Подкаст «Техпреды.Пермь» с Андреем Дьяковым

В подкасте «Техпреды.Пермь» директор Morion Digital Оскар Ягафаров берёт интервью у резидентов технопарка, которые делятся секретами успеха технологических предпринимателей.

Герой очередного подкаста — Андрей Дьяков, генеральный директор компании «Центр информационной безопасности».

Посмотреть интервью можно по ссылке.

— Тема информационной безопасности волнует всех, особенно интересно, как развиваются стартапы и бизнесы в этой отрасли. Расскажи про свой путь. С чего ты начинал, когда понял, что хочешь заниматься информационной безопасностью? И что представляет собой компания сегодня.

— Недавно мы отметили 12 лет компании. Весь этот срок я был ее руководителем.  Начинал этот стартап я один. Потом нас стало двое-трое, компания росла. Информационная безопасность интересовала меня с университета, я тогда увлекался тем, что искал уязвимости в промышленных компаниях. Им я изначально предлагал услуги по тестированию на проникновение, по взломам предприятий. Пытался построить бизнес-модель: за небольшие деньги демонстрировать возможность взлома, а потом закрыть уязвимости за более серьёзные деньги. Так проработал порядка 4-5 лет. После этого силы и средства были брошены на получение лицензий, которые обеспечивают возможность работы с крупными заказчиками, государственным сегментом, оборонными предприятиями.

— Какие интересные объекты защищали?

— Из крупнейших российских гигантов — «Ростех», «Росатом» и «Росморпорт». На этих трёх «столпах» и их подразделениях мы провели много разных работ: от проектирования и консультаций до внедрения систем и сдачи их контролирующим органам. Кроме того, у нас в клиентах оборонка, о ней говорить по понятным причинам не будем.

Самая широкая география — у «Росморпорта». Это практически все порты России: от Азово-Черноморского филиала, через Севморпуть до Дальнего Востока. Лично я был на всех филиалах от Калининграда до Сахалина, Магадана. Даже в эксклюзивных городах, о которых мало кто слышал, например, Певек, где стоит единственная в мире плавучая атомная станция «Академик Ломоносов». Она «питает» значительную часть промышленности на Чукотке.

— Мне кажется, вы меняете преставление о том, что айтишники всё время сидят в офисе.

— Наши будни связаны с большим количеством перелётов. Некоторые сотрудники проводят в командировках более ста дней в году. Время в воздухе меряется днями, а не часами. Чаще всего выезжаем на обследование объектов, чтобы создать проект системы защиты информации. Потом следующая бригада едет на настройку и интеграцию систем безопасности.

— Как устроен рынок? Есть ли зарубежные вендоры, которые ушли? Остались ли ниши для российских компаний?

— Зарубежные ушли, остался небольшой перечень незаменимого импорта. Если вы вендор из списка, можно попытаться привезти оборудование. Всё остальное приходится искать на российском рынке. Люди разрабатывают, получают лицензии, сертифицируются, поставляют. Кто делает это лучше — выигрывает, хуже — проигрывает. Рынок, ничего более.

— Надо уходить от импортозависимости, особенно в госбезопасности или атомной отрасли. Вряд ли можно полагаться на нероссийские решения.

— Да, государство чётко говорит: есть 187-й федеральный закон. Согласно ему, вы должны определить, являетесь ли объектом значимой инфраструктуры. Если да — защищайтесь российскими средствами защиты информации.

— Этот закон о критической инфраструктуре помогает продавать услуги по ИБ?

— Совершенно верно. К сожалению, в Пермском крае к этому закону пока относятся снисходительно. Стараются затянуть время, не подают вовремя данные в ФСТЭК, не определяют свою значимость.

— Почему важно соблюдать закон о защите КИИ? О чём речь? Какие последствия взлома?

— Чтобы понять, возьмём топовые пермские предприятия в сфере водоснабжения, электроснабжения, ГЭС, оборонные предприятия. Проникновение злоумышленника из другого государства в инфраструктуру даёт возможность управления технологическими процессами. Водоснабжение города можно его прекратить. А остановка теплоснабжения зимой для миллионного города грозит огромными проблемами. То же с ГЭС и другими жизнеобеспечивающими предприятиями.

— Ты говоришь, что не все соблюдают закон. Как это может быть?

— Не совсем так. По закону сначала нужно пройти процедуру категорирования. Государство определило, что есть четыре категории значимости объекта, исходя из масштаба возможных последствий. Каждое предприятие должно пройти эту процедуру и направить данные в ФСТЭК, которая оценит, правильно ли предприятие оценило риски, и согласует категорию. В зависимости от неё строится система защиты. Также процедура категорирования нужно для того, чтобы, скажем, маникюрный салон не написал себе высшую категорию и не строил защиту за 500 миллионов.

— Работают ли в данном случае экономические принципы? Скажем, руководитель осознаёт, что если не обеспечит безопасность, данные могут зашифровать, и он потеряет деньги. Соответственно, лучше заплатить 10% от возможного ущерба за ваши услуги.

— Предприятие должно само просчитать возможные экономические потери. При этом зачастую руководитель изучает первые две страницы этого отчёта и дальше не читает. Сейчас возникла практика внедрения программы «Bug Bounty» на предприятиях. То есть, владелец компании предлагает миллион тому, кто его взломает. А с другой стороны — его админы, безопасники, которые его защищают. Если его взломают за этот миллион, у него есть повод спросить их: «А зачем я вам зарплату плачу?»

— Можешь рассказать самые яркие кейсы из практики?

— Мы проводили процедуру тестирования на проникновение для крупного банка из первой десятки России. В конечном счёте добрались до серверов SWIFT, до серверов центра банка по обмену данными, смогли пробить внешний периметр. Так что припарковавшись рядом с этим банком в такси и имея ноутбук, можно было захватить контроль над серверами с очень крупными суммами, над серверами SMS-авторизации и отправить себе хоть 5, хоть 10 миллионов.

Банк попытался устранить эту проблему и пытается каждый год, обращаясь к нам за новой процедурой. Мы проводим её снова. Но у них не хватает компетенций, а также велика бюрократия. Они ничего не могут сделать на уровне инженера, который понимает серьёзность проблемы.

— Насколько конкурентный сейчас рынок?

— Рынок ещё не закончил формирование. Кто-то вырос, кто-то нашёл ниши, кто-то работает. Но всё ещё слишком большая распределённость задач и слишком мало нормативной документации c с точки зрения регуляторов для точного определения правил.

— На таком этапе логична покупка сравнительно небольших компаний. У вас покупали?

— Нас пробовали купить. Мы не продались. Знаю ряд компаний, которые продались. Не знаю, жалеют они или нет. Нам пока не предложили столько, чтобы мы согласились.

— Сейчас появляются специализации в университетах по ИБ. Но я знаю, что даже по нашим соревнованиям в технопарке участвуют школьники, которые интересуются этой темой. С твоим опытом, что посоветуешь начинающим? Что читать, смотреть, изучать?

— Когда к нам приходят на собеседование выпускники вузов, я обычно говорю: сначала определитесь для себя, кто вы вообще — документальщик или технарь. Прежде чем советовать выбор специальности, рекомендую начать с себя и дать точный ответ на этот вопрос. Хотите ли вы работать с бумагами, заполнять документы, проектировать? Или хотите работать с техникой? И уже после этого выбирать специальность.