Максим Степченков, RuSIEM: ИТ и ИБ должны работать синхронно

В рамках форума Positive Hack Days редакции Anti-Malware.ru удалось провести интервью с Максимом Степченковым, совладельцем компании RuSIEM. Он поделился своим взглядом на современные вызовы в информационной безопасности и роль ИТ в бизнесе. В разговоре обсудили преимущества многовендорных решений, важность анализа рынка, долгосрочного планирования и извлечения уроков из ошибок других компаний. 

Максим, у вас широкий круг профессиональных направлений, и в одну категорию их не уложить. Скажите, пожалуйста, кто вы всё-таки? Как вы сами себя ощущаете? Вы предприниматель, бизнесмен, эксперт? С какими мыслями просыпаетесь утром — о продуктах, бизнесе или, может быть, о каких-то больших идеях?

М. С.: Когда меня спрашивают, кто я в первую очередь, я обычно называю два главных ответа. Во-первых, я многодетный отец — это, наверное, главное. Во-вторых, я стал серийным предпринимателем: вкладываюсь не только в ИТ, но и в другие проекты. Начинал именно с ИТ, пробовал себя в разных сферах, сталкивался с трудностями, обжигался. Но основное направление для меня остаётся тем же, что было двадцать лет назад. И это не просто ИТ, это именно информационная безопасность.

Если говорить про ИТ и ИБ — это всё-таки разные зоны ответственности, два мира, или информационная безопасность остаётся частью большого ИТ?

М. С.: Всё зависит от компании. У каждой своя специфика. Для одних ИТ — это жизненно необходимая основа, без которой бизнес не может существовать. Для других такой же критически важной является информационная безопасность. В идеале ИТ и безопасность должны работать синхронно, быть в едином рабочем ритме, не мешать друг другу, а дополнять.

Когда понимаешь, что и ИТ, и безопасность — это потребность бизнеса, вопросов не возникает. Представьте банк без кибербезопасности. Сколько он продержится? Или, скажем, завод, где автоматизация внедрена ещё в 60-е годы. ИТ там условно представлено: бухгалтерия, кадровые системы, зарплаты, пара сервисов, несколько тысяч рабочих станций. Для такого предприятия ИТ — тоже потребность, но минимальная.

И вот появляется служба информационной безопасности и начинает говорить: есть закон, есть требования, нужно сделать первое, второе, третье. В этот момент часто возникает перекос: безопасность воспринимается не как инструмент, а как навязанное требование. В таких компаниях обычно говорят: «Что для нас важно? Поставить антивирус, вовремя обновить системы, сделать резервную копию и вынести её на отдельную площадку. Даже если придёт шифровальщик, в течение суток восстановимся». С формальной точки зрения они могут так существовать. Конечно, это иллюзия. Любая компания рано или поздно сталкивается с инцидентами, и защита нужна. 

Если ИТ и информационная безопасность не интегрированы в бизнес-процессы и бизнес не считает их необходимыми, эти функции начинают работать формально, а не во благо компании. И тут главная сложность: безопасность во многом задаётся законодательством, а это мешает быть с ИТ на одной волне.

Отсюда возникает следующий вопрос. Мы знаем, что есть директора по безопасности, которые ведут себя так, будто они — центр всего, как будто только они важны и держат всю оборону компании. Где проходит граница? Почему возникает ощущение, что только безопасник отвечает за всю защиту? И как найти середину, чтобы не скатиться в профессиональный перекос?

М. С.: На самом деле это очень болезненная тема для многих специалистов по безопасности. Недавно на конференции я спросил: «А почему вы считаете, что вы так важны?» Я ожидал, что меня начнут критиковать, но было важно задать этот вопрос. Кто говорит, что сотрудники по информационной безопасности действительно важны для компании? Почему мы ставим ИБ на высокий пьедестал? 

На самом деле, информационная безопасность — это, если никого не обидеть, что-то вроде работы уборщиков. Мы обеспечиваем порядок, сопровождение, чтобы всё работало комфортно. Бизнес может существовать и без информационной безопасности.

