Айдар Гузаиров: Компания работает на рынке информационной безопасности, входит в топ-10 крупнейших в этом сегменте. Основная цель нашей работы — делать так, чтобы хакеры не угрожали бизнесу наших клиентов. Мы несем ту самую реальную кибербезопасность в нашу экономику, запрос на которую все громче звучит в профессиональной среде.
Я работаю на рынке информационной безопасности более 25 лет, начинал с инженера, и, по сути, прошел весь карьерный путь до кресла СЕО. Наверное, это во многом предопределило ДНК компании — желание быть технологическим лидером, желание добиваться именно целевого результата своей деятельности.CNews: В чем выражается этот результат?
Айдар Гузаиров: В повышении цифровой устойчивости инфраструктуры, которую не смогут разрушить хакеры, несмотря на все старания. К сожалению, периодически мы слышим новости о громких взломах ряда российских разработчиков и интеграторов, в том числе с проникновением в инфраструктуру их клиентов и партнеров. Эти эпизоды показывают нам, что от хакеров не застрахован никто. При этом мы не можем допустить, чтобы наша компания стала точкой входа, и это бы нарушило работу крупного бизнеса. Важно снизить риски до минимума. Собственно, такую цель мы себе наметили. И сейчас в компании завершился первый этап открытых кибериспытаний — полгода мы отработали в режиме постоянных проверок и атак. Но на самом деле всё началось гораздо раньше. Не шесть месяцев, а уже больше года назад.
CNews: Вы говорите про заявление о выходе на баг-баунти, сделанное на форуме Kazan Digital Week-2023?
Айдар Гузаиров: Да, но такое решение мы приняли гораздо раньше. Ввиду своей погруженности в проблему и понимания того, что происходит на рынке информационной безопасности, я прекрасно видел, как развивается ситуация после февраля 2022 года. Понимал, что весь отечественный сегмент интернета становится легитимной целью для хакеров. Видел, как попадают под атаки ИТ-компании, наши коллеги по цеху. Естественно, это всегда вызывало во мне тревогу. Сформировалось понимание, что мы должны быть устойчивы, должны защищать информацию о наших клиентах и всех, кто доверил нам свою безопасность.
И, исходя из этих намерений, я регулярно сверялся с нашими внутренними службами, которые обеспечивают информационную безопасность. Разговоры были очень специфические, технологические — что и как у нас устроено, какие новые атаки происходят, как мы им противостоим. И, наверное, еще полтора года назад у меня была четкая уверенность, что, в принципе, мы действуем правильно, мы защищены и, по большому счету, нам, нашим клиентам и партнерам ничего не угрожает.
Так я принял решение о том, что нам необходимо выйти на открытые киберспытания, войти в программу баг-баунти. Об этом хотелось заявить на казанском форуме Kazan Digital Week в сентябре 2023 года. Собственно, с этой мыслью я пришел к нашей команде со словами «Ребята, пора».
CNews: Как отреагировали ИТ и ИБ-службы? Сошлось их и ваше видение по срокам и процессам?
Айдар Гузаиров: До сих пор помню ту речь, которую произнёс на утреннем совещании. Про наши основные цели, про высокую компетентность и необходимость на своём примере показать, как надо противостоять хакерам. Но команда сказала мне: «Айдар, извини, но мы не готовы».
И если до этого момента я спал относительно спокойно и предполагал, что граница на замке, то с этой самой минуты я попробовал представить: «А что же реально происходит с нашей кибербезопасностью? Ведь мы в области кибербезопасности больше 25 лет»».
И я задумался — а как же себя чувствуют другие CEO, которые не обладают таким бэкграундом, такой погруженностью, как они разговаривают с собственными безопасниками, как они ставят цели, задачи, как они измеряют результаты, ведь у них нет такого арсенала, как у меня.
CNews: Какое решение вы тогда приняли?
Айдар Гузаиров: Что должна быть некая неотвратимость, и на форуме мы заявили о запуске процесса подготовки и выходе на открытые кибериспытания уже в мае 2024 года.
Девять месяцев ушло на то, чтобы критически посмотреть на защищенность нашей инфраструктуры, на готовность служб и на подготовку наших сотрудников к тому, что с определенной даты атаки хакеров будут обрушиваться на нас в режиме 24 на 7.
Это очень хорошо прочищает мозги. Это выводит тебя из состояния, как будто «что-то может случиться, но не со мной». Абсолютно четко понимаешь, что ты будешь под прицелом и что тебе надо быть в максимальном фокусе и в максимальном сосредоточении.
CNews: По ходу подготовки, помимо трансформации инфраструктуры, которая, предполагаю, была во главе угла, какие еще перемены происходили внутри компании?
