Алексей Новиков, Positive Technologies: В идеальной картине мира не должно быть проектов по цифровизации без информационной безопасности

Директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков рассказал порталу Cyber Media о ситуации на рынке кибербезопасности после 24 февраля, росте числа хакерских атак и перспективах импортозамещения в отрасли.

О компании Positive Technologies:

Positive Technologies — ведущий разработчик решений для информационной безопасности. Наши технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400». Уже 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям. Positive Technologies — первая и единственная публичная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI).

Алексей Новиков: Имеет профильное образование по специальности «Компьютерная безопасность», ведет авторский курс по расследованию и реагированию на киберинциденты в МГТУ им. Баумана.

В сфере практической информационной безопасности работает с 2005 года. Начал свой карьерный путь в качестве инженера первой линии SOC (Security Operation Center). К сегодняшнему дню имеет опыт руководства командой, нацеленной на обнаружение и предупреждение кибератак, работы в национальном CERT, развития государственной системы обнаружения и предупреждения компьютерных атак и ликвидации их последствий и международного взаимодействия в соответствующей сфере.

К команде Positive Technologies присоединился в 2016 году и возглавил экспертный центр безопасности (PT Expert Security Center). В зону его ответственности входят экспертные сервисы компании, связанные с реагированием на инциденты и расследованием компьютерных преступлений, оценкой защищенности внешнего периметра, а также обеспечение работы центра ГосСОПКА. Под его руководством расследованы несколько десятков инцидентов, связанных с активностью различных кибергруппировок.

Cyber Media: Ваша компания больше 20 лет на рынке. Как в текущих условиях изменился спрос на услуги и продукцию?

Алексей Новиков: Моё подразделение в основном занимается расследованием инцидентов. В последние месяцы российские компании подвергаются беспрецедентному количеству кибератак, и кибербезопасность, ожидаемо, стала одной из ключевых повесток в стране. Российский рынок практически одновременно покинули десятки крупных иностранных игроков, среди которых IBM, Microsoft, Dell, Cisco и другие известные мировые бренды. Ряд экспертов уверен, что в результате такого исхода высвободятся до 80 млрд. рублей в общем объеме рынка информационной безопасности (который, к слову, по тем же оценкам сейчас чуть больше 180 млрд руб.). При этом спрос на продукты ИТ-отрасли стремительно растет. Информационная безопасность стала базовой потребностью для российского бизнеса и государства в целом. И сегодня мы наблюдаем взрывной рост спроса на наши услуги: работы по анализу защищенности увеличились в два раза, а в расследовании инцидентов — в три. Так, например, по итогам первого полугодия, объем продаж у нас вырос на 72% по сравнению с аналогичным периодом прошлого года и составил 3,1 млрд. рублей.

Cyber Media: Вектор на импортозамещение набирает обороты. Как ваши продукты смогут закрыть те сегменты, откуда ушли западные вендоры?

Алексей Новиков: Мы предлагаем самую широкую линейку средств защиты для enterprise-компаний. Наши продукты и сервисы проверены огромным количеством компаний на рынке.

К примеру, доля Positive Technologies на российском рынке SIEM превышает 30%. В 2021 году наш продукт MaxPatrol SIEM оказался в топ-20 мировых SIEM-систем и мы вошли в тройку глобальных лидеров по приросту продаж (85%) — по данным IDC.

По продуктам наибольшее число запросов в эти полгода пришлось на оперативную поставку межсетевого экрана уровня приложений PT Application Firewall, что объяснимо в контексте того, что его можно очень быстро, экстренно развернуть, а его эффективность по защите периметра высока даже в случае атак более серьезных, нежели банальные DDoS-атаки. Второй по частоте запросов сейчас PT Network Attack Discovery — система анализа трафика, позволяющая очень точно выявлять хакерскую активность прямо в трафике. Кроме того, растут и запросы на песочницу PT Sandbox.

Cyber Media: То есть пул решений у вас был еще до ухода западных компаний?

Алексей Новиков: Сейчас у нас больше 15 продуктов и решений. Мы всегда успешно конкурировали на рынке в своих классах, в том числе и с западными вендорами.

Cyber Media: Вы считаете текущий период временем благоприятных возможностей?

Алексей Новиков: Основной пул продуктов нашей линейки сформирован. Многие из них на рынке уже три и более лет – они апробированы, испытаны и востребованы нашими клиентами. В большинстве случаев, наши продукты сегодня — это история с большим бэкграундом, а не что-то вновь создающееся.

Cyber Media: Вы сказали, что зафиксировали рост количества кибератак в три раза...