Я работаю в основном с бизнесменами — владельцами малого, среднего и крупного бизнеса. И ответ на один из вопросов, который я часто задаю, — есть ли у них информационная безопасность, — они зачастую даже не знают. Здесь важно уточнить: я говорю не о генеральных директорах. Многие путают эти роли. Генеральный директор чаще всего — наёмный сотрудник, которого назначают собственники. Иногда собственник и генеральный директор — одно лицо, но это скорее исключение.

Владельцы бизнеса часто не знают, существует ли информационная безопасность, а если не знают, то как оценить её важность? В крупных компаниях и корпорациях без информационной безопасности не обойтись, и собственники всегда в курсе, потому что это значимая статья затрат. Если же расходы на ИБ скрыты внутри ИТ, это остаётся незамеченным.

Информационная безопасность иногда считает себя очень важной, но для бизнеса она часто остаётся просто статьёй затрат. Хорошо, если удаётся обосновать её ценность и поднять уровень значимости. Признаюсь, я сам больше двадцати лет занимаюсь информационной безопасностью, учусь с 1999 года. Когда ко мне приходит технический директор с предложением сделать что-то, я понимаю необходимость, но всё равно прошу его обосновать каждое решение. Ему это тяжело.

А теперь представьте, насколько сложнее приходится CISO (директору по информационной безопасности), когда он обращается к человеку, который в этой сфере не разбирается вовсе.

Вы буквально сняли у меня с языка следующий вопрос. Давайте немного разберём организационную структуру. Какие отношения должны быть между CISO и ключевыми фигурами компании — директором по ИТ, советом директоров, собственником? Как всё это организовать так, чтобы не возникала токсичность?

М. С.: Вопрос, который я всегда советую задать самому себе: «Зачем вы меня наняли?» Особенно это важно с генеральным директором, с первыми лицами, с собственниками. Какая у меня цель? Если ответ «потому что так надо», лучше сразу менять работу. Сейчас вакансий много, найти другое место проще. Если вы не сможете убедить руководителей в своей принципиальной ценности, вы рискуете оказаться в ситуации с громкими утечками, и ваша репутация пострадает, потому что вам не выделят необходимые ресурсы.

Второй момент — знайте свою компанию. Первое, что я делаю, — проверяю компанию: её обороты, выручку, прибыль. И если компания убыточна, я задаю прямой вопрос: готов ли владелец или генеральный директор потратить хотя бы сто тысяч рублей на внешние услуги? Если нет — вопрос закрыт. 

Часто оказывается, что CISO не знает состояния дел в организации. Они приходят и пытаются обосновать расходы на информационную безопасность: «Если не потратим 100 миллионов рублей, возможны катастрофические штрафы». А владелец бизнеса решает, как спасти сам бизнес: закрыться из-за утечки персональных данных или погасить очередной кредит. Многие компании, которые ещё три года назад были в хорошем состоянии, сегодня попали под санкции или потеряли ключевых клиентов. Поэтому первый вопрос — зачем я нужен, второй — в каком финансовом состоянии компания.

Третий момент — поговорить со всеми структурными подразделениями, понять, кто чем занимается и какие у кого риски.

Один из примеров: лет 20 назад я проводил аудит крупной компании. Начали с отдела безопасности, и я спрашиваю: «Какие основные риски у вас с юристами?» Они отвечают: «Суд идёт за то, кому будет принадлежать завод — нам или конкурентам». Я уточняю: «А где ваши документы?» — «У меня на столе». Юрист в шоке: «Что произошло?» Оказывается, конкуренты сидят с ними в одном кабинете. Такие риски мы часто недооцениваем.

Другой пример — оператор связи. Спрашиваю, какая информация самая ценная. Ответ: тарифы. Мы вкладываем средства в новый тариф, маркетинг, привлечение клиентов — до 20 миллионов долларов за первые две недели. Если информация уйдёт конкуренту, эти деньги просто потеряются.

Спрашиваю: а у вас есть информация о конкурентах? Ответ положительный. Уточняю: есть ли у них информация о вас? Ответ снова положительный. Насколько это критически важно? Защитить это практически невозможно из-за объёма маркетинговых исследований и вовлечённых людей. Нужно глубоко понимать бизнес, чтобы видеть, что действительно ценно и важно.

