Цифровая безопасность хрупкого мира


Российская IT-индустрия выдержала первые удары санкций, и стране пока не грозит вечное технологическое отставание, хотя у многих компаний положение дел становится хуже с каждым месяцем. В ближайшие несколько лет очень многое будет определять не только злая внешняя воля, но и разумность действий государства и участников рынка. В интервью WEALTH Navigator глава ГК Swordfish Security Юрий Сергеев рассказал об ошибках «срочного импортозамещения», надежде на логику рынка и всеобщих проблемах с кибербезопасностью.

30.06.2022





Начнем с самых мрачных прогнозов. Российская экономика начнет сыпаться летом или осенью, и это почувствуют миллионы, то же самое говорят и о неизбежной технологической просадке. Какова динамика этого процесса? С каким настроением будут встречать новый, 2023 год российские IT-специалисты?

Я думаю, настроение будет у всех разное, но нам точно будет что налить в бокалы. О динамике можно сказать тезисно и ретроспективно. Огромная и всем заметная проблема – это отток специалистов. Большие разработчики ПО, некоторые из которых имели здесь собственные R&D-хабы, просто вывозили людей самолетами. Например, Luxoft и EPAM. Улетали и улетают не все, но очень многие. То же самое происходит с большими и малыми вендорами, поставщиками IT-решений и разработок в области кибербезопасности.

Следующая проблема в том, что все вендоры уходят по-разному. Кто-то оставил работающее ПО для своих клиентов, кто-то просто отключил все по щелчку пальцев, не обращая внимание на то, попал ли конкретный бизнес в какой-нибудь черный список или нет. В этом смысле относительно честно поступил Microsoft. Компания покинула рынок со словами: «Ребята, все, что куплено, ваше, пользуйтесь, а ничего нового продать не можем». Но все же в перспективе страна остается без нужной технологии. Например, непонятная ситуация складывается с ОС Windows: неясно, что ожидать дальше.

Что еще? Ключевые российские игроки отключаются от принципиально важной инфраструктуры. SWIFT, Bloomberg, всевозможные data-провайдеры, в области кибербезопасности – Sonatype, один из ключевых поставщиков данных об уязвимостях в открытом исходном коде, просто покидают нас.

Становятся недоступны средства производства. Все, что используется программистами в качестве нормальной рабочей среды: GitLab, GitHub, Nexus, Jfrog и другие чуть менее знаменитые, но важные бренды и разработки. А это база, это наш ящик с инструментами. Где-то люди еще пользуются действующими лицензиями, но через некоторое время и они «превратятся в тыкву», а возвращение вендоров пока не предвидится.

Ну а про технологических гигантов – IBM, Oracle и далее по списку, – про публичные маркетплейсы – App Store и Google Play – и так всем известно. И через все эти события проходят две ключевые тенденции. Первая – шквал кибератак на значимую и незначимую инфраструктуру. Атакуют все, что движется. Вторая – попытки государства (более или менее работающие) поддержать IT-отрасль с фокусом на централизацию, развитие проектов цифровизации и киберсуверенитет.

И когда эти меры поддержки – отсрочки от службы в армии, льготные ипотеки и прочее – начнут работать и дадут какой-то системный эффект?

Трудно оценить это сейчас, пожалуй, еще слишком рано. Часть мер действительно полезна, но скорее для конкретных людей. Реальной поддержки бизнеса пока не ощущается. Даже корпоративные кредиты без каких-либо льгот компаниям нашего сектора весной было получить трудно. I–II квартал – время просадки, банки смотрели на отчетность и не хотели учитывать остроту момента и договариваться. К тому же ставка в 20% и выше мало кого могла устроить.

Что из всего этого следует? Кто мог и хотел уехать, те уже это сделали, кто готов был остаться – остался. Среди первых много амбициозной молодежи, которая хочет проявить себя на мировом уровне. Это неприятно, но я бы не назвал ситуацию драматической.

Нет? То есть остались самые нужные?

