Андрей Масалович, КиберДед: Если вас не атаковали сегодня, значит, вы просто в планах на завтра

Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche. В интервью для Cyber Media поговорили с ним про эволюцию методов киберразведки, специфику OSINT и о том, почему в современном мире информационное сопровождение инцидента зачастую важнее технического восстановления.

Cyber Media: Андрей, ранее вы оценивали перспективы российских ИБ-компаний на международной арене. Как изменилась ситуация за последние годы? Удалось ли отечественным вендорам реализовать свой экспортный потенциал?

Андрей Масалович: Глобальные тренды, как правило, развиваются медленнее, чем нам кажется в моменте, но проникают гораздо глубже. Сейчас мы наблюдаем четкое расслоение рынка. Крупные игроки, «тяжеловесы», которые изначально строили бизнес с прицелом на глобальную экспансию, чувствуют себя уверенно. Возьмите группу Cognitive Technologies: они делают продукты мирового класса на базе искусственного интеллекта для беспилотного транспорта и агротеха, и спрос на них только растет, невзирая на геополитику. Positive Technologies и «Лаборатория Касперского» также продолжают удерживать позиции, поскольку давно стали международными брендами, и их решения глубоко интегрированы в инфраструктуру заказчиков по всему миру.

Однако в сегменте малого и среднего бизнеса массового прорыва, увы, не случилось. У небольших компаний пока нет того, что я называю «экспортным мышлением». Отсутствует здоровая наглость и амбиция: «Я создал классный продукт, теперь пойду на мировой рынок и буду зарабатывать в твердой валюте». Многие сжались, испугались санкций или просто не знают, с чего начать. И это колоссальное упущение. По моему личному опыту, прошлый год был на 90% посвящен зарубежным проектам, и именно внешние рынки — Азия, Ближний Восток, Латинская Америка — принесли основную прибыль. Там нас ждут, там есть запрос на независимые от Запада технологии безопасности, но нет массового желания российских компаний за этот рынок драться.

Информационная часть атаки сейчас важнее, чем техническая

Cyber Media: В этом контексте часто упоминается институт «цифровых атташе». Насколько этот механизм эффективен на практике?

Андрей Масалович: Идея была отличная — по сути, попытка возродить институт торговых представителей, который эффективно работал в советское время. Тогда сотрудники Минторга реально помогали продвигать отечественную продукцию, зачастую лучше, чем дипломаты, потому что были ближе к «земле» и бизнесу. Несколько лет назад этот опыт решили перенести на IT-отрасль, чтобы специальные люди при торгпредствах помогали нашим айтишникам заходить в кабинеты местных заказчиков.

Но на текущий момент, будем честны, «цифровые атташе» занимают довольно пассивную позицию. Чаще всего их работа сводится к ожиданию входящих запросов: помочь с участием в выставке, переслать письмо или организовать визит делегации «для галочки». Это не продажи. Если бы их эффективность оценивали жестко — по объему заключенных экспортных контрактов в долларах или юанях, — картина была бы печальной. Механизм запущен, люди на местах сидят, зарплату получают, но они пока не стали тем локомотивом, который сам, на своей энергии, тащит российский бизнес на зарубежные рынки и пробивает административные барьеры.

Cyber Media: Вы — признанный эксперт в сфере конкурентной разведки. Как эволюционировали методы и инструменты в этой области за последние десятилетия?

Андрей Масалович: Разведка стара как мир. Шутка ли, но первым оператором разведывательных дронов был Ной, выпустивший сначала ворона, а потом голубя, чтобы узнать обстановку. До середины XX века доминировал классический агентурный шпионаж, но затем спецслужбы изобрели OSINT (разведку по открытым источникам). Долгое время бизнес игнорировал это направление, считая методы слишком специфичными. В России 90-х мы занимались скорее примитивной безопасностью и контрразведкой — проверяли благонадежность партнеров, искали «жучки» в переговорках и смотрели, не бандиты ли наши контрагенты.

