работа, которая связана с такими простыми вещами, как закрывать кабинет, выключать компьютер, не заходить по подозрительным ссылкам. Существует множество обучающих программ и компаний, которые специализируются именно на обучении сотрудников информационной гигиене.

Помимо покупки дорогостоящих продуктов (а они в области ИБ, особенно от ведущих производителей, действительно дорогие), гораздо эффективнее бывает провести не такую затратную работу по обеспечению информационной безопасности в компании. Это будет гораздо дешевле, чем потом решать проблемы уже «горящего здания», когда все сломалось, ничего не работает и все в панике.

На этот случай, когда что-то случилось, у компании должен быть план А, Б, С: что делать, к кому обращаться. Это тоже одно из мероприятий, которое необходимо заранее проговорить: кто за что отвечает, куда бежать, у кого спросить, откуда восстанавливать потерянные данные. Потому что если у тебя нет резервного копирования данных, то, извини, скорее всего, ты эти данные потеряешь, и сколько это будет стоить, одному богу известно.

Оскар Ягафаров:

У меня последний вопрос к тебе. Я знаю, что три недели назад ты вернулся из очередного покорения вершины. У нас в технологиях, да, технологический бизнес — это сложная задача, а ты еще увлекаешься походами в горы. В этот раз это был Эльбрус?

Артём Нечаев:

Да, в этот раз снова Эльбрус, в третий раз.

Оскар Ягафаров:

Третий раз на Эльбрус. Скажи, как это связано? Возможно ли это связано с твоей предпринимательской деятельностью? Где-то ты видишь похожие вещи? Или что, по-твоему, сложнее? Прокомментируй.

Артём Нечаев:

Наверное, во-первых, это место, где ты переключаешься. Это место, где ты находишься наедине с самим собой. В обычной жизни, в бизнесе, ты постоянно с кем-то общаешься, у тебя постоянно происходит куча встреч, задач, которые надо выполнить. Горы — это больше место, где ты как-то проживаешь все, что накопилось, в состоянии покоя.

При этом, чтобы подняться на вершину, тебе необходимо иметь мотивацию и возможность. Без здоровья ты этого не сделаешь, и без мотивации тоже, даже при наличии здоровья. Многие люди, которые идут в горы, даже спортсмены, троеборцы, марафонцы, не могут подняться, потому что не были так мотивированы.

А это тяжело. На самом деле тяжело идти в горы, потому что ты испытываешь много дискомфорта.

Альпинизм часто называют смесью неприятного с бесполезным. Зачем ты идешь в горы? Ответ каждый формирует для себя. Есть известная фраза: «Потому что они есть». Или потому что это один из способов того, как ты в себе реализуешь способность идти до какого-то результата.

Но результат… Ты должен понимать, что в какой-то момент, если этот результат будет несопоставим с затратами на него, например, с твоей жизнью, тебе лучше повернуть назад.

Наверное, в бизнесе так же: какие-то амбициозные задачи, если они влекут за собой глобальные потери и минусы для того же бизнеса, их надо как-то пересматривать и возвращаться к этому вопросу в будущем, если очень хочется, уже с новым планом, с новой подготовкой, с новой мотивацией.

Оскар Ягафаров:

Артем, спасибо за сегодняшнюю встречу.

Артём Нечаев:

Оскар, спасибо большое за беседу.

Оскар Ягафаров:

Итак, друзья, это был подкаст «Техпреды. Пермь». У нас сегодня в гостях был Артем Нечаев, руководитель компании «Центр РИС», резидент технопарка Morion Digital. Смотрите следующие выпуски нашего подкаста.

Глоссарий терминов:

Pentests: Penetration tests — тесты на проникновение в систему для выявления уязвимостей.

B2B: Business to Business — бизнес для бизнеса, модель взаимодействия между компаниями.

Фишинг  — метод мошенничества для получения конфиденциальной информации.