Четвёртый момент — не пытаться диктовать только законами. Часто говорят: «Если что-то случится, будут штрафы». Многие бизнесы строились иначе, владельцы выросли в 90-х и привыкли к другим рискам. Например, рискам оказаться в фундаменте здания. Основная цель владельцев — сохранить бизнес. Всё остальное решаемо, если этот вопрос действительно важен.

Мы обсудили ошибки, шаблонные стратегии, стереотипы. А куда вы сейчас смотрите? Какие направления в ИБ для вас важнее? Не просто модные, а такие, которые будут реально рабочими и жизнеспособными в ближайшее время.

М. С.: Говорю это уже несколько лет, и на самом деле ничего принципиально нового не появляется. Мы занимаемся именно совершенствованием существующих систем. В этом году выйдет полностью переработанная «с нуля» система, потому что технологии ушли вперёд, и если мы не переработаем систему, останемся в самом буквальном смысле в каменном веке.

Появляются новые продукты. Один мы уже анонсировали в прошлом году — WAF. До конца года выйдут ещё три новых продукта. Но мне больше интересна потребность, которая приходит от заказчика. Обычно клиент хочет нереального: дёшево, качественно, удобно. Обычно выбирают два из трёх. Здесь же потребность приходит одновременно по всем трём параметрам. И в этом направлении мы движемся. Все наши продукты мы стараемся делать так, чтобы они работали в рамках единого окна. То, что у нас адекватная цена, знает весь рынок. За качество мы боремся много лет.

Когда мы выходили на рынок, компания состояла всего из четырёх человек. Мы тестировали разные направления, формировали репутацию — как положительную, так и отрицательную. Но большинство клиентов с нами до сих пор, и это радует. Пять лет назад у нас было четыре человека, сейчас — под сто. Мы выросли существенно, качество продуктов выросло вместе с командой, и на это делается основная ставка.

Одна из ключевых проблем рынка — кадры. Поэтому мы идём в сторону упрощения решений, но при этом так, чтобы система оставалась надёжной. Много инцидентов происходит, когда заказчик полностью доверяет одному вендору. Почему это плохо? Они верят репутации, развёртывают все средства защиты, но кто будет проверять контролирующего? 

Классическая ситуация: заказчик развернул SOC, подключил средства защиты, сидит на совещании, получает 200 уведомлений о подозрительных событиях — и в итоге его всё равно взламывают. Появляется расслабленность. Нужно строить системы так, чтобы при инциденте происходила мгновенная реакция. Идеально, если как у Илона Маска: сигнал тревоги сразу идёт в центр управления, и администратор получает уведомление «беги, устраняй проблему», без лишних промежуточных действий.

Давайте поговорим о сегодняшней реальности. Инциденты изменились или остались такими же, только масштабы стали больше? Может, появилось что-то новое, характерное для последнего года?

М. С.: Если говорить о крупных инцидентах, их количество растёт. Больше циклов проникновения, больше атак через цепочки поставок. Всё чаще компании ломают через разработчиков или через средства защиты информации. Особенно это заметно в опенсорсе — много примеров.

Недавно был наглядный случай: компания была взломана, инфраструктура зашифрована, хакеры потребовали выкуп. Компания заплатила, но расшифровки не получила. Они до сих пор пытаются восстановить инфраструктуру. Проблема не только в этом: деньги ушли украинским хакерам. Те публично сообщили: «Мы взломали российскую компанию, и средства отправлены нам». В итоге компания пострадала: взлом, финансирование недружественной страны, потеря денег — всё из-за одного инцидента. И таких атак становится всё больше.

Хакеры тоже учатся. Новички вначале работают как скрипт-кидди, используют стандартные инструменты, ищут в интернете инструкции, пробуют взломать по шаблонам. Через время они учатся обходить эти шаблоны, повышают уровень навыков. Сейчас специалисты среднего уровня стали экспертами, а эксперты — настоящими гуру хакинга.

Если три-четыре года назад на массовом рынке мы боролись в основном с новичками, сегодня приходится противостоять экспертам даже на массовом уровне.