Время покажет. У нас в индустрии IT и кибербезопасности всегда был кадровый голод, он остается. Но лично я пока не вижу ситуации, которая окончательно разрушила бы индустрию. Хотя в ближайшие полгода что-то может произойти. Вообще отношение к IT и к информационной безопасности как к дисциплине в компаниях радикально изменилось. Когда вся инфраструктура отказывает, ты наконец очень ясно понимаешь, что она для тебя значила, и начинаешь в спешке искать способы сохранить устойчивость, и рассматриваешь все доступные опции – от серого импорта до реального (а не формального) перехода на российские продукты.

В целом я нейтрально оцениваю сегодняшний рынок. Не могу сказать, что все пропало или что сейчас время возможностей и «розовых единорогов». И то и другое неверно.

Сейчас возник совершенно никем не запланированный поток инвестиций в IT? В бюджете на 2022-й никто таких цифр не записывал.

В каком-то смысле да. И это интересно с точки зрения бизнес-планирования. Год, особенно для индустрии кибербезопасности, у нас уникальный. Если у российского вендора есть качественный, хорошо работающий программный продукт, который действительно востребован, он может собрать с рынка очень много денег, потому что, как у нас это принято, спустить бюджет корпоративному заказчику на что-то неприоритетное в IV квартале уже не получится, при этом на этом фоне высвобождаются огромные бюджеты, ранее запланированные под зарубежные решения. В 2023-м ситуация изменится, возникнет своего рода плановая экономика в новой реальности, проявятся вполне прогнозируемые вещи с учетом импортозамещения, а вот такой уникальной ситуации, как в 2022-м, уже не повторится.

У Swordfish Security есть собственная линейка продуктов для решения задач в области разработки защищенного программного обеспечения. Инвестировать в разработку первых двух продуктов мы начали еще в 2017 году, благодаря чему сейчас и продолжаем развиваться. В апреле этого года мы стартовали разработку третьего продукта. Сегодня, оглядываясь назад, понимаешь, что очень сложно было бы выжить только на сервисных контрактах, де-факто практически одномоментно обнулив вынужденно весь бизнес по дистрибуции с западными партнерами.

Чтобы закончить разговор про динамику процесса, надо сказать, когда произошедшее почувствуют на себе компании не только первого, но и второго, третьего ряда.

Судить о больших компаниях немного проще. Они еще пытаются использовать купленные ранее инструменты разработки, обеспечения информационной безопасности. В рамках двух-трехлетних контрактов, например. Многое из этого отключится к концу 2022 – середине 2023 года, и вот тогда, если не будет альтернатив, появятся самые серьезные проблемы.

Шанс получить работающие и действительно востребованные рынком продукты есть только в случае тесной коллаборации разработчиков со своими клиентами. Реальное «импортозамещение» – не нравится мне это слово – в реальности стартовало два–три месяца назад, а говорим мы о нем уже лет 10. Тут есть много вопросов к людям, принимающим решения. Если государство готово на серьезную конфронтацию с западным миром, то ему нужна та самая технологическая независимость. Логично предположить, что озаботиться созданием комфортных условий для IT-предпринимателей можно было сильно раньше, много лет, если не десятилетий, назад. Потому что создать технологически сложный, действительно стоящий продукт или запустить собственный полнофункциональный App Store в принудительном порядке «к 1 мая» ну просто нельзя, даже если кому-то очень хочется. В индустрии IT так это не работает.

Среди технологических предпринимателей есть и те, кто утверждает, что, если бы санкций не было, их стоило бы выдумать. По-другому дать толчок внутреннему развитию не получается.

