Евгений Соболев, генеральный директор «Ps.lab»: «Полноценного ИБ-рынка в Африке нет, его состояние напоминает Россию начала 2000-х годов»

Евгений Соболев, генеральный директор «Ps.lab», поделился с порталом Cyber Media своим опытом о развитии ИБ-рынка в Африке: о ключевых отличиях региона от России, региональной специфики, а также о проблемах, с которыми сталкиваются компании, работающие в сфере информационной безопасности в странах Черной Африки.

Cyber Media: На ваш взгляд, в чем заключаются ключевые отличия ИБ-ландшафта в Африке по сравнению с Россией?

Евгений Соболев: Главное отличие в том, что полноценного ИБ-рынка в Африке практически нет. Сейчас его состояние в большинстве стран Черной Африки напоминает Россию 90-х — начала 2000-х годов. Рынок информационной безопасности там только зарождается, адекватной конкуренции практически нет. Это классический «Голубой Океан».

Почему же эту нишу не заняли крупные международные компании? Причина — в специфике региона. Хорошие специалисты туда не стремятся, особенно если речь идет о переезде на длительный срок или ПМЖ. Как правило, туда отправляют стажеров и интернов. Например, в одном из крупнейших банков страны мы столкнулись с командой PWC. После нескольких встреч нашим специалистам удалось «задавить» их уровнем квалификации и вытеснить с проекта — просто потому, что от PWC на месте работали только стажеры. Квалифицированные сотрудники туда попросту не едут.

Еще один момент — особенности менталитета. Во многих странах вас не будут воспринимать всерьез, если у вас нет физического офиса и команды «на месте», желательно с экспатами. Как бы выгодно ни было ваше предложение, если нет реального присутствия в стране, работать с вами не захотят. Более того, удаленная работа зачастую технически затруднена: настройка удаленного доступа через роутер может занять месяц-два — настолько медленно решаются даже простые задачи.

Бывало, что к нам приводили целые делегации клиентов — просто чтобы лично убедиться, что высококвалифицированные специалисты действительно работают здесь, в офисе. На слово там никто не верит.

Есть и другие сложности — например, в некоторых странах проблемы с валютным регулированием и международными платежами. В Анголе компании встают в очередь, чтобы купить иностранную валюту. Из-за этого в случае финансовых трудностей первым делом режут расходы на услуги, оставляя только самые базовые вещи, вроде лицензий на антивирусы.

При этом отношение к ИТ там вполне нормальное, а пентесты производят настоящий wow-эффект. Мы продавали их как премиальные услуги по высоким ценам, а банки гордились сотрудничеством с нами и рекомендовали нас через «сарафанное радио». Но проблема в том, что квалификации для самостоятельного устранения уязвимостей часто не хватает. Поэтому хочешь не хочешь, а оказывать ИТ-услуги тоже приходится — например, за обновление pfSense на продакшене крупная компания могла заплатить серьезные деньги, хотя работы там на пару часов.

Конечно, не стоит думать, что во всей Африке ситуация одинаковая. В ЮАР, например, ландшафт информационной безопасности гораздо более развит.

Cyber Media: Какие методы и векторы атак наиболее популярны среди хакеров в Африке? Есть ли локальные группировки или почерк, который можно выделить? Как бизнес и госструктуры защищаются от таких угроз.

Евгений Соболев: Сложилось впечатление, что в Африке злоумышленники действуют гораздо менее активно, чем в других регионах. Видимо, они предпочитают более «богатые» цели. Но иногда происходят очень характерные случаи.

Например, у нас был кейс, когда одну и ту же компанию в течение двух недель зашифровали сразу три разные группировки. Каждая использовала свой шифровальщик, причем иногда один накладывался поверх другого. Это полностью нарушило работу — логистика подвоза наличности в банкоматы встала, образовались очереди, начался хаос. Клиент обратился к нам, но поначалу даже не осознавал, что его система зашифрована и что злоумышленники требуют выкуп. В итоге нам пришлось буквально с нуля строить для банка новую сеть.

Другой случай: после атаки с шифровальщиком вместо выкупа африканские сотрудники отправили злоумышленникам неприличное фото. Эта ситуация дает представление о местном отношении к подобным угрозам.

Что касается локальных злоумышленников, то чаще всего встречались наивные и даже «искренние» атакующие. Например, сотрудники одного предприятия, недовольные зарплатами, украли ведомости с окладами топ-менеджеров и стали анонимно распространять их на YouTube в рамках «борьбы за справедливость». Мы расследовали этот инцидент: организатор всей акции координировал действия через WhatsApp прямо с рабочего компьютера. Открываешь его — а там полная переписка с планированием, распределением ролей и обсуждением всех шагов.

В целом, наша работа в Африке была больше про повышение общего уровня информационной безопасности, чем про «охоту на хакеров». Большинство клиентов нуждались именно в системной защите, а не в реагировании на сложные кибератаки.

Cyber Media: Как сейчас обстоят дела с ИБ-решениями в Африке? Насколько там распространены передовые технологии кибербезопасности, какие ниши пока остаются свободными?

