"Il mercato della sicurezza delle informazioni è inefficiente e conservativo"
- Perché ti sei fermato a
Anton:Ho lavorato per uno dei più grandi produttori di carne di maiale in Russia. Era un esperto di sicurezza delle informazioni (IS) in outsourcing nell'analisi della sicurezza della rete interna dell'azienda. Ha imitato le azioni di un potenziale aggressore per catturare la rete dell'azienda e i principali sistemi aziendali. L'allevamento dei maiali, o meglio, tutti insieme - l'allevamento, lo stabilimento e gli uffici dell'azienda - è uno dei miei progetti più sorprendenti. Non puoi nemmeno immaginare quanto tutto sia automatizzato e quanto un potenziale hacker possa influenzarlo, cosa che ho fatto. Il mio compito per questo progetto era evidenziare le questioni chiave e offrire raccomandazioni per la riparazione. Sfortunatamente, non posso rivelare i dettagli - NDA.
Anton Bochkarev
Sono andato a IB subito dopo il liceo.Anche se ho provato molte attività nell'IT, non sono mai andato lontano dalla sicurezza delle informazioni, sono un appassionato. Per me una startup è il lavoro della mia vita, un'opportunità per migliorare il mercato di un ordine di grandezza. Lavorando in questo settore fin dai miei anni da senior, ho capito sempre più che il mercato è inefficiente e conservatore. Non è il più flessibile possibile e non c'è dubbio sull'efficacia dei processi aziendali. Il mercato resiste ai cambiamenti dei processi aziendali, principalmente a causa della deformazione professionale dei manager che cercano di evitare qualsiasi cambiamento, considerandoli come un rischio aggiuntivo.
Più lavoravo in aziende industriali,migliori erano i problemi. Ho ricoperto ruoli completamente diversi da diversi lati del mercato e penso di poterlo migliorare. Il punto chiave è che vediamo il futuro del mercato dei servizi nella sicurezza delle informazioni nel modello di servizio. È come un mercato dei taxi che gli aggregatori hanno reso più perfetto.
- Ho la stessa domanda per Artem: perché sei passato dal settore finanziario alla sicurezza informatica? Qual è il tuo ruolo nel progetto?
Artem:Quando lavori per una grande azienda, non vedi i risultati del tuo lavoro. Lavori spesso in squadra, loro ti assicurano, tu assicuri. Ecco un'altra storia: se non fai qualcosa, non accadrà. Ci sono molte più opportunità per l'autorealizzazione. Ho sempre voluto mettermi alla prova in una startup, soprattutto in un settore che mi sembrava interessante.
Artem Nalivaiko
Siamo una piccola azienda, non abbiamo problemiseparazione dei ruoli. Sono più coinvolto nella creazione del prodotto finale, nelle presentazioni, nelle trattative. Un ringraziamento speciale alla comunità della New Economic School - mi hanno aiutato a credere in me stesso. Quando in qualsiasi momento puoi porre una domanda a persone che hanno costruito un'impresa in diversi paesi, questo non è solo molto utile, ma anche motivante! Quindi non abbiamo calpestato il rastrello dei nostri predecessori, eravamo convinti che fosse possibile iniziare senza un investitore. La cosa più importante è che ero convinto che l'idea funzionasse e fosse richiesta.
— In che modo una persona impara la sicurezza informatica? È la strada dell'hacker al contrario?
Anton:La formazione sulla sicurezza informatica è fondamentalmente diversa dalla formazione dei programmatori, un modo di pensare completamente diverso. Le università hanno delle specialità, forniscono una base, un vettore per il movimento professionale, questo è sufficiente. Ma il lavoro in questo campo è un sacco di appassionati; gli specialisti qui nascono dalla pratica e dall'autoformazione. Naturalmente ci viene insegnata anche la programmazione, ma non allo stesso modo dei programmatori.
Abbiamo le nostre conferenze e comunità di hacker.La sicurezza informatica non fa parte dell'IT, ma solo un'area con molte sovrapposizioni con l'IT. Alcuni appassionati curiosi entrano in sicurezza e fuori dall'IT, attraverso un ampio livello di conoscenza auto-acquisita e ottenuto pratica legale in lavori correlati o concorsi di hacker. Un'istruzione superiore specializzata non è richiesta, ma auspicabile.