Тут вопрос скорее к ментальности. Как говорится, наш человек на сытое брюхо делать ничего не хочет, а на голодное – не может. И это только в таком формате работает. Условия для массового IT-предпринимательства надо было создавать лет 20 лет назад. Отсрочку от армии молодым, обнуление налога на прибыль, IT-ипотеку, создавать R&D-хабы и IT-кластеры. И хоть что-то бы начало давать всходы. Но большинство игроков рынка скорее смотрели в сторону сиюминутной выручки. Если можно продать клиенту пул лицензий IBM, пойдем продадим, зачем при этом создавать что-то свое? Большие корпоративные заказчики в финансовом секторе тоже решали сиюминутные вопросы. Все-таки от громких деклараций до реального создания суперплатформ и экосистем очень большой путь, полный очень тяжелой работы. Не получится сделать аналог Windows ни за три месяца, ни за три квартала, ни даже ко Дню России. Вернее можно, но выглядеть будет странно и работать не будет.

И вполне очевидно, что и киберпротивостояние началось не 24 февраля. Россия постепенно переходила в статус технологически токсичной локации в области ИБ начиная с 2014 года.

Можно ли объяснить для непрофессионалов реальную степень зависимости России от иностранного софта, железа, данных, технологических идей и трендов?

Она колоссальна. Даже так называемые российские процессоры собираются на базе компонент, производимых в Тайване, созданных по американским технологиям. У нас нет элементной базы, из которой можно что-то построить. То же самое можно сказать и о софтверных решениях, которые на Западе создавались не вопреки, а благодаря. Например, Силиконовая долина – это ростки Стэнфорда, большой науки и больших, в том числе военных, денег и огромного числа людей с хорошей инженерной подготовкой и предпринимательским энтузиазмом. Все это в спокойном, а не в авральном режиме выкристаллизовалось в коммерчески успешные компании и корпорации, в «единорогов», наконец. Это один взгляд.

Второй – чисто технологический. Огромный пласт цифровых сервисов сейчас основан на облачных технологиях. Что это такое? Это работа с большими массивами данных, это алгоритмы их обработки. Сами данные ценны тем, что имеют историчность. Благодаря им улучшается эффективность систем, приложений, точность вычислений, совершенствуется пользовательский опыт и так далее. У нас такого сокровища нет, и создать его просто по желанию в одночасье нельзя.

Многие скажут, что есть опции создания продуктов на базе open source, решений с открытым исходным кодом. Действительно, индустрия разработки ПО так устроена, что в проприетарных продуктах очень широко используются компоненты с открытым исходным кодом. Конечно, применение наработок комьюнити-разработчиков так или иначе облегчает создание любых решений. Но в текущем моменте нужно не забывать про пару очень важных факторов:

  • лицензионная чистота таких компонент. Каждая библиотека и компонент имеет свою лицензию в рамках свободного распространения, и в текущей реальности существуют риски, что в определенный момент такие компоненты могут попасть под ограничения экспортного контроля США и попросту станут недоступны;
  • риски внесения закладок и зловредного кода в репозитории компонент с открытым исходным кодом, что позволяет проводить атаки на цепочки поставок ПО, рост которых составил 650% в 2021 году по сравнению с 2020-м.

Юрий Сергеев

А можно ли сегодня заниматься импортозамещением на рыночных основаниях или нужно забыть об окупаемости и надеяться только на господдержку?

Рассчитывать только на госзаказы и гранты – это опасная позиция, потому что в один момент ты можешь перестать владеть своим продуктом. Двигателем технологического бизнеса, который создает конкурентоспособные продукты, всегда должен быть рынок. Ориентироваться необходимо только на требования рынка, только требования рынка держат предпринимателя в тонусе и заставляют его создать именно то, что востребовано, и именно тогда, когда это нужно. И если рынок голосует при этом рублем, значит, дает потенциал развития продукта, что, в свою очередь, вдохновляет предпринимателя и дает возможность создавать что-то реально крутое.

С другой стороны, глобальный мир, в котором каждый производил то, что может, и покупал то, что не может, – это уже не совсем наша реальность. К этому никто не готовился ни с одной из сторон. Что мы будем делать в ситуации возведения «китайской стены», лично мне пока непонятно. Но тактическая перспектива ясна: налаживаем внутреннее производство, ищем внутреннего потребителя. Надеюсь, что на эту крайне амбициозную задачу сил хватит и у нас, и у наших клиентов.

