Есть в нашей отрасли люди, которые видели некоторое дерьмо количество ИБ-шных событий, сформировавших отечественный кибербез. И не просто видели, а принимали в них участие. Сегодня мы спрашиваем их за рынок, они отвечают как есть, а мы ставим это без купюр (и почти без редактуры — даже должности спикеры указывали сами).
О российском кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»? Без чего нельзя представить отечественную ИБ-индустрию?
Нормативка. Это первое, с чем сталкивается любой специалист по ИБ, и то, что предъявляют всем неспециалистам со словами «читайте требования». Обсуждению нормативных актов посвящено большинство мероприятий и публичных ресурсов по ИБ. Это то место, где пытаются искать ответы на все вопросы и ситуации в инфобезе. Нормативку постоянно критикуют: одни — за недостаточную четкость инструкций, другие — за жесткость формулировок и слабую практическую реализуемость, третьи — за бесполезность. Также ее часто отождествляют с «бумажной безопасностью», но давайте признаем, что без нее безопасности быть не может. Ведь где-то должно быть описано то самое состояние безопасности, уровни опасности (перечни угроз) и меры по их недопущению, а если что случилось — по реагированию для тех или иных информационных систем. Поэтому мы, в отличие от многих критикующих, действуем и оказываем посильную помощь в развитии нормативной базы ИБ в России.
Как вы представляете себе ИБ-индустрию через 25 лет?
Надеюсь, что такой индустрии не будет вовсе. Давайте порассуждаем: почему она существует сейчас? Потому что подавляющее большинство ИТ-продуктов и решений создавались и продолжают создаваться без учета требований ИБ, с оговоркой «вот появились ИБ-специалисты, пусть и решают свои вопросы ИБ!». Но скорость развития и внедрения цифровизации только увеличивается, это вопрос выживания бизнесов, отраслей, государств. Интенсивное внедрение ИИ только ускоряет этот процесс. Уже в ближайшие пять лет мы столкнемся с неспособностью эффективно защищать большинство информационных систем — атаковать повсеместно тоже будет ИИ. Выход, на мой взгляд, только один: ИБ должна перестать быть отдельной индустрией и стать обязательной частью дисциплины ИТ. Все ПО, железо, сети и связи должны по умолчанию проектироваться с учетом требований ИБ в концепции secure by design и обладать, как говорят некоторые наши коллеги, врожденным кибериммунитетом. Кстати, это тоже, скорее всего, будет во многом реализовано с помощью ИИ. А ИБ-специалисты превратятся в специализированных ИТ-специалистов по цифровому сопромату! И чтобы через пять лет продолжать рассуждать о новых горизонтах ИТ-технологий, заниматься всем этим надо начинать уже сейчас.
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
Всегда держать голову включенной, а ум открытым! Скорость изменений в ИТ и, как следствие, изменение ландшафта киберугроз таковы, что надеяться исключительно на имеющийся на сегодняшний день опыт нельзя. Базовые принципы защиты информации, конечно, сохраняются, но практики их применения, инструменты, да и нормативка, постоянно меняются, усложняются. Каждый день нужно встречать с готовностью и желанием узнать новое и применить это на практике здесь и сейчас.
Без каких неочевидных навыков не получится построить карьеру в кибербезе?
Хороший ИБ-специалист в душе должен быть немного археологом. Вы должны быть всегда готовы копать. Без заранее расставленных флажков и карты кладов. Часто только руками, ведь универсальных инструментов в ИБ нет. Тот, кто думает, что достаточно вызубрить нормативку, запастись шаблонами регламентов и инструкций, научиться работать с парой популярных средств защиты, так и останется рядовым ИБ-шником. Тоже, конечно, востребованным из-за серьезного дефицита кадров в нашей отрасли, но без серьезных перспектив роста.
Назовите самый живучий ИБ-стереотип.
«Мы не будем использовать российские СКЗИ — ФСБ сразу узнает все наши секреты!»
Назовите ИБ-термин, который вас уже достал/раздражает/бесит. Почему именно он?
«Бумажная безопасность». Я бы уже давно его заменил на термин «бумажный безопасник» — специалист по ИБ, который пытается делать свою работу, слепо применяя требования нормативной базы по формальному признаку. В итоге рождаются странные, слабо обоснованные требования и техзадания, нежелание искать оптимальный и разумный вариант решения задачи защиты информации в конкретной информационной системе. А раздражает то, что термин «бумажная безопасность» часто используют как синоним существующей национальной нормативной базы по ИБ в рассуждениях о вреде «бумажной безопасности» и исключительной пользе «практической безопасности». Получается, что всегда виновата «плохая нормативка», а не конкретные неквалифицированные специалисты, не умеющие ее использовать в практических целях.
Какую киберлегенду или миф вы бы разоблачили раз и навсегда?