Тектонический сдвиг случился после 2004 года с появлением социальных сетей, а затем и смартфонов. Люди сами начали выкладывать о себе всё: где они, с кем они, что едят и о чем думают. Этические барьеры рухнули, приватность умерла. А последние три года мы живем в условиях того, что я называю «звериным» капитализмом. Рынок перестал быть тепличным, «пирог» сжался, конкуренция обострилась предельно. Теперь нельзя просто хорошо работать. Чтобы выжить, нужно либо дьявольское везение, либо умение грамотно подсмотреть, что делает конкурент, найти его уязвимость и перехватить инициативу. Поэтому сегодня конкурентная разведка — это не поиск компромата в грязном белье, а необходимый инструмент для принятия стратегических решений: куда идти, с кем дружить и кого опасаться.

Cyber Media: Где именно проходит тонкая грань между легальным сбором информации (OSINT) и нарушением закона?

Андрей Масалович: Это самый частый вопрос. База для нашей работы — 29-я статья Конституции РФ: каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, если это не гостайна. То есть всё, что лежит в открытом доступе — в интернете, в реестрах, в СМИ, — можно изучать. Однако, как только вы начинаете эти данные накапливать, систематизировать или обрабатывать автоматизировано, вы вступаете на минное поле.

Главное правило разведчика — «не наследи». Существует около 40 нормативных актов, которые нужно учитывать, но я выделяю три главных «красных флага». Первое — персональные данные. Вы не можете хранить и передавать чужие персональные данные, если вы не официальный оператор и у вас нет согласия субъекта. Второе — вредоносное ПО. Вы не можете использовать софт, который закон трактует как вредоносный, для добычи этих данных (взломы, трояны). И третье — критическая инфраструктура и гостайна. Категорически нельзя касаться тем, связанных с ВПК, секретами родины и объектами КИИ. Если вы соблюдаете цифровую гигиену, не лезете в закрытые контуры и не нарушаете этику, работать можно вполне эффективно, оставаясь в правовом поле.

Cyber Media: Какие угрозы в сфере информационной безопасности вы считаете наиболее критичными прямо сейчас?

Андрей Масалович: Главная угроза находится не в компьютере, а у нас в голове — это беспечность. Нужно исходить из парадигмы: если вас не взломали сегодня, значит, вы просто стоите в графике у хакеров на завтра. Сейчас время целевых атак: злоумышленники могут сидеть в инфраструктуре компании месяцами, тихо изучая бизнес-процессы, документооборот, цепочки поставок, и только потом нанести точечный, разрушительный удар.

Второй важнейший тренд — смещение фокуса с технического взлома на информационный ущерб. В условиях гибридной войны «уронить» серверы или зашифровать базу данных — это полдела. Куда важнее и страшнее то, как компания будет выглядеть в публичном поле после инцидента.

Показателен пример «Аэрофлота»: их серьезно взломали, но они настолько грамотно отработали информационную повестку, не стали врать, не дали себя «похоронить» в СМИ и панике, что их акции после короткой просадки даже выросли. Сейчас PR-сопровождение инцидента, умение «держать лицо» и гасить панику становятся важнее, чем скорость восстановления бэкапов. Информационное эхо атаки живет дольше, чем сама атака.

В основе любой успешной хакерской атаки лежит плохо организованная защита

Cyber Media: Какие сценарии использования OSINT-платформ сейчас наиболее востребованы у заказчиков?

Андрей Масалович: Если говорить о государственном уровне, то здесь растет спрос на раннее предупреждение социальных угроз. Обычный мониторинг соцсетей дает лишь «белый шум» — списки тысяч подозрительных групп, миллионы комментариев. Это невозможно обработать. Наша технология Avalanche позволяет из этого шума вычленять структуру: кто организатор, кто куратор, как финансируется деструктивное сообщество. Это дает правоохранителям конкретные цели для работы, а не просто статистику «гнева в интернете».

В бизнесе задачи делятся на тактические и стратегические. Тактика — это классическая проверка контрагентов («пробивка») и выявление связей с криминалом. Но сейчас бизнесу всё чаще нужны так называемые Battlecards («карты битвы»). Руководители хотят знать не просто «всё о конкуренте», а конкретику для войны за рынок: на каких именно продуктах он зарабатывает маржу, где у него кассовый разрыв, какие ключевые сотрудники недовольны и готовы уйти, в каких регионах он нас теснит. Это уже не просто справка о безопасности, это аналитика для агрессивного захвата рынка и выживания.