Можно предположить, что Swordfish Security начиная с весны работает в каком-то новом режиме. Какие новости у вас и у ваших клиентов? Как меняются цифры и потоки дел?

Потоки бурлят, привычные драйверы почти не поменялись. Разве что с экспортом плохо: трезвая оценка на год вперед – таргетировать рынки стран БРИКС и Азии. Для нас это пока новые направления, сейчас изучаем.

Про цифры говорить сложно, но мы прогнозируем рост бизнеса минимум в полтора раза к 2023 году. Некоторые наши партнеры покинули рынок, и мы своими силами закрываем текущие обязательства в рамках продуктовых контрактов, где мы выступали реселлером и дистрибьютором. По ряду контрактов, где партнеры больше не могут выполнять свои обязательства по предоставлению лицензий на ПО или по доступу к данным и специализированным сервисам из-за попадания клиента в санкционный список, мы находим решения. Другими словами, надо делать, изучать все возможные опции и не жаловаться на обстоятельства.

На международном рынке мы взяли вынужденную паузу, потому что российские решения для многих стали токсичны. Весь фокус – на домашних задачах, в первую очередь на выполнении обязательств перед клиентами. Зато сам по себе локальный рынок, как я уже говорил, очень оживился. К тому же указ президента говорит, что до 2025 года все субъекты критической инфраструктуры должны перейти на российское ПО.

Вендоров и решений в нише DevSecOps на рынке не так много, поэтому мы вполне устойчивы в рамках своих компетенций и экспертизы. И если уже говорить про наше предложение, то мы двигаемся в трех направлениях.

Первое – это платформенное решение для полноценного построения и запуска всех необходимых практик и процессов разработки защищенного ПО «из коробки».

Сейчас многие клиенты полностью заменяют как инфраструктуру разработки, так и ИБ-решения. Задача состоит в том, чтобы произвести максимально гибко и максимально быстро этот переход, при этом не потеряв в защищенности разрабатываемых продуктов. Это крайне сложная инженерная и процессная задача, но благодаря огромной экспертизе именно в процессах разработки платформа предоставляет такую возможность нашим клиентам, решая задачи оркестрации всех необходимых практик, агрегации и корреляции уязвимостей, а также управления всеми DevSecOps-процессами на основе метрик. Платформу упаковываем совместно с нашими локальными партнерами отечественными продуктами и предоставляем клиенту решение под ключ.

Второе направление – это платформенное решение для анализа защищенности мобильных приложений. Уникальная разработка, которая крайне востребована в связи с появлением маркетплейсов мобильных приложений – RuStore и NashStore. В AppStore, Google Play для мобильных приложений встроены очень сложные механизмы проверки и анализа всех загружаемых приложений, что позволяет обеспечить постоянный поиск зловредных приложений и уязвимостей. Это огромная инфраструктура, которая строилась и в Google, и в Apple годами. В наших магазинах, естественно, ничего такого пока нет.

И третье направление – собственное решение в области обнаружения и контроля уязвимостей в компонентах с открытым исходным кодом. Сейчас это новая головная боль для всех, потому что идут постоянные атаки на цепочки поставок ПО, в том числе через зависимости от внешних библиотек. Разработчики кода специально помещают уязвимости в компоненты и пакеты, которые используют в сборках своих приложений другие разработчики. Раньше у нас был только зловредный код, уязвимости, теперь появился еще и новый класс вредоносов – так называемый protestware, который срабатывает в зависимости от геолокации.

Третье направление нельзя назвать просто замещением ушедшего продукта, это что-то новое?

На рынке аналогов пока нет. Все существующие решения применяют подход «реактивного» анализа, то есть сначала в библиотеку внедряют зловредный код, затем эта библиотека становится доступна в публичных репозиториях, оттуда она запрашивается разработчиками, и только при попадании в периметр разработки клиента есть возможность по сути постфактум обнаружить уязвимость.