«Криптография — это страшно, сложно и непонятно в применении, особенно отечественная!» Очень часто приходится слышать нечто подобное на конференциях и в кулуарном общении с разработчиками прикладного ПО и систем. При этом те же разработчики достаточно беззаботно применяют open source криптографию в своих продуктах, не задаваясь вопросами корректности ее реализации, наличием известных уязвимостей, источником и способами работы с ключами защиты. Как следствие, свое (криптография) остается невостребованным, а в программных продуктах появляются псевдокриптографические решения с серьезными рисками информационной безопасности. Хочется посоветовать таким разработчикам и заказчикам их работ не бояться использовать отечественные криптографические продукты и решения, обращаться к разработчикам и в лаборатории по сертификации. Там всегда помогут как минимум советом, а как максимум предложат полный набор необходимых решений и проконсультируют по вопросам встраивания и оформления.
P. S.
Что бы вы хотели сказать всей отрасли по итогам прошедших 25 лет?
Дорогие друзья и коллеги! Соратники по цеху разработчиков СЗИ, интеграторы, эксперты регуляторов, пользователи отечественных средств защиты! Благодаря нашим с вами усилиям, терпению и вере в то, что мы делаем и зачем мы это делаем, нам удалось создать отрасль, которая оказалась самой подготовленной к новым реалиям многополярного мира. Поэтому продолжаем трудиться в этом же направлении, сохранять взятый темп и разумный оптимизм и думать над новыми планами. Надежное будущее цифровой России в наших с вами руках!
О российском кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»? Без чего нельзя представить отечественную ИБ-индустрию?
Семейная вражда. Все друг друга знают, общаются, обижаются, мигрируют в узком кругу компаний и часто пытаются делать одних и тех же «детей» — правда, с разной степенью успешности. А вообще, отечественный кибербез нельзя представить без нормативки, и это весьма печалит. Люди, они же заказчики, редко бывают благодарны за навязанную помощь.
Какой инцидент в истории современного российского кибербеза кажется вам самым показательным/поучительным и почему?
Есть общий такой инцидент, называется «отрицание»: типа «у нас не утекло», «утекло, но это были не персональные данные» и тому подобное безобразие. Пока в индустрии не станет хорошим тоном открыто говорить о произошедших инцидентах, они будут весьма слабо поучительными. Хотя есть и очень хорошие примеры того, как надо: например, разбор BI.ZONE от мая 2023 г. Так что респект компании BI.ZONE за это!
Самая яркая/влиятельная/важная фигура в отечественной ИБ-индустрии? Почему именно он/она?
Мой однозначный фаворит — Алексей Лукацкий. Говорят, что его можно любить или ненавидеть, некоторые странные люди ставят под сомнение его компетентность. А Леша просто живет в этой самой кибербезопасности, а она живет в нем. Лучшая аналогия для его ругателей — это как морские свинки, которые хотели бы плавать в океане, но боятся этого и, глядя на акулу, ругают ее за ее умения.
Если бы вы стали министром кибербезопасности, что бы вы изменили в свой первый рабочий день?
Написал бы заявление об уходе :) А если чуть серьезнее — «обелил» бы белых хакеров, убрал бы большую часть бумажной безопасности и при этом обязательно оставил бы практическое тестирование защищенности, включая проверку регламентов обнаружения, расследования и реагирования.
Кого или что вы бы отправили в киберссылку, если бы могли?
Всю фильтрацию контента, кроме детской порнографии. Потому что тот, кто ищет, все равно найдет. При этом создается сладкий запретный плод, то есть людям просто становится интересно, от чего их пытаются отрезать, да еще и отрезав возможность реального обсуждения того или иного контента. И заодно создавая за счет этого новые черные рынки.
Как вы представляете себе ИБ-индустрию через 25 лет?
Я хотел бы представить, что ее нет. Вернее, ее нет как отдельного, чужеродного, как сейчас, элемента. А на самом деле она, конечно, есть, но существует так, чтобы простые люди об этом задумывались крайне редко. Хороший пример — выбор автомобиля. Мы выбираем его, чтобы ездить, то есть «решать конкретные практические бизнес-задачи». Мы выбираем машины по бренду, дизайну, стоимости и т. п., и нам не очень важно, какой контроллер стоит на АБС или какой там производитель подушек безопасности. Потому что их, как и другие функции безопасности, тестируют перед выдачей сертификата на машину. Мы, как потребители, не думаем об этом, а просто выбираем подходящую нам машину.
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
Очень простой и из серии Капитан Очевидность: если кибербез существенно мешает бизнесу, то кибербез идет побоку. И никакая нормативка это не исправит.
Расскажите о самом крупном факапе и главной победе в вашей карьере.
