Денис Баранов: «Вся страна сейчас превратилась в один большой киберполигон»

В конце 2021 г. Positive Technologies стала первой российской компанией в сфере кибербезопасности, которая провела IPO, разместив свои акции на Московской бирже. Ее капитализация составила 57,6 млрд руб. Во II квартале 2022 г. продажи компании выросли на 36% год к году до 2 млрд руб., а по итогам первого полугодия – на 72% до 3,1 млрд руб. Этому способствует ситуация на локальном рынке: оставшись без иностранных конкурентов, компания начала стремительно занимать освободившиеся ниши и вести активную кадровую политику, нанимая оставшихся в России IT-специалистов.

Весной Positive Technologies приняла участие в расследовании одной из самых громких кибератак рунета, едва не стоившей сервису Rutube исходного кода и библиотеки видеоконтента. В интервью «Ведомостям» генеральный директор, член совета директоров ПАО «Группа Позитив» (головная компания бренда Positive Technologies) Денис Баранов рассказал о том, чем отличаются кибератаки образца 2022 г., почему мошенников больше не интересует финансовая выгода и почему рынок информационной безопасности будет расти всегда.

– Да, все технические данные, собранные нами во время расследования, переданы Rutube, и дальше они работают с ними самостоятельно.

– В данном случае стоимость атаки была незначительной. Она не потребовала существенных затрат на аренду большого количества ресурсов, в ней не использовался специфический инструментарий, который стоит больших денег.

По уровню сложности это была базовая атака, хотя по сути она была спланированной, нацеленной на уничтожение инфраструктуры хостинга. Такие атаки обычно требуют времени для того, чтобы злоумышленник смог разобраться с внутренней IT-инфраструктурой. В случае с Rutube атакующим понадобилось два месяца, в течение которых они изучали работу сервиса изнутри, присматривались, как можно нанести ему максимальный урон.

– Это работает так: атакующий получает доступ всего лишь к одному устройству внутри сети компании, с обычными правами. Если речь идет об атаке на сотрудника, то его можно обмануть и сделать так, что он сам передаст злоумышленнику все права доступа к своему устройству. Всего-то и нужно, чтобы пользователь что-то кликнул или установил. В том же случае, если взламывают периметровую систему, достаточно одной уязвимости, чтобы получить доступ к инфраструктуре с базовыми правами.

Обычно права атакующего в сети после первоначального входа в инфраструктуру минимальны. А вот дальше уже он осматривается, понимает, к каким системам может получить доступ и какие уязвимости для этого использовать, переходит от одной к следующей, буквально шаг за шагом повышая себе права доступа вплоть до администраторских.

– Во время атаки хакеры удалили ряд компонентов инфраструктуры, и поэтому однозначно установить первоначальную точку их входа в инфраструктуру сейчас невозможно.

– Мы видели атаки и на более крупные компании, и приводящие к более серьезному ущербу, и более масштабные по своему охвату (вспомнить одну только историю с NotPetya), и даже более сложные, когда хакеры годами маскировались в инфраструктуре атакованной компании с максимальным уровнем доступа к любым системам.

Что необычного в ситуации с Rutube? До сих пор мотивация злоумышленников была в получении финансовой выгоды от атаки. Сейчас же мы видели яркий пример атаки на отрасль, которая традиционно не попадала в сферу интересов хакеров, с целью нанесения максимального ущерба, а не ради финансовой выгоды.

– Чтобы избежать риска повтора таких атак, компаниям надо задаться правильным целеполаганием. Сейчас топ-менеджменту надо четко осознать, что против них работают хакеры, замотивированные на нанесение максимального ущерба. А после этого надо выстроить работу IT и информбезопасности (ИБ) так, чтобы недопустимые для компании события стали гарантированно невозможными. Убедиться в готовности IT и ИБ к такой работе можно только во время киберучений, не дожидаясь реальной хакерской атаки. Когда специальные команды белых хакеров проверят саму возможность нанесения критического ущерба в ходе атаки при активном противостоянии служб безопасности в режиме реального времени.

