Олжас Сатиев, ЦАРКА: я не шел на сделку со своей совестью
Интервью с президентом «Центра анализа и расследования кибератак» о ландшафте угроз в области информационной безопасности в Казахстане.
Последние пару лет сформировался некий дискурс о «казахстанском пути в информационной безопасности». Отчасти это вылилось в мучительный поиск «идентичности» в части того же «Киберщита». Что с ним? Правильно ли тут заданы направления? — президент «Центра анализа и расследования кибератак» Олжас Сатиев высказывает свою точку зрения. Точку зрения практика, а не теоретика.
— Олжас, расскажите о вашей ассоциации.
— На сегодня в ассоциации 5 членов. Все это компании, так или иначе связанные с информационной безопасностью либо с инфокоммуникациями. Структура довольно стандартная для организаций такого плана: ЦАРКА существует на членские взносы ее участников. Изначально мы понимали, что ассоциация — это общественный проект, мы понимали, что в нее нужно вкладывать деньги. Но, с другой стороны, понимали и то, что эта работа очень нужна — информационная безопасность, кибербезопасность — это тренд не на один год. Они [направления], видимо, будут существовать ровно столько, сколько и интернет, инфокоммуникации. Вот это осознание нам помогло: мы, не смотря на то, что никто из крупных игроков рынка нас не поддержал, все-таки встали на этот путь. Но есть еще один момент, это безусловный плюс — из-за того, что ассоциация небольшая, мы можем принимать решения быстро, не оглядываясь на то, что скажут другие.
— На чем вы сейчас концентрируетесь?
— Есть два направления. Первое — общественная деятельность. Это конференции, мероприятия, связанные с популяризацией предмета. Та же ежегодная практическая конференция Kaz’Hack’Stan, посвященная актуальным проблемам информационной безопасности. Это очень масштабное мероприятие, оно собирает до 2000 участников! И организовать его стоит очень недешево. Вторая часть — это консалтинг в области информационной и кибербезопасности. И здесь речь идет не о том, что именно ЦАРКА его проводит, его проводят компании, которые являются членами ассоциации. В общем, я тут ничего не вижу предосудительного, ведь одна из задач ассоциации — представлять интересы ее участников.
Вообще, когда мы затевали ЦАРКА, мы понимали, что это нагрузка — это время, и часто это личное время. Сегодня, откровенного говоря, я большую часть времени занимаюсь этой общественной работой, а не заниматься не получается — мы понимаем, что являемся одними из катализаторов процесса. И еще мы очень надеемся, что к этой работе подключатся другие игроки рынка, и может быть, со временем, у ассоциации появится и выделенный руководитель.
— Мы видим, что в стане ассоциаций в области информационной и кибербезопасности в Казахстане становится тесно. Достаточно ли масштаба для их деятельности?
— Ну, я бы тут сказал так: посмотрите на их деятельность, заметна ли она? Ко мне почти каждый день звонят с просьбой дать ту или иную оценку события. И я порой прошу обращаться в другие ассоциации, но там, к сожалению, им такую оценку не дают. Никто кроме нас не проводит конференции, а мы, к слову, тратим на Kaz’Hack’Stan почти 15 миллионов тенге собственных средств! Второе — наше видение резко отличается от видения других участников рынка. Все хотят быстрых денег, и это специфика бизнеса в Казахстане, — считается нормальным, если компания окупается за год-три. Хотя, в мире речь идет о горизонте 10-20 лет. Сегодня конъюнктура рынка такова, что мало заказчиков, мало экспертизы, поэтому инвестировать в такой рынок просто никто не хочет. Взять те же конференции по ИБ. Какая задача практикуется, какая — главная? Продать, заключить договоры, желательно прямо на конференции. И все. Наша стратегия — выстраивать бизнес в долгую, и это, может быть, и наша проблема: мы ориентированы на рост местной квалификации, экспертизы, рост местных кадров. Тут уместна такая аллегория: мы не хотим покупать рыбу, мы хотим покупать сети, чтобы делать инструменты для бизнеса. И такой подход даст серьезные плоды на длинной дистанции.
— Задам немного отвлеченный вопрос, который, может, напрямую и не связан с ЦАРКА. Как у вас обстоят дела в WebTotem? Его хорошо приняли в Сингапуре. А в Казахстане?