Евгений Соболев: Передовые ИБ-решения в Африке встречаются, но проблема в другом — очень мало специалистов, которые умеют с ними работать. Мы сталкивались с ситуацией в одном из крупнейших мобильных операторов: после инцидента выяснилось, что логи хранятся всего пять минут. При этом сами технологии могли быть вполне современными.

В некоторых банках на всю компанию приходится один человек, отвечающий за информационную безопасность. Поэтому там особенно ценятся специалисты, которые готовы работать «на земле».

Свободных ниш в Африке много, экономики многих стран сейчас растут. Но нужно учитывать местную специфику: заказчики часто действуют медленно, решения принимаются долго, а к процессам в целом относятся спокойно. Если вы готовы к такому ритму и рассматриваете переезд, здесь вполне можно найти свою нишу.

Качественные ИТ-услуги чаще всего предоставляют компании из стран бывших метрополий, которые поддерживают свои бизнесы в Африке. Но такие услуги обычно очень дорогие для местного рынка, а локальный бизнес традиционно предпочитает работать со «своими».

Cyber Media: Есть ли спрос на российские ИБ-продукты в Африке? Какие решения могли бы занять там свою нишу и что может помешать их распространению?

Евгений Соболев: К российским технологиям и специалистам в Африке относятся хорошо, особенно в странах, которым в свое время помогал СССР. Про продуктовую часть не могу подробно рассказать, потому что сам работал в основном в сфере услуг.

Что точно могу сказать — в большинстве стран нет собственных SOC. Интернет нестабильный, подключать SOC из других континентов сложно. Поэтому вижу здесь большую возможность: строить локальные центры безопасности с квалифицированными кадрами на месте. Это реально востребовано.

К слову, даже 1С сейчас активно продвигается в Африке, так что интерес к российским решениям там есть.

Cyber Media: Какие культурные, инфраструктурные или регуляторные особенности Африки влияют на работу в сфере информационной безопасности? Как вы адаптируете свои подходы под эти условия?

Евгений Соболев: Иногда при регистрации компании здесь все происходит очень медленно — могут как бы намекать на взятку, чтобы ускорить процесс. Но в целом вполне реально оформить все официально, без коррупционной составляющей и почти бесплатно. Видел, как русские ребята открывали филиал Yandex Taxi (YanGo): с нуля создавали юрлицо, открывали счета в банках. Местные власти идут навстречу, радуются таким активностям, хоть бюрократия на местах и присутствует. Работает вежливый, настойчивый подход.

При этом иногда быстрее и эффективнее решить вопрос, если помочь нужному человеку уладить какую-то его личную проблему. Взамен можно получить отличную помощь в своих делах. Это такая «красная линия» работы в регионе — начиная с оформления виз и заканчивая бытовыми вопросами. Бывают даже забавные случаи: однажды наша сотрудница случайно прошла мимо таможни без проверки документов и спокойно вышла в город.

Интернет в Африке дорогой, но есть быстрый широкополосный доступ. Правда, бывают обрывы кабелей между материками — и тогда может «лечь» пол-интернета. Поэтому, например, строить удаленный SOC здесь — дело рискованное.

Что касается адаптации — важно привыкнуть к особенностям местного менталитета. К пунктуальности здесь относятся расслабленно. Опоздание на два часа считается нормой. Могут забыть про встречу или отменить ее за пять минут до начала. На свадьбу можно прийти на час позже — и ресторан все еще будет закрыт. Но если сохранять вежливость и демонстрировать компетентность — к вам будут относиться с уважением.

Cyber Media: Поделитесь интересным и показательным кейсом пентеста в Африке? Какие необычные уязвимости или сценарии атак вам доводилось встречать?

Евгений Соболев: Был случай в одной крупной и важной организации. Когда-то давно там неправильно спроектировали систему: сервис платежной системы работал не из-под специальной сервисной учетной записи, а от имени обычного пользователя. Во время пентеста мы нашли, что пароль у этой учетки крайне простой — и через него можно полностью скомпрометировать весь домен и всю инфраструктуру компании. Причем доступ был возможен прямо с внешнего периметра через интернет.

Казалось бы, уязвимость очевидная и исправляется быстро. Но самое интересное, что даже спустя четыре следующих пентеста ничего не изменилось. Почему? Этот пароль оказался жестко зашит во множестве платежных систем. Если его сменить в AD, остановятся все критически важные бизнес-процессы.

Никто не хочет брать на себя такую ответственность — мало кто понимает, как все реально связано внутри, а разработчиков этих систем давно уже нет. В итоге критические процессы для самой компании работают как «черный ящик». И без дубляжа систем, без понятной схемы работы сменить пароль без риска полного краха невозможно.

Cyber Media: Как, по вашему мнению, будет развиваться рынок ИБ в Африке в ближайшие 5-10 лет? Какие тенденции уже сейчас заметны, и чего стоит ожидать дальше?

Евгений Соболев: Скорость роста экономики африканских стран весьма внушительная. Очень скоро этот регион займет свое заслуженное место и станет местом освоения иностранными компаниями. Пока это «голубой океан». Китай это уже понял, и он уже повсюду в Африке.