«Видим запрос на российские средства защиты»

– Да, работаем. Общая доля зарубежного бизнеса у нас составляет порядка 2%. И бизнес идет с теми странами, которые традиционно работают с компаниями из России.

– Мы планируем расширять зарубежное присутствие. Для внешнего мира российская кибербезопасность и ее опыт сейчас очень интересны. Фактически вся страна сейчас превратилась в своего рода один большой киберполигон. А это означает, что отечественные средства защиты разрабатываются в условиях противодействия большому числу реальных кибератак. Решения, не способные в таких условиях обеспечивать результативную защиту, просто не выживут. Наши разработки успешны в противостоянии хакерским атакам, это проверено на практике. И все это понимают.

Вторая история состоит в том, что большая часть IT-инфраструктур во всех компаниях в мире традиционно строится на моновендорных или «моногеографических» стеках технологий. Что это означает? Вся пирамидка из «железа», софта, средств защиты выпускается одним вендором или разработчиками из одной страны. Наша же отрасль кибербезопасности как раз может предложить свои решения в качестве «третьего мнения» и выступить гарантом того, что безопасность информационных ресурсов не будет зависеть от одного производителя или политики государства.

Мы видим запрос на российские средства защиты в большом числе стран: в частности, это страны БРИКС, Юго-Восточной Азии, страны Ближнего Востока, Латинской Америки и проч.

– Как ведут себя сейчас держатели акций Positive Technologies? Сталкиваетесь ли вы с каким-то агрессивным поведением инвесторов? Продают ли они бумаги?

– Выходя на Мосбиржу в прошлом декабре, мы сделали ставку на прямой листинг. Ключевое его отличие от классического IPO в том, что он ориентируется в первую очередь на инвесторов-физлиц, а не на фонды. Мы же пошли еще дальше: в качестве своего инвестора мы видели людей, понимающих наш бизнес, заинтересованных в развитии нашей компании, верящих в потенциал рынка ИБ. И мы не привлекали на этапе листинга ни иностранных физлиц, ни тем более фонды. Это свело к нулю риски, связанные с возможным уходом таких акционеров из капитала.

На сегодняшний день у нас почти 60 000 акционеров-физиков, наши акции с момента размещения существенно выросли, и положительная динамика сохраняется.

– В первую очередь для нас это история про людей и про компанию поколений.

Мы переросли ту стадию, в которой мы конкурировали за кадры только с компаниями из отрасли кибербезопасности. Сейчас мы конкурируем за лучшие умы с технологическими гигантами типа Google, «Яндекса», VK. Чтобы успешно решать задачи в отрасли кибербезопасности, нам нужно привлекать наиболее талантливых специалистов из множества IT-сфер. Например, нам всегда нужны эксперты из области искусственного интеллекта. И идея совладения нашей компанией – один из ключевых элементов привлечения таких специалистов.

С одной стороны, сотрудники понимают, что они реально участвуют в общем успехе компании, и знают, что от него напрямую зависит их личный финансовый успех. С другой стороны, мы понимаем, что наши люди синхронны с общими целями компании. Это история даже не про наем и удержание сотрудников, это реализация концепции осознанного совладения.

Более того, чтобы помогать компании расти, необязательно в ней работать и ежедневно ходить в офис. Мы можем привлекать разработчиков – перевести, к примеру, часть наших технологий в opensource и дать возможность всем желающим поучаствовать в разработке. И за реально успешную и продуктивную работу в этом случае вознаграждать акциями.

Если человек работает в твоих интересах хорошо и качественно, какая тебе разница, есть ли он в штате или нет? Он работает на твой продукт, он находится с тобой на одной позиции, он разделяет твои интересы, потому что он акционер. И вы вместе зарабатываете оттого, что продукт становится лучше.

«К нам приходят очень интересные кандидаты»

– Выросло: в начале года у нас было около 1250 сотрудников, сейчас – более 1400. Но это в целом стандартная для нас динамика: в последние годы мы активно растем. Это связано по большей части с увеличивающимся числом разрабатываемых технологий и запуском уникальных наукоемких разработок (например, системы MaxPatrol O2, которая должна заменить собой большие службы ИБ).