Мы поступим иначе и будем строить решение на базе следующих принципов:

  • Intention Detection – детектирование намерения заражения определенной библиотеки или компоненты;
  • Zero Trust: мы откажемся от подхода применения анализа репутации контрибьюторов кода и владельцев репозиториев и перейдем к исключительно поведенческому анализу. К сожалению, тот факт, что разработчик много лет подряд был молодцом, в новой ситуации не гарантирует того, что он не стал создавать зловредный код;
  • проактивная блокировка подозрительных компонент и новых версий библиотек, которые еще даже не попали в публичные репозитории.

Вся эта концепция будет реализована исключительно на основе технологий машинного обучения. Суперсложная штука, но мы решили дать себе шанс.

Упомянутый NashStore критикуют со всех сторон. Почему он вышел настолько сырым?

Текущая ситуация с появлением многочисленных новых магазинов для Android-приложений сильно усугубляет ландшафт кибербезопасности. В официальном магазине от Google есть проверка безопасности приложений, обязательный контроль над тем, чтобы промежуточные сборки приложений не попали к пользователям. Есть проверка приложений на потенциальную опасность для пользователей, есть обязательные требования к описанию всех разрешений, которые использует приложение, и многие другие функции. И, даже несмотря на все эти действия, все равно в Google Play с завидной регулярностью попадают различные вредоносы. Всю эту систему компания выстраивала много лет, постепенно закручивая гайки и вводя новые контроли безопасности.

А теперь взглянем на наши новые магазины приложений. Оба наших маркетплейса – крайне молодые проекты. RuStore и NashStore создавались в экстренном режиме. И с точки зрения используемых технологий, и с точки зрения Time-to-Market у них явно превалировали сроки, а не требования рынка.

Нам предстоит еще долгий путь до уровня безопасности и проверок, которые обеспечивает Google. Их конкуренты совершенствовались годами, вобрали в себя столько функций и так хорошо поработали над безопасностью, что просто скопировать их не получится.

Некоторые из возможных причин, почему безопасность мобильных приложений могут оставлять без должного внимания, – это сложность проведения анализа, необходимость в специальной среде тестирования, а также отсутствие до недавнего времени адекватного инструмента для автоматизации всех проверок.

Со своей стороны мы видим потребность в платформе анализа защищенности мобильных приложений, которая сняла бы всю боль по встраиванию подобных проверок в непрерывный процесс разработки и позволяла бы здраво оценить безопасность приложений. И мы рады быть теми, кто готов предоставить полноценную платформу, которая позволяет проверять каждую сборку мобильного приложения, в который встроены курсы для повышения квалификации разработчиков, а также самые детальные рекомендации по устранению уязвимостей.

Наше решение – единственное в России и существенно мощнее мировых аналогов. Эксперты и разрабочики Swordfish Security, обладая компетенциями и экспертизой и зная детально специфику конкурентных продуктов, потратили на его разработку более пяти лет. Если RuStore и NashStore решатся реализовывать подобную задачу самостоятельно, то история их становления растянется на куда больший срок, при этом поставив на этот период своих клиентов под потенциальные киберугрозы.

В текущей ситуации особенно важна коллаборация всех участников рынка для экономии ресурсов и времени при достижении максимального эффекта.

Что поменяли санкции в технологической жизни российского финансового сектора? Насколько безвозвратны эти изменения?

Финансовой индустрии необходимо принять новую действительность и осознать, что жизнь никогда уже не будет прежней. Зарубежные вендоры отказались от сотрудничества, и даже в случае изменения ситуации в положительную сторону со стороны банков ожидать желания возобновления отношений не стоит – кредит доверия утерян окончательно. Эти изменения произошли, и они по своей сути действительно безвозвратны.

В принципе, мы видим, что многие уже начали наращивать внутреннюю экспертизу по всем критическим направлениям. Это крайне важно, но также важно понимать, что без поддержки локальных вендоров с необходимыми компетенциями не обойтись. И в этом контексте очень хочется, чтобы банки выступали не классическим «заказчиком», а партнером при создании новых продуктов. Всем, думаю, стоит запастись деньгами и терпением, стоит присмотреться к истории собственного IT-строительства, трансформировать наконец «бумажную» кибербезопасность в «практическую». И, конечно, пора начинать долгий процесс подготовки нового поколения специалистов.