“I problemi di sicurezza delle informazioni non vengono risolti da anni”
- A che punto ti sei reso conto di aver bisogno di una piattaforma che selezioni gli appaltatori della sicurezza delle informazioni?
Anton: Vedo molti problemi nel mercato dei servizi di sicurezza delle informazioni, non vengono risolti da anni. La principale è la catena degli intermediari, la situazione in cui 10mila persone vendono i servizi di mille artisti.
La sicurezza delle informazioni è un'area critica con un elevato costo di errore.Puoi rivolgerti direttamente a uno specialista, ma come garantire il giusto livello di garanzie? La sicurezza delle informazioni non è un servizio di massa, non può essere costruita su recensioni positive. Pertanto, siamo diventati non solo una piattaforma di ricerca, ma un intermediario a tutti gli effetti, un traduttore dal linguaggio degli affari al linguaggio della tecnologia. Aiutiamo a scrivere termini di riferimento, redigere contratti nell'interesse di tutte le parti, verificare la legalità, le qualifiche dell'appaltatore e condurre un esame indipendente dei risultati dei lavori. Non puoi semplicemente raccogliere clienti e artisti in un unico posto, hai bisogno di un intermediario attivo che possa gestire il processo. Tutta la mia carriera è una storia sulla necessità di un tale servizio.
“L'IS è un'area critica con un alto costo dell'errore”
— Perché i clienti non interagiscono direttamente con gli specialisti?
Anton:Nell'interazione diretta ci sono molti rischi per entrambe le parti, quindi gli intermediari ne traggono vantaggio. Il mercato si stava sviluppando in modo abbastanza caotico, ecco perché è successo, l'obiettivo della nostra startup è rompere questo schema obsoleto.
Artem: L'obiettivo della nostra attività è cambiare questa situazione. Un enorme strato di appaltatori e venditori rende il mercato meno efficiente e aumenta i prezzi. Di conseguenza, l'azienda diventa più vulnerabile.
- Come si verifica che l'esecutore sia coscienzioso e professionale? Quali sono i tuoi modi per verificarlo?
Anton:Senza entrare nei dettagli, la community della sicurezza delle informazioni non è così grande e nella maggior parte dei casi possiamo trovare, ad esempio, ex colleghi del performer. Se ci fosse qualcosa di negativo su di esso, allora lo scopriremo. L'esperienza nel mercato è abbastanza indicativa.
— Puoi fare un esempio di un ordine tipico, conQuali richieste ti fanno le aziende? Quali soluzioni offrite loro? Hanno delle richieste specifiche per gli artisti di cui hanno bisogno?
Anton: Gli ordini sono molto individuali.Alcune delle richieste ci hanno sorpreso. Tipici sono i controlli di sicurezza di siti Web, applicazioni, test di penetrazione, impostazione di strumenti di sicurezza, ingegneria sociale: questi sono servizi molto popolari sul mercato. Ma il diavolo sta nei dettagli: molti ordini hanno specifiche che devono essere prese in considerazione quando si lavora con un cliente e quando si calcolano i costi di manodopera. Ci sono richieste uniche, di norma, ciò è dovuto alle peculiarità dell'attività del cliente. Ad esempio, in mercati altamente competitivi, lo spionaggio industriale è considerato la principale minaccia, quindi i rischi per la privacy sono i più rilevanti. Le aziende di logistica e manifatturiere, d'altra parte, monitorano principalmente la continuità aziendale, quindi i rischi di disponibilità sono più rilevanti per loro.
A quali aziende vuoi rivolgerti? Le piccole imprese oggi corrono gli stessi rischi delle grandi imprese?
Artem:Innanzitutto, per le piccole e medie imprese, uno dei nostri compiti è mettere a loro disposizione servizi di sicurezza delle informazioni. Le aziende di diversi settori hanno le loro specifiche, ora stiamo lavorando per rendere le nostre offerte "in scatola" uniche per un particolare settore.