Хотя нельзя не отметить, что сегодня мы переживаем уникальный период – внезапно на рынке в поиске оказались очень талантливые кандидаты, которые никогда работу не искали (и при других обстоятельствах не стали бы). В большинстве случаев они до сих пор успешно работали в крупных зарубежных компаниях, которые сейчас ушли с нашего рынка. И этим талантливым специалистам даже релокацию предложили, но им она не нужна: у них здесь жизнь, и нет необходимости в переезде, обустройстве с нуля. И в этой ситуации к нам приходят очень интересные кандидаты.

– Из тех, что у всех на слуху: IBM, Cisco, SAP, PaloAlto и др. К нам пришли топовые эксперты и талантливые управленцы.

Вообще, в первые полгода на рынке кадров сложилась очень интересная тенденция. Западные вендоры начали уходить весной. Они оставляли отказавшимся от релокации сотрудникам три зарплаты. И эти сотрудники разделились на две волны соискателей. Первая отправилась на рынок сразу же, не дожидаясь окончания «трехмесячного моратория на поиск работы», а во вторую волну попали те, кто стал искать работу уже спустя три месяца.

Неоспоримым плюсом людей из первой волны была связь интеллекта и энергичности, а вот для соискателей второй волны является сочетание интеллекта и системности, уверенности. А это ценно для фундамента любой компании. Это просто уникальная ситуация: и рынок растет, технологии развиваются, и такой кадровый потенциал появился. И мы, конечно же, это используем на всю катушку.

– Здесь больше слухов, чем правды. Их зарплаты были вполне в рынке. Да, среди таких сотрудников есть те, у которых были те или иные системы мотивации (опционные схемы например). И мы можем предложить совладение как более качественную альтернативу, чем традиционная опционная система.

– Как это обычно реализовано? Сотруднику назначаются задачи, часто сформулированные в виде некоего KPI, и выдается опцион, который можно превратить в реальные акции только через несколько лет при условии достижения поставленных целей. Но в течение этого срока (или к его концу) все может очень сильно измениться: задачи могут оказаться ненужными, потому что цели компании поменялись, или не интересными для сотрудника, и он просто формально их «дотягивает», чтоб реализовать опцион.

Такой подход нам не интересен. Мы хотим, чтобы в компании всегда работали мотивированные люди, которым она интересна и которые интересны ей. Те, кто отработал хорошо, но по каким-то причинам отходят от дел, могут просто получить свое вознаграждение акциями за сделанный вклад. А классическая опционная схема скорее провоцирует эффект золотой клетки.

«Мы не находимся в состоянии кибервойны»

– В какой-то момент интернет-среда стала более «токсичной» для всех российских компаний: кратно выросло число атак по всему сегменту рунета. На первый план для них вышло нанесение максимального ущерба. Поэтому атаковать стали не только компании, в которых есть что красть, например банки, а вообще всех – и СМИ, и мясокомбинаты и др.

Вспомним недавнюю историю атаки на агрохаб «Селятино»: еще год назад эта цель не попала бы в топ интересов хакеров. И если бы они и получили доступ к управлению холодильным оборудованием, то закончилось бы все скорее всего банальным требованием выкупа за «неотключение» систем. Что делает хакер сейчас? Просто без лишних разговоров и коммуникаций «поджаривает» содержимое холодильников, включая их не на холод, а на обогрев. И даже если значимый ущерб нанести оказалось невозможно, главные веб-странички атакуемых компаний используются для размещения каких-либо лозунгов.

В то же время я бы не сказал, что мы находимся в состоянии кибервойны. Мы видим действия большого числа мотивированных непрофессионалов.

Судя по используемому инструментарию и методам атак, сейчас атакуют не высокопрофессиональные киберармии и группировки, это скорее хакеры плюс-минус средней квалификации или даже просто имеющие очень низкий уровень. Нанося вред компании, они пытаются самовыразиться, заявить о своих взглядах и т. п.