Айдар Гузаиров: Наверное, из этих девяти месяцев самый большой сдвиг происходил в головах у сотрудников: «А как же нам перейти из одного состояния в другое, как нам выдерживать то, что любая наша ошибка может привести к взлому?».
Мне кажется, что время подготовки в девять месяцев — это очень символично. Мы действительно за это время переродились в компанию другого толка, как с точки зрения инфраструктуры, так и с точки зрения наших собственных подходов. Эта проверка дала нам мощный подъем нашей собственной экспертизы в ИБ. Получилось проверить свои гипотезы, применить смелые идеи и найти решения, причем, непосредственно в бою. То есть наша команда не находится в вакууме, мы на передовой. По сути, используем свою реальную инфраструктуру в качестве киберполигона для оттачивания компетенций.
Также эту девятимесячную осознанную работу мы переложили в собственную методологию обеспечения киберустойчивости, которую назвали CyberYool (прим.ред. — цифровой путь, Yool — путь по-татарски) и сейчас активно продвигаем в рынок, делимся своим опытом.
CNews: Вы отмечаете возросшую осознанность команды. А в вас что-то изменилось?
Айдар Гузаиров: У меня за эти месяцы произошла личная трансформация. Недавно осознал, что прошло полгода после выхода на кибериспытания, а я уже три месяца не интересуюсь тем, что у меня происходит с точки зрения настроек, конфигурации, архитектуры и так далее. Проверка идет с помощью почти тысячи белых хакеров, которые держат нас в очень хорошем, в правильном тонусе. Я благодарен команде, что она так четко и сплоченно работает, реагируя на эти вызовы, отражая около 50 тысяч атак ежемесячно.
Но моё мировоззрение поменялось глубже. Сейчас я понимаю, что кибериспытания — это не просто доказательство компетентности Innostage. Наша компания — только пример, который в принципе может поменять отношение отрасли к измеримой безопасности. Фактически, это перевод разговоров с собственными безопасниками на бизнес-язык, на язык того, что у нас могут сломать, за сколько могут сломать и так далее.
CNews: К какой общей основе можно привести технический и бизнесовый язык?
Айдар Гузаиров: Безопасность в этом бизнес-языке должна измеряться не технологическими средствами, а должна начинаться с бизнеса. Именно бизнесу надо задуматься: что хакеры могут разрушить так, что твой бизнес рухнет. Это те самые недопустимые события и неприемлемые риски.
Например, выходя на испытания, мы в качестве недопустимого события определили кражу денег со счета компании и определили в качестве метрики перевод двух тысяч рублей в неизвестном направлении. Почему именно это? Потому что мы бизнес и потеря денег со счета для нас максимально критична для дальнейшего ведения деятельности. В случае успешной атаки мы готовы заплатить вознаграждение в 10 миллионов рублей.
Сейчас я понимаю, что именно здесь мы получаем некую точку антихрупкости. Это значит, что, если злоумышленники захотят у нас похитить какую-то сумму денег, им придется заплатить хакерам кратно больше за подобный вывод. Как минимум, больше 10 миллионов.
Обобщая эти размышления, можно сделать вывод о кибериспытаниях как об элементе антихрупкости. Автор термина, Насим Талеб, говорил, что антихрупкость помогает выдерживать сильные воздействия или неожиданные события и получать пользу от их возникновения. Испытания позволяют достичь этого.
И вот здесь происходит некий сдвиг парадигмы. Если раньше я боялся, что нас могут взломать и забрать деньги или данные, то сейчас я отношусь к этому абсолютно спокойно, как к некой страховке. Лучше я заплачу белым хакерам, чем настоящий злоумышленник вскроет нашу компанию. И с этой точки зрения я считаю, что это еще больше повышает степень доверия к нам. По сути, я через эту антихрупкость достигаю некоего конкурентного превосходства, я могу предоставить большую степень доверия по защите информации своих клиентов, если у меня есть работающая система кибериспытаний.
CNews: Что еще вы считаете важным по итогам шести месяцев открытых кибериспытаний?
Айдар Гузаиров: У нас не случилось то самое недопустимое событие, никто не смог вывести деньги. Мы предложили промежуточные премии, вознаграждения, за более-менее удачные атаки. В частности, мы готовы заплатить вознаграждение тому, кто вскроет любую рабочую станцию нашего сотрудника. И что мы увидели? На нас организовали успешную фишинговую атаку. Белый хакер пообщался под разными предлогами с нашими сотрудниками, обменялся письмами, увидел формат нашего общения и заготовил настолько продуманное письмо, что три сотрудника ИБ-компании отреагировали, нажали на кнопочку и начали загружать зловредный код. Наша служба информационной безопасности вовремя отреагировала и пресекла дальнейшую атаку.