Технологическая безопасность часто трактуется в России как технологическая независимость. Насколько это правильно и как это влияет на доступность тех или иных решений? Если услуги и технологии, которые стоили вчера 100 рублей, начнут стоить 500, многие просто не смогут их себе позволить, и тогда достичь безопасности не получится.

Да, безопасность может быть несовместима с доступностью, что делает ее бессмысленной. Но все происходящее ведет нас именно в сторону удорожания технологических продуктов и услуг. Такова конъюнктура рынка в моменте. Рост цен в продуктовых прайс-листах на 20–30% – обычное дело.

Для конечного клиента выбор сжался, и если им действительно необходим определенный класс решений, то выход один – заплатить. Действительно, текущее положение дел вынуждает пересматривать цены.

Кибератаки и другие акции кибермщения, вероятно, будут продолжаться годами. С какой стороны может прийти опасность? К чему стоит готовиться?

Опасным становится абсолютно все. И это касается не только крупного бизнеса. Россия в реальном смысле превратилась в полигон для хакерских группировок со всего мира. И не только для идейных борцов, но и для тривиальных злоумышленников. Это кибервойна, где только ленивый не проверяет на прочность любую доступную извне IT-инфраструктуру. За последние месяцы число кибератак выросло в 7 раз, при этом основными векторами являются атаки на цепочки поставок ПО, фишинг, атаки через уязвимости приложений. Число зловредных закладок в библиотеках c открытым исходным кодом увеличилось более чем в 4 раза. И все это лишь пока вершина айсберга.

Мир с точки зрения обеспечения кибербезопасности стал крайне зыбким, но совместными усилиями мы должны выстоять.



30.06.2022

Источник: WEALTH Navigator


Оставить комментарий


Зарегистрируйтесь на сайте, чтобы не вводить проверочный код каждый раз




Экономика ИИ


Iskusstvennyi_intellekt_i_ekonomika_(rynok)_cover
 

Вышедшая недавно в издательстве Альпина PRO книга «Искусственный интеллект и экономика», пожалуй, одно из самых взвешенных и аргументированных сочинений о том, как технологии уже изменили рынок труда, повлияли на инфляцию, распределение богатства и власти и что будет происходить дальше. Автор, известный британский экономист Роджер Бутл, сознательно дистанцируется и от лагеря технооптимистов, убежденных, что роботы и искусственный интеллект обеспечат нам райскую жизнь, и от сторонников апокалиптического сценария, в котором ИИ поработит человечество. В увлекательной и доступной манере Бутл, вооружившись цифрами и результатами исследований, рисует очень рациональный и убедительный сценарий того, как революция в области искусственного интеллекта затронет всех нас. С разрешения издательства WEALTH Navigator воспроизводит фрагмент этой книги.





Экономика ИИ


Iskusstvennyi_intellekt_i_ekonomika_(rynok)_cover
 

Вышедшая недавно в издательстве Альпина PRO книга «Искусственный интеллект и экономика», пожалуй, одно из самых взвешенных и аргументированных сочинений о том, как технологии уже изменили рынок труда, повлияли на инфляцию, распределение богатства и власти и что будет происходить дальше. Автор, известный британский экономист Роджер Бутл, сознательно дистанцируется и от лагеря технооптимистов, убежденных, что роботы и искусственный интеллект обеспечат нам райскую жизнь, и от сторонников апокалиптического сценария, в котором ИИ поработит человечество. В увлекательной и доступной манере Бутл, вооружившись цифрами и результатами исследований, рисует очень рациональный и убедительный сценарий того, как революция в области искусственного интеллекта затронет всех нас. С разрешения издательства WEALTH Navigator воспроизводит фрагмент этой книги.