Questi servizi sono costosi se contattigrandi aziende di sicurezza delle informazioni o un integratore di sistemi. È difficile nominare il costo medio, poiché si tratta di un intero livello di servizi, stimato in base al costo del lavoro di specifici esecutori. Ora, per la maggior parte delle aziende, i rischi della sicurezza delle informazioni stanno diventando evidenti e sono già pronte a spenderci soldi, ma se il costo dei servizi sta aumentando per il loro business. Altrimenti, è più facile per loro correre questi rischi.
Le minacce sul mercato sono approssimativamente le stesse pertutti, ma di norma le grandi aziende hanno già esperienza nel campo della sicurezza delle informazioni e una comprensione di ciò di cui hanno bisogno. Inoltre, le grandi aziende sono un obiettivo più interessante per gli aggressori. Per le piccole imprese, questa comprensione spesso deve essere formata - sfortunatamente, spesso arriva dopo che i rischi sono stati realizzati.
— Che tipo di minacce informatiche in pratica incontri più spesso oggi? Quali sono le minacce più difficili da affrontare?
Anton: Perdita di dati critici.È necessario separare le minacce interne ed esterne; esse richiedono misure preventive diverse. Se dovessi evidenziare qualcosa di specifico, parlerei del rischio di perdita dei dati dei clienti. Spesso anche la perdita di un archivio di posta elettronica può causare danni enormi ad un’azienda. La cosa più difficile da combattere è il fattore umano: un'e-mail di phishing aperta può creare molti problemi. Impostando correttamente i diritti di accesso all’interno dell’azienda, il danno può essere ridotto al minimo. Ma una persona è sempre la parte più vulnerabile del sistema.
– Non pensi questo a causa della popolaritàla sicurezza informatica è diventata populismo: ogni applicazione scrive che si preoccupa della sicurezza dei propri utenti (anche se non è un dato di fatto che tutto vada bene con questo). Pensi che questo abbia reso gli utenti meno critici e meno preoccupati per la loro sicurezza?
Anton: Evviva, finalmente la sicurezza è diventata popolare! Spero che questa moda aiuti a mettere fuori gioco i grandi budget e ad attirare specialisti più intelligenti sul campo.
La recente fuga di notizie di Yandex.Food ha mostrato che anche l'atteggiamento più riverente nei confronti della sicurezza non è una panacea. Non credo che abbiano cominciato a pensare meno alla sicurezza, prima della divulgazione tutto era ancora peggio.
"L'invenzione di un computer quantistico universale è piuttosto lontana"
— Le tecnologie quantistiche sono una vera minaccia per le aziende adesso?
Anton:Non lo sono e non lo saranno per molto tempo. L'invenzione di un computer quantistico universale è piuttosto lontana. Ma già ora c'è una scelta di algoritmi post-quantistici che saranno implementati in strumenti di crittografia standard e saranno supportati dalla maggior parte dei software moderni. Pertanto, fortunatamente, in quest'area, lo scudo apparirà molto più veloce della spada. Prevediamo l'annuncio di algoritmi di crittografia post-quantistica nei prossimi 2-3 anni e la creazione di un computer quantistico universale, non prima del 2030.
D'altra parte, le tecnologie quantistiche hanno cessato da tempo di essere solo un clamore, quindi questo è, senza dubbio, il nostro futuro. L'unica domanda è quando arriverà.
"E in quali aree una spada può apparire più veloce di uno scudo?"
Anton:Le vulnerabilità zero-day compaiono regolarmente: questo è il caso in cui la spada appare più velocemente. Ma la loro influenza dovrebbe essere mitigata da ulteriori misure compensative universali. Nei prossimi 5-10 anni, l'aumento dei finanziamenti per i gruppi di hacker filo-governativi potrebbe creare ulteriori minacce anche sul mercato commerciale.
"L'invenzione di un computer quantistico universale è piuttosto lontana"
— Come vedi il tuo prodotto ideale?È un sito come "Profi", dove i clienti ordinari cercheranno appaltatori nel campo della sicurezza delle informazioni? Sei sicuro che questo sia un servizio così popolare e che il tuo sito sarà popolare?