Я хотела бы ещё раз вернуться к этому. Вы правильно сказали: есть компании, у которых есть всё — SOC, средства защиты информации, инструменты, кадры, полный набор, — и всё равно их ломают. Где здесь слабое место? В людях, процессах, инструментах?

М. С.: Ломается везде. При этом кто будет контролировать SOC? Мы можем сократить количество SOC, дать им возможность блюсти систему, добавить контроль со стороны службы информационной безопасности — но даже тогда что будет? Мы можем потратить миллиарды на службу информационной безопасности, но рано или поздно какая-то запись пройдёт незамеченной, кто-то не отреагирует на инцидент, и начнутся проблемы.

Вопрос не в том, возможно ли взломать компанию. Это всегда возможно. Вопрос в том, как вы будете действовать дальше. Где у вас, скажем, резервная копия?

Приведу пример. В 2005 году я проводил аудит крупной компании. На тот момент у меня было 13 сертификатов Microsoft, я считал себя хорошим специалистом. Приезжаю к заказчику, а местный ИТ-директор всё настроил на скриптах. Он написал кучу скриптов, автоматизировал процессы, управляет огромной сетью и связанными с Microsoft системами. Мне очень захотелось остаться у него учиться, но я должен был провести аудит.

Так вот: это была одна из самых уязвимых компаний, которые я видел. Он думал, что всё настроено и работает автоматически. Он даже не проверял резервные копии вручную. И все громкие киберинциденты последних лет связаны не столько с тем, что компанию взломали, сколько с тем, что она не смогла вовремя восстановиться.

Моновендорность или многовендорность? В каком лагере вы находитесь? Когда хранить все яйца в одной корзине — это нормально, а когда — нет?

М. С.: Я категорически против моновендорности. Например, у вас десять средств защиты информации от одного вендора. Конечно, все вендоры говорят: «Мы защищены, нас никто не взломает». Но одна из моих любимых фраз — «Никому нельзя доверять, даже себе». Давайте представим, что произошёл взлом. Если одно средство защиты не справилось, атака быстро переходит на другое, и всё разваливается.

Второй момент — появляется иллюзия безопасности. Мы успокаиваемся, думаем, что всё под контролем.

Третий момент — объективная сторона. Средство защиты информации, например, сканер уязвимостей, часто проверяет собственные продукты. Какова вероятность того, что вендор сообщит о новой уязвимости в массовом порядке? Если сканер обнаруживает уязвимость в своих же средствах защиты, то, что мы скажем заказчикам, что будет с сертификатами ФСТЭК России? Всё придётся заново пересертифицировать, и так далее.

То есть многовендорность — это такой взаимный контроль внутри системы.

М. С.: Да, во-первых, это взаимный контроль, а во-вторых — повышение внутренней экспертизы. Мне больше нравятся заказчики, которые готовы выбирать лучшее в каждом классе. Часто слышу: «Но это потом нужно как-то состыковать». Состыковка — это задача, которую можно решить, и многие компании, которые уже справились, продолжают её улучшать. В каждом классе мы можем подобрать лучшее: по функциональности, по цене, по сопровождению.

Какие продукты, подходы, а может, даже философии вам ближе как человеку, который не только консультирует, но и создаёт решения?

М. С.: Первое правило — если вы решили что-то делать, поспите и подумайте, действительно ли это вам нужно. То же самое, если вы уже собираетесь что-то купить: поспите и подумайте ещё раз, реально ли вам это необходимо. Шутка, конечно, но проблема в том, что мы часто не думаем на перспективу. Планируем на один, два, три года вперёд, а что будет через четыре года, пять лет — забываем.

Многие вещи приходится потом перестраивать и переделывать, особенно в рамках комплексной системы защиты информации. Одна из проблем — импортозамещение. Когда мы начали активно об этом говорить в 2014 году, мы слышали: «Когда это ещё будет?» И только после 2022 года всё стало критически значимо и компании начали действовать экстренно. А ведь за восемь лет можно было подготовиться заранее.

Возвращаясь к вопросу долгосрочного планирования: подумайте, нужно ли вам это на самом деле. Например, проекты 2015–2016 годов, когда заказчики строили системы полностью на базе Microsoft, без кроссплатформенности. В то время вопросы санкций и импортозамещения уже были актуальны — вероятность проблем не была нулевой. 