Как любят говорить, хороший вопрос. Вот не знаю, их было много и разных. Возможно, самые крупные и главные — еще впереди. Говорю это с надеждой :)
Самый сложный вопрос/дилемма, с которым вы сталкивались за годы работы?
Тут немного понудю. На мой взгляд, ИТ, особенно в сфере разработки ПО, убежали от кибербеза лет на 10. Ну вот представьте, что вам от дронов защищаться надо, а вы выбираете, из чего ограду делать. Смешно? На самом деле нет, скорее весьма грустно.
Какими общепринятыми правилами ИБ вы обычно пренебрегаете и почему?
Подумал и решил, что не скажу. Вот прочитает это интервью какой-нибудь продвинутый хакер и решит порезвиться. Зачем я буду ему подсказки давать? :)
Без каких неочевидных навыков не получится построить карьеру в кибербезе?
Неочевидных нет. Нужен здравый смысл. Умение слушать/понимать/обсуждать. Предметные технические знания, в том числе в области ИТ. Стремление постоянно учиться и узнавать что-то новое. Вообще, все вопросы про неочевидное — это скорее в область невероятного. Давайте лучше базу хорошо делать научимся :)
Назовите самый живучий ИБ-стереотип.
«Вас обязательно взломают» — тупая мантра. При этом же как-то большая часть бизнеса и прочих организаций живут и работают, да еще и ИТ в полный рост.
Как думаете, можно ли взломать лично вас и во сколько это обойдется злоумышленникам?
Вот тут я люблю идею «Позитив Текнолоджис» про недопустимые события (НС). Да пусть ломают, для меня это не НС. Но бэкапы делаю регулярно и больше, чем одну копию.
Назовите ИБ-термин, который вас уже достал/раздражает/бесит. Почему именно он?
«Брандмауэр» — более дебильного термина в жизни не слышал. Даже не могу представить ход мыслей того персонажа, который перевел английское слово firewall немецким словом brandmauer. И ведь прижилось же! Хорошо хоть, что сейчас есть логичный и адекватный термин «межсетевой экран».
Какую киберлегенду или миф вы бы разоблачили раз и навсегда?
Тут я отвечу не совсем на этот вопрос. Миф — это то, что ИБ нужна и важна сама по себе. Многие ИБ-шники забывают о том, что если бы не было объекта защиты, то и они бы были не нужны. Поэтому не надо выпячивать свою значимость, лучше реально подумайте о том, какую пользу своей компании или организации вы можете принести. Можете пол подмести, в конце концов.
Есть ли у вас «плохие советы по ИБ» — рекомендации, о которых не принято говорить, но которые сильно облегчают жизнь и работу?
Валите всю работу руками на ИТ! Они все равно все сделают лучше, быстрее, да еще больше шансов, что ничего не сломают.
Чем вы гордитесь, но никогда не напишете об этом в резюме?
Тем, что я застал эпоху романтизма в сетевых и ИБ-технологиях и много что сделал первым или одним из первых — просто потому, что я жил в то время, когда это все было в новинку.
Новый год
Что вы, как безопасник, попросили бы у Деда Мороза на Новый год?
Чтобы мои друзья, близкие, да и все остальные, могли не думать о своей безопасности.
Чего желаете коллегам в 2026 г.? А киберпреступникам? :)
Коллегам — интересной жизни, полной профессионального развития и его применения. И времени — на себя и на близких.
Киберпреступникам — чтобы этот бизнес стал малорентабельным :)
P. S.
Что бы вы хотели сказать всей отрасли по итогам прошедших 25 лет?
«Мы отстали, давайте попробуем нагнать, по-честному, не на бумаге».
О кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»? Без чего нельзя представить отечественную ИБ-индустрию?
Если говорить про мгновенные ассоциации в голове, то глаз, конечно, цепляется за слово «отечественный», и тут же вспоминаешь про отечественные алгоритмы шифрования, регулятора и закон о персональных данных. Но если речь идет про компании или информационные ресурсы, которые сильно повлияли на становление моего поколения безопасников-практиков, то таких слов-ассоциаций у меня за весь 25-летний период несколько. Вначале это журнал «Хакер» и SecurityLab — пожалуй, первые популярные ресурсы (бумажный журнал и сетевой портал) по практической ИБ. Затем это «Информзащита», «Позитивы» и «Диджитал Секьюрити» — компании, которые, наверное, первыми в стране начали продвигать услуги практической безопасности и брать на работу тех, кого впоследствии стало принято называть белыми хакерами. Это, разумеется, «Лаборатория Касперского» с ее опытом, продуктами и экспертами мирового уровня.
Какой инцидент в истории нашего кибербеза кажется вам самым показательным и почему?
Самым показательным, на мой взгляд, является тот факт, что огромное количество информации про любого человека, любой пробив у нас можно получить, даже не прибегая к инцидентам кибербеза :)
Самая яркая, влиятельная фигура в отечественной ИБ-индустрии?