Artem:Questo non è affatto "Pro", perché la nostra cosa principale non è il numero di telefono e il curriculum dell'artista. La verifica degli artisti è uno dei servizi più importanti della piattaforma, perché sullo stesso "Profi" viene effettuata tutta la verifica il fatto che il nome e la foto vengano confrontati con il passaporto. È una prova?
Il nostro prodotto ideale è un semplice e comprensibileuna “scatola” per il cliente, che tenga conto di tutte le sue esigenze, non obbliga ad approfondire le sfumature tecniche. Allo stesso tempo, la "scatola" è equilibrata, tiene già conto delle peculiarità della sua attività, delle specificità del settore, delle minacce esistenti e può essere finalizzata per una richiesta specifica.
Per noi è importante non solo realizzare un buon prodotto,e per costruire il suo supporto nel modo più efficiente possibile dall'assistenza nella preparazione delle specifiche tecniche, dei contratti, delle comunicazioni primarie con l'appaltatore e fino alla creazione della relazione finale. In futuro, vogliamo imparare a generarli automaticamente.
In generale, i servizi di sicurezza sono un intero livelloservizi, tenuto conto della naturale crescita del mercato della sicurezza informatica e della crescita provocata dalla situazione internazionale, siamo fiduciosi che sulla piattaforma ci saranno ordini più che sufficienti.
Cosa ti interessa di più del tuo lavoro in questo momento? Cosa vuoi cambiare in questo settore? In che modo la "terza parte" dovrebbe influenzare questo?
Artem:Vogliamo rendere il mercato dei servizi di sicurezza delle informazioni il più efficiente, trasparente e sicuro possibile. Questa è un'area piuttosto delicata, molti processi in cui si basano sulla fiducia. Lo chiamerei così: "migliori pratiche di mercato comprensibili per le imprese".
Siamo ben consapevoli che saremo sempre nel mezzo, tra gli esperti di business e di sicurezza delle informazioni. Ed è molto importante per noi assicurarci che entrambe le parti si capiscano e siano soddisfatte.
In che modo le circostanze esterne influenzano ilaccade nel campo della sicurezza delle informazioni? Cosa sono cambiati la pandemia e gli eventi dal 24 febbraio? Ad esempio, come proteggere i dipendenti che lavorano da remoto? Come proteggersi dagli attacchi o dalle minacce informatiche degli hacker più cool del mondo?
Anton:Non sono apparse nuove minacce, sono solo cresciute molto seriamente, così come il costo di un errore. DDOS è una storia sull'hardware, e principalmente sul lato del provider o su un servizio esterno. Idealmente, dovresti rendere l'hacking non redditizio o il più improbabile possibile. Ma qualsiasi sistema sarà vulnerabile, sempre.
Tenere al sicuro i dipendenti remoticome il resto. Non ci sono differenze nella fase di assunzione, ma l'approccio alla creazione di posti di lavoro è diverso. I moderni strumenti di controllo degli accessi consentono di ridurre i rischi del lavoro a distanza al livello dei normali impiegati, a meno che, ovviamente, non si affidino le impostazioni di controllo degli accessi a professionisti.
— Quali problemi, idee sbagliate e miti esistono oggi nel campo della sicurezza aziendale? Quali sono i più pericolosi per gli utenti regolari e i tuoi clienti?
Anton:"Non abbiamo nulla da difendere" - tali commenti si trovano ancora, non ci sono commenti qui. "Stiamo bene, non siamo ancora stati hackerati!" - L'hacking non è sempre immediatamente evidente, la società potrebbe non saperlo per molto tempo, a seconda dei gol degli attaccanti.
A volte i clienti dicono:"Nessuno è interessato a noi", ma il più delle volte gli aggressori cercano di hackerare tutto e monetizzare tutto ciò che possono raggiungere. Pertanto, nessuno ti cercherà di proposito, ti bloccheranno semplicemente su una tangente.
"Ora il business ha sentito molti rischi che prima non erano seriamente considerati"
— Come sei arrivato a Innopolis? Perché ne avevi bisogno e in che modo aiuta nello sviluppo?