— Пока он убыточный, но разработка просто отличная, WebTotem — очень технологичен, это полноценный полностековый проект. Финансируемся в этом проекте как за счет собственных средств, так и за счет инвестора. Мы понимаем, что с этим продуктом нам еще идти долго, поэтому не строим иллюзий — он выстрелит не сегодня и не завтра. Второе — и это важно, — наш убыток здесь складывается еще и потому, что мы ведем агрессивную кадровую работу. Что я имею в виду? Мы активно обучаем людей, берем их на работу. Сейчас у нас 40 разработчиков. И их не хватает — нам нужно 100.
— Олжас, дошли до фундаментального вопроса. Каков ландшафт угроз сегодня? Способен ли Казахстан им эффективно противостоять? Тот же «Киберщит», насколько там все хорошо продвигается?
— Мне это напоминает картину: когда художник рисует — сначала он делает крупные мазки. И лишь потом все это превращается в законченную картину. Пока отсутствовала регуляторика, пока отсутствовала экспертиза и какие-то компетенции, все это напоминало лоскутное одеяло. Сейчас мы видим, что картина начинает оформляться во что-то понятное и прогнозируемое. Хотя, это пока все еще только ее часть — есть решение о создании Национального координационного центра информационной безопасности (НКЦИБ). Это вершина пирамиды — если мы представим всю структуру в виде пирамиды, то на самом верху — это как раз НКЦИБ. Еще в этой структуре мы видим утвержденный правительством список критически важных объектов инфраструктуры — и это уже ближе к нижней части пирамиды. Таковых, кстати, более 200. И этот список периодически пополняется. По видению регулятора, в середине пирамиды должен быть представлен частный бизнес. Это, так называемые, ОЦИБы (Оперативные центры информационной безопасности — прим. редакции). Как понятно из контекста, они должны осуществлять мониторинг и деятельность по осуществлению услуг по информационной безопасности для критически-важных объектов, частных компаний, банков и так далее. И передавать всю информацию об инцидентах в информационной безопасности наверх — то есть, в НКЦИБ. Получается, что вот этой части как раз нет. Оттого процессы не налажены, да и схем взаимодействия нет. Сегодня, фактически, мы, являясь единственным лицензированным ОЦИБ, до сих пор не интегрированы в процессы. Соответственно, мы не можем проводить расследования, осуществлять деятельность в рамках функционала ОЦИБ. Таким образом, получается, что нижняя часть пирамиды не понимает, какова схема и порядок действий, каков тут алгоритм. Понятно, что законодательство будет меняться — от хаоса переходного периода в сторону более упорядоченной конструкции.
Но в целом, я вижу, что этот тренд имеет положительное свойство, по крайней мере, можно говорить, что у регулятора уже есть правильное видение. Они признают, что схема не идеальна.
— Если бы вы были регулятором, то как бы выстроили процесс?
— Я думаю, что он был бы плюс-минус схожим. Тут велосипед не придумаешь. Строили бы на базе лучших мировых практик. Как и сейчас. В чем повезло нам? В том, что на момент подготовки пакета решений в области ИБ, было постановление о создании общественных советов. И мы приняли активное участие в соответствующем общественном совете, что дало нам возможность влиять на процесс. Где-то мы голосовали против, где-то поддерживали инициативы. Это помогло не пропустить откровенно спорные вещи.
— Олжас, «Документолог». Мы не сможем пройти мимо этого как бы ни хотелось. Слишком резонансное дело получилось. Могли бы вы пояснить свою позицию в этом деле?
— Вот уж чего мы не чувствуем, так это угрызений совести. Я не шел на сделку со своей совестью. И решение было не спонтанное, не горячее — ситуация была взвешена на весах. И мы приняли осознанное решение. И если отмотать пленку назад, то мы бы повторили наш алгоритм, пошли бы той же дорогой. Тут важно понимать, почему мы это сделали. У нас нет какой-то личной неприязни, но мы занимаемся тем, что выявляем ошибки в системах — это наша работа. И часто нам говорят, когда мы показываем какие-то «дыры», — ну, это же госорган, там нет специалистов, нет таких бюджетов. Идем дальше — стартап. То же самое — ну, это же стартап, у них нет денег на специалиста. Идем дальше — электронное правительство. Целое электронное правительство! Та же история — нет денег. Опять такие же отговорки. В случае с «Документологом» — ну, это успешная компания, которая внедрила свой продукт в ряд национальных компаний, компания имеет достаточно средств на специалистов, на аудит ИБ. Но, несмотря на это, она не посчитала нужным выстроить некоторые моменты в информационной безопасности. Напомню, что на тот момент политика компании была построена таким образом, что администратор «Документолога» имел доступ к документам, которые оборачиваются в системе. Это, по нашему мнению, недопустимо.