Cyber Media: Вы упомянули технологию Avalanche. Каковы планы по развитию вашего продукта?

Андрей Масалович: Avalanche создавался еще на базе опыта работы в ФАПСИ, когда в 90-е стало понятно, что стране нужен свой суверенный инструмент для работы в информационном поле. Мы прошли большой путь, активно работали во время событий «арабской весны», предсказывая беспорядки по активности в соцсетях, работали по Болотной площади, действуя тихо и эффективно, в отличие от громких и топорных «фабрик троллей».

Обычно софт живет лет десять, потом устаревает. Но Avalanche переживает вторую молодость. Во-первых, мы нашли огромный рынок в странах «Глобального Юга» — Азии, Африки, Латинской Америки. Им нужны инструменты независимости. Технологии, которые нам в России кажутся привычными, там воспринимаются как космический прорыв. Во-вторых, мы интегрировали в систему современные нейросети и мощные модули визуализации. Раньше аналитик тратил часы на чтение текстов, теперь ИИ подсвечивает паттерны, а графы связей показывают скрытых бенефициаров. Оказалось, что многие сложные задачи решаются быстрее, если данные правильно и красиво отрисовать. Так что у нашего «ветерана» появилось новое сердце на базе ИИ и современные «глаза».

Cyber Media: Видите ли вы прямых конкурентов вашей технологии на российском рынке?

Андрей Масалович: Мы существуем в параллельных реальностях с большинством игроков. Рынок в основном предлагает системы мониторинга. Их задача — «накрыть площадь», собрать максимум упоминаний бренда, посчитать лайки и репосты. Для этого нужны огромные серверные мощности и хранилища. Мы же занимаемся разведкой и расследованиями — это точечная работа, требующая других алгоритмов. Мы не пылесосим весь интернет, мы ищем иголку в стоге сена, а потом выясняем, кто эту иголку туда положил.

Но главное наше отличие — это люди. Avalanche — это не просто «коробка» с софтом, это команда аналитиков, часто выходцев из спецслужб, со специфическим мышлением. Продать клиенту сложную систему разведки без обучения и методической поддержки — это как посадить обывателя в кабину истребителя: кнопок много, лампочки мигают, а полететь и выполнить боевую задачу не получится. Клиенты обычно приходят к нам, когда стандартные мониторинговые системы уже не справляются со сложной, нестандартной задачей.

Cyber Media: Что бы вы посоветовали молодым специалистам, желающим развиваться в сфере киберразведки?

Андрей Масалович: Я бы советовал строить не просто карьеру, а траекторию жизни. Это марафон, а не спринт. Школьникам стоит начинать с CTF (Capture the Flag) — это лучший способ в игровой форме тренировать мозги, понять логику уязвимостей и научиться работать в команде. Обязательно нужно смотреть записи профильных конференций, таких как Positive Hack Days — это кладезь актуальных знаний, которых нет в учебниках.

Выбор вуза зависит от вашей глобальной цели. Если нужно фундаментальное системное мышление, математическая база, которая не устареет никогда, — идите на ВМК МГУ. Если хотите стать лучшим «хакером», кодером и побеждать в международных соревнованиях — вам прямая дорога в ИТМО. Если цель — профессиональная безопасность, работа с «железом», госсектор или крупный ВПК — выбирайте МГТУ им. Баумана.

А дальше есть три пути. Можно пойти в крупную корпорацию за стабильностью, соцпакетом и строчками в резюме. Можно выбрать академический институт: денег поначалу будет меньше — условно, «макарошки вместо креветок», — но вы научитесь смотреть на проблемы глобально, получите научную степень и уникальный кругозор. Или же третий путь для самых дерзких — создавать свой стартап, пока есть энергия, драйв и право на ошибку. Главное не терять любопытства. Разведчик умирает, когда перестает удивляться.