Сергей Волдохин: Заражение — следствие действий людей, а не злого вируса, появившегося из воздуха

Почему важно разделять знания и практические навыки сотрудников, чтобы избежать киберинцидентов? Какие требования по безопасности предъявлять к продуктовым командам и как научить людей их выполнять? Беседуем с директором по продуктам экосистемы Start X Сергеем Волдохиным.

Сегодня я решил начать интервью с прошлого. Почему вы решили стать предпринимателем и пойти именно в тему информационной безопасности и осведомлённости сотрудников?

С. В.: Не было такого момента, когда бы я проснулся и решил, что стану предпринимателем. Это получилось органично. Я учился на математическом факультете на специальности «Компьютерная безопасность» и уже со второго курса начал работать. Сначала я был стажёром, потом администратором Unix, программистом и сетевым инженером. Позже я стал инструктором академии Cisco; возможно, это было моё первое знакомство с неакадемическим форматом обучения в области информтехнологий, в том числе в области безопасности. Позже я перешёл в другую международную компанию, где управлял безопасностью и отвечал за несколько стран.

В это время очень мало внимания уделялось людям. Уже тогда было видно, что люди и их поведение становятся причинами киберинцидентов, однако ни у меня, ни у других специалистов по безопасности в индустрии не было хороших решений на этот счёт. Мне и моему партнёру Артемию Богданову, в прошлом одному из лучших пентестеров, стало очевидно, что почти в любую организацию всегда можно проникнуть через социальную инженерию, однако некоторые заказчики и сейчас просят тренинги без «социалки». На фоне этого противоречия мы и решили сделать наш продукт.

С момента основания компании удалось ли вам накопить какие-то уникальные знания?

С. В.: Идея делать что-то с сотрудниками — не новая. Многие в этой отрасли думают, что надо обучать людей, для этого нужны какие-то курсы, давайте их назначим. Это хорошая идея, люди действительно должны что-то знать; но первое, что нас отличало с самого старта, — мы чётко разделяем знания и навыки и понимаем, какие именно умения нужны людям и из-за чего происходит инцидент.

Иногда деньги мошенникам отдают грамотные люди, даже из правоохранительных органов, которые точно знают, что такое мошенники. Иначе говоря, знания не равны навыкам.

Мы начали анализировать все инциденты, о которых нам становилось известно. Более того, уже семь лет мы публикуем открытый еженедельный дайджест по цифровым атакам на людей. Эту экспертизу мы дальше упаковываем в то, что становится знаниями и навыками. В нашем продукте, который называется Start AWR (ранее — «Антифишинг для сотрудников»), есть курсы, но главное — он помогает тренировать и оцифровывать навыки.

Как вы считаете, ваша компания больше продуктовая или сервисная?

С. В.: Наша компания всегда была продуктовой. Мы изначально делали продукт, который лицензировался, причём срочно. Можно купить лицензию на год или на несколько лет для нужного объёма сотрудников и с нужной функциональностью. Принято заказывать обучение как услугу учебных центров, но это, к сожалению, не помогает встроить его в другие процессы ИБ. Туда очень важно интегрировать процессы работы с людьми, а это возможно только когда у тебя есть продукт. До сих пор большая часть нашей выручки — это лицензии.

Получается, вы изначально ориентировались на такую модель, где вы загружаете софт и заказчик работает с ним самостоятельно, без необходимости привлечения инженеров?

С. В.: Мы видели у некоторых вендоров, что они позиционируют свою разработку как продукт, но при этом каждое внедрение — это огромный проект и неочевидная история. Иногда без поддержки такой софт вообще нельзя использовать, и даже сама поддержка выглядит так, что люди «высажены» на место и постоянно что-то делают. 

У нас есть материалы, которые мы поставляем клиентам — например, шаблоны имитированных целевых атак. Ещё у нас есть обновляемые курсы и тренажёры. Это автономный продукт, который через API связан с другими средствами защиты.

Нашего присутствия не требуется и у нас нет доступа к большинству инсталляций клиентов.

Некоторое время назад вы провели ребрендинг, и от прежнего названия «Антифишинг» ничего не осталось. Почему вы решились на этот шаг и какая идея за этим стоит?