Небольшое отступление. В целом, тезис, который мы высказали на встрече с депутатами, звучит так: при развитии отрасли кибербезопасности, нужно выставить определенный уровень требований для компаний, которые работают на рынке инфобезопасности. Чтобы поддерживать не всех подряд, а компании, которые имеют необходимую экспертизу, компетенции. И это заставит их [компании] двигаться вперед, развивать квалификацию.
Возвращаясь к «Документологу» хотел сказать, что вся эта ситуация помогает компании стать еще сильнее. Ведь, если компания намерена выйти на международный уровень, то первый вопрос, который будет задан со стороны потенциальных пользователей — а что у вас с безопасностью? Это, кстати, полезный урок не только для «Докуметолога», — мы видим, что начала меняется структура рынка в этом вопросе, в целом меняется его ландшафт. Компании стали более пристально смотреть на информационную безопасность, менять подходы. И это, определенно, на пользу, потому что это делает компании более конкурентоспособными. И еще это позволяет избежать двойных стандартов: отечественные продукты — это хорошо, но если у них есть вопросы с точки зрения информационной безопасности, они должны быть решены. Нельзя же закрывать глаза на эти вопросы только потому, что этот продукт разработан в Казахстане!
— Какие сейчас есть зоны риска в части информационной безопасности применительно к Казахстану? Где слабые стороны?
— Если взглянуть на рейтинги стран в области информационной безопасности, то заметно, что лидируют те, которые находятся в тех или иных конфликтах. И это заставляет их мобилизоваться. В частности, Иран, который очень сильно поднял свой уровень, в этом же списке — Украина, Южная Корея, Израиль. У нас же идет лавинообразная цифровизация — мы видим каждый день. И в какой-то момент эта, казалось бы, на первый взгляд, устойчивая конструкция может рухнуть. Просто ошибки имеют свойство накапливаться, и если вести эту работу бессистемно, то в какой-то момент мы можем понести большой ущерб. Вот что такое информационная безопасность? Доступность, целостность и конфиденциальность. Это три кита. Что у нас происходит в той части на практике? Взять электронное правительство — на днях мы прочитали в новости, что несколько дней около 20 сайтов не будут работать. Это уже нарушение принципа доступности. Иногда приводится оговорка о том, что сервисные работы ведутся ночью. Но, позвольте, ведь этот сервис должен быть доступен 24 часа в сутки! И если наши граждане живут в США, то они должны иметь доступ к сервисам и ночью. По целостности — тут мы знаем много инцидентов. Пользователи часто жалуются, что информация в базе о них не совсем достоверна. Здесь речь должна идти о каком-то бесшовном подходе. То есть, все процессы, связанные с сервисами, должны вестись в какой-то тестовой среде. И после этого переноситься в реальную среду. Ну, и конфиденциальность. Здесь тоже много вопросов. Вот три базовых принципа. И все три мы умудряемся нарушать. И когда мы задаем резонный вопрос: а почему сервис-то не работает? — мы получаем ответ: ну мы же вас предупредили. Получается, что они обновляют «боевую» систему? Ну, о чем можно тогда говорить?
После этого нетрудно понять, на каком уровне в части информационной безопасности мы находимся прямо сейчас.
— Какие планы стоят перед ассоциацией, перед компаниями, которые являются ее учредителями, в каких направлениях вы будете двигаться дальше?
— Мы намерены выходить на международный рынок, у нас уже есть конкретные заказы. Есть проекты в США, Украине. Были проекты в России, Узбекистане и Кыргызстане. Прямо сейчас мы ведем киберрасследование в Таиланде. Второе — кадры. Выше я уже говорил про это — через Kaz’Hack’Stan мы развернули эту работу два года назад. И сейчас получаем плоды — ребята «зажигаются» идеей, самой философией, мы видим эти глаза. Вот конкретный пример — пару дней назад был звонок из Кызылорды: ребята «зажглись» нашими выступлениями и пошли дальше — получили крутой международный сертификат по информационной безопасности. Ну чем не вдохновляющий пример? Мы очень сильно вовлечены в образовательный процесс. А в этом году вообще запланировали «бомбу» — трип по всему Казахстану. И в каждом городе будем проводить мини-Kaz’Hack’Stan — ведь не все могут приехать на основное мероприятие. Вот такие планы строим на 2019 год.