Алексей Новиков: Не кибератак, а именно запросов на расследование инцидентов. Необходимо четко отличать кибератаку от инцидента. Кибератака — это попытка хакера проникнуть внутрь инфраструктуры компании, ну, скажем, это отправка фишингового письма. А вот если пользователь открыл это письмо и его компьютер заразился, это уже инцидент. Возросло количество именно инцидентов, то есть успешных атак.

Cyber Media: Какие инструменты и алгоритм работы вы используете, когда к вам обращается клиент?

Алексей Новиков: Всё зависит от типа компьютерного инцидента. Чем он был вызван, какими условиями? Их можно типизировать на шифрование инфраструктуры, кражу данных и обнаружение инструментария хакеров.

Дальше мы получаем имеющуюся техническую информацию от самой компании и начинаем проводить технический анализ инфраструктуры. У нас есть специализированный инструментарий. С его помощью мы собираем специальные артефакты, по которым восстанавливаем хронологию событий и действий хакеров в инфраструктуре.

Это помогает нам понять, как хакер попал в инфраструктуру, что он смог сделать, а что не смог. Самое главное — это помогает нам рекомендовать, что сделать, чтобы в компании больше такого не повторялось. Это плотная работа с IT-службой, службой информационной безопасности атакованной компании, чтобы быстрее собрать данные по локализации инцидента.

Зачастую хакеры видят уязвимость, взламывают, и только после этого начинают разбираться, что это была за уязвимость и что это за система.

Cyber Media: Как изменилось количество кибератак после начала спецоперации на Украине?

Алексей Новиков: Атакуют всех. Число кибератак на российские ресурсы с марта 2022 года выросло на порядок. Основная причина в том, что изменилась сама парадигма противостояния в киберпространстве: сейчас на стороне атакующих стало «модным» напрямую призывать граждан к атакам на российский сегмент интернета, для координации процесса выделяются отдельные люди, создаются специализированные чаты и пр. К примеру, в специальных Telegram-каналах сегодня вполне открыто публикуются посты, где даются четкие инструкции на простейшем уровне: в прямом смысле пошаговые – что где скачать, на какую кнопку нажать. В результате все большее число неопытных пользователей вовлекаются в процесс атаки. Их в прямом смысле слова берут под управление и направляют на конкретную цель.

Cyber Media: В сфере кибербезопасности сейчас не хватает кадров. Ваша компания как-то готовит специалистов?

Алексей Новиков: Мы даем рекомендации, как улучшить безопасность. У нас также есть пул консалтинговых услуг, куда входят в том числе курсы повышения квалификации для специалистов в области информации по работе с нашими продуктами. Плюс мы периодически объявляем программы стажировки, чтобы пополнить свою скамейку запасных и часть кадров отдать в рынок.

Недавно у нас начал работать проект «PT Career Hub», в рамках которого мы оказываем бесплатные услуги по подбору ИБ-специалистов для наших клиентов. После трудоустройства взаимодействие не заканчивается, мы повышаем экспертизу выбранных специалистов — обучаем работе с нашими продуктами, технологиям и делимся актуальной информацией в сфере ИБ. Цель проекта — помогать формировать сильные команды кибербезопасников.

Также в компании с 2012 года существует программа Positive Education. В ней участвуют такие учебные заведения России, как МГУ, МИФИ, МГТУ, МАТИ, СПбГЭУ, НГУ, ДВФУ, ОмГТУ, ТУСУР, ХИИК и другие. В рамках программы мы предоставляем необходимые компоненты для создания практических учебных программ, включая стенды виртуальных инфраструктур, программные продукты для проведения работ, теоретический материал к практикумам, пошаговое описание лабораторных работ и др.

Cyber Media: Какими вы видите перспективы развития рынка и отрасли в целом?

Алексей Новиков: Я всегда привожу пример с правилами дорожного движения. Как только ребенок начинает ходить, мы его подводим к зебре и говорим: «Вот зебра, вот светофор, прежде, чем шагать, — посмотри налево, посмотри направо».

В сфере цифровизации должно происходить аналогичное. Как только появляются идеи о трансформации, цифровизации, улучшении бизнес-процессов, должен срабатывать триггер кибербезопасности. В идеальной картине мира не должно быть проектов по цифровизации без учета требований по информационной безопасности. А цифровизацию, как вы понимаете, не остановить – поэтому, конечно же, и рынок информационной безопасности будет развиваться бурно.

Помимо уже названных причин можно отметить и действия государства. Благодаря майскому указу* всё больше внимания будет привлекаться к информационной безопасности. Власть призвала организации заняться своей кибербезопасностью реально, а не для галочки, и намерена способствовать этому процессу. Это важный шаг. Я надеюсь, что он поможет перевести защищенность наших компаний от кибератак на новый уровень.

* Указ президента Российской Федерации «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 01.05.2022.