С. В.: Важно то, что мы — на 100 % российская компания. Наши сотрудники работают в компании, которая всё ещё называется ООО «Антифишинг». Наш первый продукт назывался так же, как и сама компания. При этом его задачи изначально были шире, то есть мы говорили не только про фишинг, но и про безопасную работу с информацией, про то, как люди себя ведут, в том числе в физическом мире, если это касается каких-то угроз, про то, что они могут делать в интернете и так далее. Мы закрывали все проблемы, которые могли бы привести к инцидентам. Уже тогда нам задавали вопросы, что мы можем сделать кроме борьбы с фишингом. Когда у нас появилось ещё три продукта, стало ещё сложнее. Чтобы ответить на все эти вопросы, мы объединили наши продукты под общим брендом.

А откуда взялось новое название Start X?

С. В.: Во-первых, слово Start значит «начало». Много внимания уделяется уже случившимся инцидентам. Важно понимать, что мы помогаем устранять причины этих событий. Поэтому слово Start означает то самое «начало». 

Приставка «X» появилась так: мы с сооснователем Артемием учились на матфаке и там «X» всегда обозначало неизвестное в уравнении. Если вы работаете в ИБ, вы знаете, что главный фактор неопределённости — это люди.

И если вы можете оценить степень охвата вашей защиты, уровень уязвимости хостов и так далее, то что вы можете сказать про своих людей? Именно этот фактор неопределённости мы помогаем устранить.

Сколько продуктов сейчас в вашей продуктовой линейке?

С. В.: Мы начали с той проблемы, о которой сами хорошо знали ещё в 2015–2016 годах и которая до сих пор актуальна. Это поведение обычных сотрудников, которые имеют хоть какие-то доступы в компании и которые работают с системами. Когда этот продукт стал эксплуатироваться в компаниях с большим количеством требований по ИБ, мы сами как вендор, внедряя его, увидели, что к нему предъявляются функциональные и нефункциональные требования, вследствие чего внедрить наше решение в инфраструктуру заказчика стоило ещё больших усилий. Иначе говоря, те требования по безопасности, которые компании предъявляют к своим командам, были неочевидны даже для нас при всём нашем опыте. Нам потребовалось несколько месяцев на одном из первых таких внедрений несколько лет назад. 

Мы осознали, что есть большая проблема: вендорам не очень понятно, что надо делать, как работать для защиты компаний и чего конкретно хотят отделы безопасности. Мы посмотрели, как работают такие процессы, поняли, что у нас достаточно экспертизы, и создали второй продукт, который называется Start REQ. Он нужен для того, чтобы помочь командам безопасности управлять требованиями.

Когда заказчики стали внедрять наш продукт, мы увидели следующую проблему: разработчики и продуктовые команды видят требования по ИБ и понимают их, но не знают и не умеют их выполнять.

Например, они не могут писать безопасный код и не знают, как именно реализовать систему. Мы поняли, что эту проблему надо решать. 

Продукт, который называется Start EDU, нужен как раз для того, чтобы обучать такие команды. Правда оказалась в том, что мы изобрели отдельный формат такого обучения. Мы получили ситуацию, когда у обычных сотрудников есть чёткие требования, они знают и умеют что-то делать, знают, как нужно безопасно разрабатывать свои продукты, но могут всё равно этого не делать, потому что у них нет мотивации, они не чувствуют, что это их проблема. Да, они знают, что есть безопасность, но думают, что безопасность за них всё решит — а на самом деле нет. Главной задачей было помочь таким командам почувствовать, что качество их продуктов равно безопасности их продуктов. Необходимо мотивировать, без мотивации они могут что-то знать, что-то уметь, но не делать. Многие знают, что хорошо делать зарядку по утрам и делать пробежку, но не все этим занимаются, потому что нет мотивации.

Если мы говорим про команды разработки и продуктовые команды, то главный момент — это показать им на собственном опыте, что может быть, если продукт останется небезопасным.

Это пренебрежение качеством, а пренебрежение качеством — это самое плохое, что может почувствовать разработчик, и мы показываем, что безопасностью нельзя пренебрегать.

Как мы это показываем? Мы, можно сказать, изобрели заново формат CTF, но сделали его доступным не только избранным и опытным хакерам. Он стал таким, в который может поиграть аналитик, тестировщик или другой человек, который в продуктовой команде даже не программирует.

Мы воплотили это в формате реального продукта (интернет-банка) — Start CTF — и сделали так, чтобы у него были и реальная функциональность, и какие-то уязвимости, которые максимально похожи на то, что бывает в реальных финансовых приложениях: уязвимости округления, атаки на цепочку поставок при сборке и прочее. Это реально помогает мотивировать команды. И знания, и навыки они уже получают гораздо охотнее.