В последние полгода даже стало популярным организовывать команды атакующих из обычных пользователей интернета: прямо в телеграм-каналах раздавались подробные инструкции уровня «нажми сюда, а потом туда», обозначалась целевая организация, и все желающие из числа подписчиков могли принять участие в атаке. При этом уровень их компетентности в IT или ИБ был совершенно не важен. Но за общим шумом мы видим и признаки деятельности профессиональных хакерских группировок.

– Они обычно «ломают» компанию незаметно, постепенно продвигаясь вглубь инфраструктуры для получения как можно более полных прав доступа к IT-системам. Они не ведут себя импульсивно, они закрепляются, анализируют, где они могут нанести как можно более серьезный ущерб. Причем временной зазор между получением прав и какими-либо заметными деструктивными действиями может занимать месяцы. Как это было во время атаки на Rutube: заметное воздействие на системы хостинга произошло 9 мая, но доступ к IT-системам сервиса хакеры получили несколькими месяцами ранее.

– Здесь надо разделить два понятия: попытки атак и успешные атаки. Число попыток сокращаться не будет никогда (это касается и хакеров-энтузиастов, и организованных профессиональных группировок).

При этом явно повышается общая культура отношения к кибербезопасности. Как результат, число успешных малопрофессиональных атак будет сокращаться. На смену принципу «давайте будем пытаться защищать все полностью» постепенно приходит осознание, что нужно разобраться, понять, воздействием на какие именно объекты инфраструктуры компании может нанести ей максимальный урон, сфокусироваться на защите именно этих узлов и сделать абсолютно невозможной успешную хакерскую атаку именно на них. В энергетике, допустим, сделаем так, чтобы в городах нельзя было отключить свет, на комбинатах – так, чтобы нельзя было отключить холодильники, чтобы на ГРЭС нельзя было остановить или сломать турбины, чтобы на заводах котлы не взрывались и т. п. Все это нужно делать заранее. Сейчас, с учетом резко изменившейся ситуации, это приходится делать в пожарном режиме, выполняя работы в очень сжатые сроки.

«Обычно атакуют хакеры средней квалификации – «троечники»

– Например, привлекается команда белых хакеров, которые пробуют имитировать действия хакера и «поломать» компанию, планомерно проникнуть во все IT-системы, добраться до систем контроля критически важных объектов – условно, котлов, которые можно взорвать и тем самым уничтожить завод.

И дальше начинается самое интересное: на практике, разумеется, взрывать котел никто не будет – он большой, дорогой и вообще это опасно. Но обязательно надо доказать, что это возможно, что система защиты от киберугроз у этого клиента уязвима и потенциальному хакеру в правильный момент достаточно нажать Enter, чтобы все в этот момент взорвать. Как это сделать?

Ответом является киберполигон, на котором мы моделируем эту ситуацию параллельно. На нем воссозданы объекты предприятий из всех основных отраслей экономики: есть, например, железная дорога, объекты генерации, электросетевые объекты и проч. И все эти элементы мы подключили к самым настоящим контроллерам (точно такие же используются на промышленных предприятиях в реальности). Командам белых хакеров ставится задача нанесения этого «неприемлемого ущерба» исключительно в цифровой, совершенно безопасной среде.

– В целом ситуацию сейчас спасает сама квалификация атакующих. Обычно атакуют хакеры средней квалификации – так называемые «троечники» (и редко когда «хорошисты»), если использовать школьную пятибалльную систему. Конечно, есть компании с хорошо выстроенной системой защиты. Например, большинство крупных предприятий к сегодняшнему дню развили системы защиты для того, чтобы успешно противостоять «троечникам»–хактивистам. Тех, кто готов противостоять профессиональным хакерам (АРТ-группировкам) существенно меньше, но они все же тоже уже есть. Тем не менее, если мы говорим о потенциальной возможности взлома, то таких предприятий все же пока большинство.

– Не знаю, думаю, сотни полторы. Может быть, две.

– Запуская платформу, мы планировали привлечь 1000 исследователей безопасности до конца года. Но с момента запуска платформы в мае на ней зарегистрировались уже больше 2000 белых хакеров, и их количество постоянно увеличивается. Во многом это связано с самыми крупными выплатами: до 1,8 млн руб. предлагает VK за критические уязвимости в некоторых проектах. В сентябре были одобрены первые выплаты по некоторым проектам VK. В общей сложности исследователи получили 120 000 руб. за уязвимости разной степени критичности.