А сегодня, если бы всё было кроссплатформенным, переход с Windows на российские операционные системы вроде Astra или РЕД ОС был бы значительно проще. Сейчас заказчики сталкиваются с необходимостью обновить или заменить ОС, но бизнес-приложения не работают, их нужно перезапускать, иногда менять бизнес-процессы. И получается снежный ком: сверху спрашивают отчёты, сверху требуют решения, а дополнительных средств уже не выделяют, потому что всё уже потрачено.

Если говорить о новых командах, которые должны смотреть вперёд, на несколько лет, а то и десятилетий, какие вам интересны сейчас? Вы же инвестор. На кого вы смотрите и какой совет дали бы им?

М. С.: Важно не повторять чужие ошибки. Переспите с мыслью, обдумайте её — и не наступайте на грабли других. Очень много молодых команд этого не делают.

Я как классический предприниматель могу сказать: я на эти грабли наступил не раз. У меня есть несколько интервью на эту тему, если интересно, можно посмотреть. Я открывал и закрывал множество бизнесов. Только недавно я научился правильно закрывать бизнесы.

Это тоже искусство.

М. С.: Да, это тоже искусство. Нужно понять, как действовать, чтобы всё не развалилось. Очень важно глубоко анализировать рынок, понимать, куда идёшь и с чем идёшь.

У меня есть один из любимых примеров. Мы проводили акселератор на базе RuSIEM. Собирались разные компании, рассказывали о себе. Кого-то мы отсекали ещё до интервью, кого-то приглашали на встречу.

Приходит одна компания и заявляет, что они разработчики в RuSIEM. Я спрашиваю: «Ну, а куда вы пришли?». Они отвечают: «в RuSIEM». «А чем мы занимаемся?» — уточняю. Они говорят: «Ну, может, разрабатываете SIEM». Я спрашиваю: «А в чём смысл?». Предлагаю: «Давайте мы вашу команду купим, интегрируем вас к себе, вы хорошие». Они отвечают: «Нет, нам это неинтересно». Или другой пример: молодая компания приходит на рынок и говорит: «Мы разрабатываем очередной NGFW». 

Важно анализировать рынок, смотреть, на какие грабли наступили другие. Не стоит бояться рисковать и придумывать что-то новое, чего ещё нет. Придумывайте, описывайте идею, приходите к инвесторам, ищите менторов, которые обратят на вас внимание. Огромное количество людей готовы вас выслушать и инвестировать.

Например, три продукта, которые я буду выпускать до конца года, появились благодаря молодым будущим предпринимателям. Хотя их сложно назвать предпринимателями — это классные технические специалисты, которые хотят стать собственниками бизнеса. По складу ума на ближайшие два-три года они вряд ли станут предпринимателями.

Они пришли, описали бизнес. Я сказал: «Окей, я в вас инвестирую, мы создаём новые совместные продукты». Я смотрел в первую очередь на горящие глаза, потом анализировал актуальность для заказчиков — и мы двинулись в этом направлении.

Искусственный интеллект: вы используете его как бизнесмен, как разработчик, как руководитель. Где он помогает, а где мешает?

М. С.: Дело в том, что полноценного ИИ пока нет. То, что сейчас называют искусственным интеллектом, — это машинное обучение. У нас в продукте такая технология работает с 2018 года. Все тогда говорили: «Да что это, никому не надо будет». На самом деле это нужно, это потребность, это реальность, к этому мы придём.

Я жду момента, когда искусственный интеллект будет «бояться» за себя, но при этом будут работать законы робототехники. Мы получим полноценный искусственный интеллект, который о себе заботится. Пока же это просто инструмент, который приносит выгоду.

И последний вопрос. Что вас вдохновляет вне информационной безопасности? Вы ведёте очень активный образ жизни — много командировок, путешествий. Как вы мотивируете себя и что даёт вам энергию?

М. С.: Я 1982 года рождения, прошёл через 90-е. Я не хочу, чтобы мои дети проходили через то, через что прошёл я. Это, пожалуй, мой главный стимул.

Спасибо, Максим! Получилась очень интересная и познавательная беседа!