Сейчас, получается, у вас есть уже четыре продукта и вы объединяете их в общую экосистему. В чём основная цель и задача этой экосистемы, которая, я уверен, будет ещё дополняться?

С. В.: Главная задача — в том, чтобы любая команда безопасности могла полномасштабно управлять человеческим фактором. Эту концепцию мы назвали «people as code», по аналогии с подходами «документация как код» или «инфраструктура как код». Мы оцифровываем те роли, в которых работают люди, те знания, навыки и мотивацию, которые должны у них быть в соответствии с этими ролями, и очень чётко декомпозируем, какими способами, какими обучающими темами, какими тренажёрами, какими другими средствами можно давать им нужные знания и навыки. 

Мы эту концепцию встраиваем в свои продукты, а продукты объединяются так, чтобы можно было любого сотрудника определить в соответствии с его ролью: вот этот человек — разработчик, при этом он работает на компьютере и имеет доступ к почте; для него в этих ролях нужны такие-то знания и навыки, которые можно автоматически формировать (в нашем случае — с помощью продуктов Start AWR и Start EDU). Если этому человеку выдаёт доступы IdM-система, она может, зная уровень его защищённости, дать или не дать ему доступ, если такая логика у неё прописана. Наши самые развитые заказчики уже интегрируют другие системы с нашим продуктом, несмотря на то что мы ещё сами не полностью реализовали этот фреймворк и эту концепцию.

Главный смысл экосистемы — чтобы независимо от того, сколько у тебя людей в компании, какие у этих людей роли и с какими системами они работают, ты был уверен в том, что они будут работать безопасно, а продукты, которые ты внедряешь, контролировали это и показывали тебе уровень защищённости — так же как, например, другие решения показывают уровень уязвимости.

Отличие от сканеров уязвимости или других подобных продуктов — в том, что мы не только показываем уровень защищённости или адекватности: благодаря нашим продуктам можно его формировать, влиять на него, выставлять чёткие требования, передавать людям или командам знания и навыки и, разумеется, оценивать, насколько успешно они эти навыки применяют.

Звучит как миссия компании.

С. В.: У нас есть миссия; мы не публикуем её на сайте, она внутренняя, но я могу её озвучить. Наша миссия — давать цифровой иммунитет людям. Мы сейчас готовим продукт для обычных людей. Надеюсь, скоро он появится в публичном доступе.

Цифровой иммунитет — это популярная фраза, и в ней вроде бы нет ничего нового, но правда заключается в том, что это так и работает: если сотрудники грамотны и видят какую-то ситуацию, которая может быть признаком инцидента, то они сообщают о ней в те же команды SOC — и тогда у профессионалов, у аналитиков уже есть все карты на руках, они уже могут блокировать этот инцидент. Самый настоящий иммунитет.

Мы заговорили о будущем и о том, что вы готовите в том числе новинку для персонального использования. Куда будет дальше развиваться компания, чем будет прирастать эта экосистема?

С. В.: Один из продуктов, который уже близок к релизу, но пока публично не анонсирован, связан с тем, что до сих пор многие коллеги в безопасности видят, например, внешние активы, уязвимые сервисы, которые были оставлены командами разработки, или персональные данные, которые «утекли» (на самом деле — просто были опубликованы), и смотрят на это узко: как на техническую проблему. У них нет хорошего наглядного способа связать такие моменты с тем, какие именно сотрудники в компании что-то знали, не знали или сделали неправильно.

Мы сейчас готовим продукт, который помогает увидеть свою компанию с точки зрения хакеров, готовящихся к реальным атакам.

Он не просто покажет какие-то проблемы с точки зрения площади атаки, но и позволит в два щелчка мышью связать их с теми людьми, которые могут отвечать за это у тебя в компании, и поможет обучать и тренировать таких людей после исправления этих проблем. Вот такую связку мы делаем сейчас. Это продукт, который поможет управлять внешней площадью атаки. Это не сканер, он скорее обеспечивает расширенный взгляд на то, что происходит вокруг организации.

Если я правильно уловил идею, то это своеобразный взгляд хакера с акцентом на человеческий фактор. Мы обнаруживаем слабые места компании — недостаточно обученных или неопытных сотрудников, — переводим их на те обучающие продукты, которые у вас уже есть, и начинаем их подтягивать до должного уровня?