Anton: Siamo venuti a Innopolis consapevolmente.Volevamo sfruttare i vantaggi della zona economica speciale, ce ne sono già abbastanza in Russia. Abbiamo scelto Innopolis semplicemente perché ci sono meno potenziali concorrenti rispetto a Skolkovo e per la piacevole atmosfera di una città IT. Sono nato e cresciuto a Kazan, ho visitato Innopolis con spettacoli, i miei amici hanno studiato qui, anche questo mi ha influenzato.
Innopolis ci aiuta principalmente nelle pubbliche relazioni. I collegamenti con altre startup residenti aiutano, ad esempio, due spot pubblicitari chic sono stati disegnati dai ragazzi residenti!
Artem:Di solito, le SEZ cercano investitori, dipendenti o connessioni. E sempre - per l'opportunità di pagare meno tasse, questo è un ottimo affare sia per lo stato che per l'azienda. Di quanto sopra, siamo più interessati alle connessioni, alla comunità: non abbiamo dipendenti nello staff e nella fase iniziale abbiamo deciso di non attirare un investitore. Ora l'azienda viene costruita con i nostri fondi. Dopo qualche tempo cercheremo un investitore, ma vorremmo farlo in una fase molto successiva.
Quanto tempo puoi investire nel progetto? Di quanti anni ancora di investimento hai bisogno per iniziare a ripagare, a che punto inizierai a cercare investitori?
Artem:Non si tratta di soldi, ma di come li usi. Avremmo potuto fare tutto ciò che abbiamo fatto ora spendendo dieci volte tanto e semplicemente risolvendo i problemi con i soldi. Invece, abbiamo avuto molta pubblicità gratuita o relativamente economica. Questo non è guerriglia marketing, ma qualcosa di ideologicamente vicino.
Il progetto non richiede grandi investimenti. Non abbiamo bisogno di decine o centinaia di milioni di rubli. Infobez riguarda la fiducia, e se puoi provalo compra - è molto costoso e senza garanzierisultato. Una volta ci siamo seduti con Anton e abbiamo pensato a cosa avremmo potuto avere bisogno dei soldi dell'investitore. Ci siamo resi conto che queste cose esistono, ma non sono la chiave per raggiungere il risultato.
- Come pensi di adattarti a ciò che sta accadendo ora: sanzioni, isolamento? Cosa ne pensi delle misure di sostegno che il governo ha già approvato?
Artem:Stiamo cercando di sfruttare al meglio questa situazione, perché il tema della sicurezza è diventato più rilevante. Le aziende hanno affrontato molti rischi che prima non avevano preso seriamente in considerazione. Le perdite e gli hack delle grandi aziende hanno aumentato la loro paranoia e il desiderio di lavorare sulla loro sicurezza. Il mercato sta crescendo ancora più velocemente di prima.
Sanzioni e isolamento hanno complicato la situazione con alcunisoftware di profilo, accesso chiuso a clienti esteri e piattaforme pubblicitarie. Ma le misure di sostegno cominciano ad essere progressivamente attuate, ci sembrano abbastanza utili. Siamo già iscritti all'albo delle società informatiche accreditate e approfitteremo di alcune delle offerte.
Quali sono i tuoi obiettivi per i prossimi anni?
Artem:Il nostro obiettivo principale ora è lanciare vendite stabili. Allo stesso tempo, impegnarsi nel miglior servizio, il più efficace, offrendo servizi migliori ai prezzi migliori rispetto ad altri paesi. Dovrebbe essere comprensibile e trasparente: non ci occupiamo solo di vendita, ma consigliamo, raccontiamo e cerchiamo di aiutare le persone a sviluppare competenze di base nella sicurezza delle informazioni.
Anton:Riteniamo che portare la nostra piattaforma sul mercato renderà disponibili i servizi di sicurezza delle informazioni a qualsiasi cliente. Per noi, questo è un modo per cambiare il mercato della sicurezza delle informazioni in Russia, per renderlo più trasparente, comprensibile, accessibile e onesto.
Leggi di più:
Monkeypox sta diventando un virus globale: perché si trasmette così velocemente
Qualcosa di strano sta accadendo nell'Universo: come spiegare le incongruenze nella costante di Hubble
Diagnosi in un minuto: come l'IT sta cambiando l'assistenza sanitaria