Сейчас на платформе размещены 14 программ bug bounty, в том числе VK, «Дзен», Skillbox, GeekBrains, «Азбуки вкуса» и Positive Technologies, а зарегистрированные исследователи сдали 302 отчета о найденных уязвимостях.

«Большая часть российских решений по кибербезопасности лучше иностранных»

– Решения зарубежных вендоров традиционно занимали почти половину всего российского рынка кибербезопасности. То есть половина систем безопасности российских компаний была исторически построена на зарубежных решениях таких компаний, как IBM, Cisco, Hewlett-Packard и др. И вся эта санкционная история показала нам прежде всего то, что эти решения в один день могут просто превратиться в «кирпич»: часть решений была отключена в принципе, часть – отключена от обновлений баз знаний. Это означает, что они перестали защищать своих пользователей от новых атак. То есть службы кибербезопасности ряда наших компаний, в прямом смысле слова, «ослепли» на какое-то время.

В итоге импортозамещение в отрасли кибербезопасности почти мгновенно перешло из активностей с дальним целеполаганием в оперативные задачи с высоким уровнем важности. В какой-то мере нам все же повезло: отрасль кибербезопасности у нас абсолютно передовая и готова предоставить своему клиенту полноценную линейку средств защиты для любого сегмента.

И мы, и другие компании, та же «Лаборатория Касперского», всегда ориентировались на конкуренцию с иностранными вендорами, на международную экспансию. Поэтому каждый наш продукт конкурентоспособен еще и потому, что за место на собственном рынке нам приходилось технологически биться с зарубежными вендорами.

В итоге оказалось, что большая часть основных российских решений по кибербезопасности лучше иностранных. Поэтому никому из наших компаний сейчас не придется пересаживаться, так сказать, «с мерседеса на жигули» в области кибербезопасности.

– У отрасли в целом и у Positive Technologies в частности есть сразу несколько драйверов роста. Во-первых, нас «драйвит» рост IT-рынка в целом, цифровизация сама по себе «паровозом» тащит за собой отрасль кибербезопасности. В нашей стране уровень проникновения цифровизации очень велик и затормаживать это развитие никто не собирается. Эта цифровизация и «технологизация» без должной обвязки на уровне кибербезопасности несут в себе существенные риски. Потому что чем более автоматизирован наш мир, тем больше способов появляется у злоумышленников нанести недопустимый ущерб.

Второй драйвер роста в том, что значимую долю российского рынка до сих пор занимали зарубежные вендоры, а теперь они ушли, и эта часть рынка оказалась свободна, и ее ожидаемо займут отечественные вендоры. Особенно те, чьи продукты эффективны, результативны и отвечают актуальным угрозам.

Третий драйвер – это объективная востребованность самой кибербезопасности, обусловленная ростом числа атак. То есть та агрессивность, с которой сегодня атакуются компании, заставляет защищать даже то, что ранее было как бы на отшибе, на обочине кибербезопасности – те же медиапорталы, онлайн-кинотеатры например.

Раньше они мыслили так: «Ну, мы же не банк, у нас воровать нечего». Но теперь фокус внимания хакеров кардинально изменился, и даже те, кто в принципе не считали информационную безопасность актуальной для себя, осознали свою ошибку. Поэтому сама потребность в кибербезопасности точно будет расти.

Если посмотреть на нас как на отражение общей рыночной ситуации в конкретном бизнесе, то для Positive Technologies это также история про рост: если ранее наш бизнес удваивался за два года, теперь мы планируем удваиваться за год и уверены, что сможем «бежать» вдвое быстрее.

Тем не менее отмечу, кибербезопасность – это не разговор, связанный с состоянием мировой экономики. Экономика может идти куда угодно, а рынок кибербезопасности будет расти при любых условиях, потому что сегодня это одна из базовых, жизнеобеспечивающих потребностей любого бизнеса, отрасли и даже государства.