С. В.: Да, именно так. Мы очень благодарны нашим действующим клиентам, поскольку именно они, особенно самые развитые из них, так уже делают: стараются находить разглашённые данные о сотрудниках и повышают в наших продуктах приоритет тренировки для этих людей. Я надеюсь, что в ближайшем будущем мы поможем им делать это автоматически.

Мы сейчас внедряем подход, который называется «клиентократия». Его изначально придумал и стал внедрять у себя «ВкусВилл». Главный смысл его — в том, что первичны клиент и ценность для клиента. Поэтому, в частности, у нас до сих пор нет каких-либо внешних инвестиций: деньги у нашей компании имеются только благодаря нашим клиентам. Если мы что-то делаем, то это ради них. Первоочередная наша цель сейчас — повысить ценность продуктов для клиентов.

Нашим клиентам нужно, чтобы не было разрозненных систем, а был единый центр управления человеческим фактором.

В этом смысле мы уже интегрированы со множеством систем и будем эти интеграции усиливать — в том числе чтобы люди были частью процессов SOC и других составляющих ИБ.

Какие цели вы ставите перед компанией, каким результатом вы были бы удовлетворены в перспективе нескольких лет? Здесь я имею в виду финансовые или рыночные показатели: стать номером один в чём-то и так далее.

С. В.: Если говорить про формальные рыночные сегменты Security Awareness, мы уже занимаем там лидирующие позиции. Когда мы с коллегами ставим цели, мы думаем о том, сколько проблем у наших заказчиков происходит вследствие отсутствия знаний, навыков или хорошей коммуникации между командой безопасности и кем-то ещё. Мы хотим в ближайший год сделать так, чтобы все главные проблемы, которые происходят сейчас в безопасности из-за неправильных действий людей, были решены с помощью наших продуктов.

Я говорю о проблемах запуска новых проектов, о которых безопасность иногда узнаёт в последнюю очередь, и о ситуациях, когда топ-менеджмент чего-то не понимает и безопасности приходится это объяснять. Мы готовим сейчас такие программы, которые помогают уже опытным специалистам по ИБ договариваться с бизнесом, чтобы все рискованные категории сотрудников были охвачены, а у безопасности была максимальная наглядность, какая вообще только возможна по этим и другим процессам.

Итак, наша цель — за следующий год закрыть самые главные из таких проблем и связать наши продукты с теми решениями, которые уже внедрены и которые сейчас наиболее популярны.

За рубеж планируете идти? Или, может быть, уже идёте?

С. В.: У нас уже есть клиенты за пределами России, несмотря на некоторые ограничения, связанные с тем, что мы всё ещё российская компания. Я верю: мы сделаем так, что в следующем году у нас будет больше иностранных клиентов.

Как человек, который работал в международной компании несколько лет, я могу сказать, что российская безопасность — самая передовая в мире из всего, что я видел.

Решения и продукты, которые мы делаем (я говорю сейчас не только о нас лично, но и о других коллегах), действительно очень хороши на мировом уровне. Единственное, в чём может быть, на мой взгляд, некоторая область для улучшения — в мире всё-таки принято чуть больше внимания уделять людям и процессам, а у нас — технологиям. Конечно, у нас сильная инженерная школа, и я рад, что в моей команде много блестящих инженеров — но всё же надо помнить про людей и процессы. На Западе уже умеют строить процессы; мы этому пока учимся.

Я по себе знаю, что, вопреки расхожему мнению, быть предпринимателем и главой компании — тяжёлый труд и большая ответственность. Что движет лично вами? Ради чего вы этим занимаетесь?

С. В.: Я помню годы, когда и мне, и моему партнёру приходилось работать полный день (full-time), и мы приходили домой, закрывали рабочий ноутбук, открывали личный и ночью работали над своим продуктом. Или, например, когда у нас ещё не было команды поддержки, наши первые клиенты запускали «пилоты», скажем, в Хабаровске; я засыпал в два часа ночи, а Артемий просыпался, чтобы поддержать этот «пилот». Я вставал в шесть утра, он шёл спать. Это было весело!

К счастью, сейчас у нас уже большая команда и так работать не приходится, но в таких условиях начинаешь понимать, что главное — это люди, с кем работаешь. Я очень благодарен всем, кто сейчас в команде или приходит в неё. Благодаря людям мы можем делать отличный продукт, а благодаря крутому продукту с нами остаются клиенты, которые в том числе «расширяются» — покупают наши новые продукты. Когда видишь эту цепочку, становится немного спокойнее. Факторов неопределённости очень много, вы все сами их знаете. Например, в 500 метрах от офиса в одном из городов взрываются ракеты, сотрудники закрывают ноутбуки и бегут покупать гречку.