Здесь хочу отдельно подчеркнуть, что мы внутри компании неоднократно проводили обучение по антифишингу, проводили стресс-тестирование с помощью внутренней пентест-команды. Несмотря на это, пришел внешний хакер и, в принципе, добился определенного успеха.
CNews: Во сколько обошелся компании такой «учитель»?
Айдар Гузаиров: За эту атаку мы заплатили 100 тысяч рублей. Я считаю, что это абсолютно эффективная для компании премия, которая поддерживает тонус сотрудников в хорошем состоянии. Если посчитать инвестиции, которые мы потратили на обучение, тестирование и внутренние атаки, думаю, мы потратили гораздо больше, чем 100 тысяч.
Еще один кейс, который был у нашей организации, это фальшивая Wi-Fi точка в здании бизнес-центра, где расположен один из наших офисов. Хакеры пытались перехватывать пароли наших сотрудников. Очередная таргетированная атака и снова хороший пример того, что наша система находится в состоянии постоянного стресс-теста.
С этой точки зрения я для себя, как управленец, отметил, что подобные механизмы внешних тестирований отрезвляют и дают реальную оценку происходящему вовне. Такие тесты заставляют перестать думать, что со мной этого не случится. Это гораздо более эффективно, чем тысячу раз повторять про угрозы.
CNews: Каким компаниям бы вы рекомендовали и прохождение кибериспытаний?
Айдар Гузаиров: Наверное, больших ограничений нет. Любой компании, которая зависит от ИТ, по сути, всем, кого беспокоит вопрос информационной безопасности. Для начала все компании могут на уровне бизнеса определить недопустимые события, перевести их в бизнес-риски, оцифровать в деньгах и примерно понять, за какую сумму вас могут заказать. Когда вы понимаете, например, что можете стоить порядка 500 миллионов, наверное, защита через кибериспытания в размере 100 миллионов может дать ту самую антихрупкость.
Айдар Гузаиров, Innostage: Лучше я заплачу белым хакерам, чем настоящий злоумышленник вскроет нашу компанию
То есть еще раз: первый большой приоритет — это компании, у которых есть понимание собственных технологических рисков, есть их оцифровка в деньгах. Здесь, мне кажется, прямая дорога — создать ту самую измеримость через открытые кибериспытания, измеримость собственной безопасности и поддержание хорошего тонуса в области кибербезопасности.
CNews: А как защищаться среднему бизнесу, которому явно не хватит девяти месяцев на подготовку и который рискует выплатить вознаграждение чуть ли не в первые дни выхода на открытые кибериспытания?
Айдар Гузаиров: Как ни странно, но те же кибериспытания, в принципе, можно рекомендовать и компаниям, которые могут быть менее зрелыми с точки зрения информационной безопасности. Гарантировав, например, премию в один миллион рублей, вы уже можете начать с помощью внешних белых хакеров некое исследование себя с точки зрения безопасности. Это то, что так или иначе начнет подвергать вас хотя бы типовым атакам. И вы научитесь противостоять этому набору атак, с одной стороны. С другой стороны, возможно, это даст вам некий импульс к большей осознанности, насколько вообще вы зависите от информационной безопасности, насколько вам необходимо этому вопросу уделять внимание.
Также возможно применение инструментов кибериспытаний для того, чтобы обезопасить себя от атаки на цепочку поставок. То есть фактически от атак, которые могут быть направлены на ваших подрядчиков, на ваших провайдеров, на вашу филиальную сеть. Я общался с рядом директоров по информационной безопасности. Они отмечают, что им трудно взаимодействовать с подрядчиками, даже собственными филиалами. Приходится доказывать то, что эти инфраструктуры, подразделения могут быть недостаточно защищены и представлять угрозу для материнской компании или для компании-заказчика.
Но для хакера гораздо проще пробиться там, где безопасности мало. И через этого троянского коня попасть в основную инфраструктуру. С этой точки зрения можно использовать кибериспытания, чтобы подвергнуть ту самую цепочку поставок стресс-тесту. Чтобы спать спокойно и понимать, что оттуда ничего зловредного не прилетит.
CNews: На многих профессиональных форумах можно услышать неутешительный тезис, что хакеры могут взломать любую, самую защищенную компанию. Можно сказать, что открытые кибериспытания кардинально это изменят?
Айдар Гузаиров: Безусловно, кибериспытания — это не универсальный и не идеальный инструмент. Но в текущем контексте он самый действенный с точки зрения измерения безопасности. Мы в компании Innostage готовы проводить дни открытых дверей и рассказывать о нашем опыте кибериспытаний. Показывать, через что мы прошли, что мы увидели, что мы осознали. Вживую, из первых уст. Всегда будем рады видеть.