Всякое бывало. Тем не менее мы (и я лично) всегда помним: важно защитить наших клиентов, с ними до сих пор могут происходить инциденты, если они не будут обучать и тренировать людей. А как они будут это делать, если мы остановимся?

Я вижу, чем занимается наше подразделение исследований и разработок (R&D), и понимаю, что это точно надо «упаковать» в технологии — и для тренировки людей, и для повышения их внимательности, и для того, чтобы с безопасностью всё было хорошо. Мы даже на 10 % не сделали того, чего хотим и что уже знаем на этапе R&D — и как-то не хочется это бросать.

Я знаю, что некоторые компании, которые появились на этом рынке чуть позже нас, уже продались кому-то. Некоторые коллеги в кулуарных беседах говорят: пойду-ка я, наверное, назад на офисную работу, не буду всё это делать. Так можно поступить, если тебе не очень принципиально, чем заниматься, и ты не видишь смысла в этом. К счастью, благодаря нашим клиентам мы видим смысл в том, что делаем.

Многие клиенты говорят нам: извините, что мы так мало заплатили за лицензию, просто так получилось, что в бюджете больше нет денег на этот год, но ценность ваших продуктов — самая большая по сравнению с другими решениями, которые, условно говоря, стоят и греют воздух. Пока есть такая обратная связь и такая команда, я надеюсь, что мы сможем продолжать.

Предлагаю вам в завершение нашего интервью обратиться к аудитории, а именно — к заказчикам: дать рекомендации или советы, что им нужно делать в 2024–2025 годах. Сейчас время большой турбулентности и больших изменений. Думаю, ваш совет будет совершенно нелишним.

С. В.: Я могу «надеть шапочку» и того, кто управлял безопасностью, и того, кто внедрял средства защиты. Но я скажу, что бы делал на месте заказчиков в рамках той ответственности, которая есть у них.

Во-первых, надо стараться не слушать маркетинг уважаемых вендоров. Надо думать своей головой. Это значит, что надо смотреть на реальный бизнес, общаться с теми, кто в компании отвечает за ключевые процессы — причём не с позиции «мы самые умные, а у вас тут всё плохо и надо безопасность навести», а с точки зрения «что вы создаёте? с какими клиентами работаете? как доставляете свою ценность?».

Во-вторых, применяйте свою экспертизу для оценки реальных рисков и предлагайте такие решения, которые не заблокируют процесс, а помогут вести его безопасно. Если вы будете адекватно оценивать риски, это приведёт вас к тем людям, которые чего-то не знают, не умеют, про что-то забыли или сделали не так, из-за чего что-то случилось.

Не пытайтесь фокусироваться только на технических средствах. Вирусное заражение происходит не потому, что злой вирус появился из воздуха. Вирусное заражение и остановка какого-то процесса происходят потому, что кто-то из сотрудников что-то сделал, а кто-то другой, наоборот, чего-то не сделал.

Не бойтесь пойти чуть глубже и найти корневую причину. Понимание, что именно человек сделал неправильно, является первым шагом к решению.

У нас был отличный разговор с одним из наших клиентов. Он говорит: «Помогите нам решить проблему. Айтишники оставляют пароли в системе Service Desk, когда отвечают на тикеты. Как сделать, чтобы они не оставляли пароли там?». Мы спросили, как у них правильно и безопасно это делать. Возможно, есть корпоративный парольный менеджер или ещё что-то. Это вызвало некоторое замешательство у наших коллег, потому что они сами не думали об этом в таком ключе и не могли быстро ответить. Я уверен, что у них есть все нужные для этого технологии и важно только подумать, что должны делать сотрудники, как должны безопасно действовать. Если для этого потребуются тренировки, определённые знания и навыки, я надеюсь, что мы сможем в этом помочь.

Сергей, большое спасибо. Это было отличное интервью! Приходите к нам ещё, будем рады встрече. А зрителям, коллегам и друзьям, как обычно, — всего самого безопасного!

Реклама. Рекламодатель ООО «Антифишинг», ИНН 6950191442, ОГРН 1166952058680

Erid: LdtCKZYUo