Назову несколько имен, так как все они, на мой взгляд, сыграли разные, но одинаково важные роли в становлении отечественного кибербеза за первую четверть века.
Сергей Гордейчик и Илья Медведовский — за создание и продвижение культуры практической безопасности. Эти люди объяснили рынку, что безопасник — это не тот, кто пишет регламенты, бьет по голове ИТ-отделу своими запретами и защищает информацию с табельным оружием в руках, а технически грамотный проактивный специалист, который, пользуясь инструментарием и своим умом, находит дыры и уязвимости и объясняет айтишникам, как им защитить свои системы.
Юрий Максимов — за создание и превращение «Позитивов» в одну из самых влиятельных компаний на отечественном рынке практической кибербезопасности, которая, несмотря на свой размер, до сих пор поддерживает хакерский дух сообщества и является местом притяжения (в том числе буквально, если вспомнить фестиваль PHDays) специалистов по практической ИБ, белых хакеров.
Алексей Лукацкий — за то, что уже больше четверти века является рупором отечественной ИБ-индустрии. Со взглядом Алексея на разные вопросы можно соглашаться или не соглашаться, но нельзя не признать: нет второй такой фигуры в отечественном кибербезе, которая, не сбавляя темпа, генерировала бы актуальную повестку на протяжении уже более двух десятков лет.
Если бы вы стали министром кибербезопасности, что бы вы изменили в свой первый рабочий день?
Ну, может быть, не в первый день, но я совершенно точно знаю, что было бы в моем списке первых приоритетов на такой должности: сделать так, чтобы работа в министерстве кибербезопасности была привлекательной для молодых, грамотных специалистов по ИБ. Чтобы они предпочитали работу в моей команде вакансиям в крупных частных компаниях.
Как вы представляете себе ИБ-индустрию через 25 лет?
Позволю себе по-старчески поворчать и скажу, что очень надеюсь, что через 25 лет определять развитие индустрии ИБ будем не мы, а те, кого мы обучили и воспитали.
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
Самый главный принцип я понял достаточно быстро, и он до сих пор со мной. Безопасность — это не про «отобрать, запретить, регламентировать, наказать». Безопасность — это про «послушать, предложить, понять, помочь». Задача безопасника — чтобы все не только было безопасно, но и работало по-человечески.
Расскажите о самом крупном факапе и главной победе в вашей карьере.
Самый крупный факап в моей карьере на данный момент случился в 2009 году, когда я работал инженером ИБ в одном международном банке. Я проводил аудит внутренней СУБД, делал это достаточно неаккуратно — видимо, не привык еще к банковским регламентам. И обычным сканером положил продовую базу, по-моему, на несколько часов. Хоть и вышел скандал, но та история научила меня многим вещам, не в последнюю очередь — тому, что если твоя продовая система ложится от банального неаутентифицированного прикладного сканирования, то виноваты не безопасники-диверсанты, а криворукие инженеры. Потому что залетному скрипту-сканеру ты не запретишь сканировать себя в рабочие часы. По счастью, на всех моих последующих местах работы была культура абсолютного понимания этого факта.
Самым крупным профессиональным достижением на сегодняшний день, наверное, будет правильно считать 2018 год, когда мы в «Яндексе» обнаружили целевую атаку, которая по всем признакам носила классический APT-nation-state характер. Помню, на нас даже «потратили» 0-day в Windows. Мы обнаружили киберармию противника вовремя и не дали ей достичь своих целей.
Самая сложная дилемма, с которой вы сталкивались за годы работы?
Самый сложный выбор был у меня в 2008 году, когда я навсегда поменял свою роль. Из пентестера и консультанта, который работает в компании-вендоре и оказывает услуги, я перешел «внутрь», в компанию, строить ИБ и защищать ее активы. Сейчас я понимаю, что другого пути нет и «внутри» гораздо интереснее. Но тогда передо мной стояла дилемма: с одной стороны, новая огромная ответственность, с другой — возможность наконец-то прочувствовать результаты своего труда.
Какими общепринятыми правилами ИБ вы обычно пренебрегаете и почему?
Я пренебрегаю теми правилами, которые кажутся мне устаревшими или неприменимыми в определенном контексте, хоть и общепринятыми. Например, я не пользуюсь облачными хранилищами паролей и для всяких «сайтов-однодневок» типа интернет-магазинов я всегда выбираю одинаковый простой пароль. Мне не жалко написать его на заборе, а для всего важного у меня включен 2FA.
Без каких неочевидных навыков не получится построить карьеру в кибербезе?
Человеколюбие и пассионарность. Мы уже давно знаем, что хороший безопасник — это прежде всего технарь, тот, кто может разговаривать с инженерами на одном языке. Даже если речь идет о CISO. Мы также знаем, что хороший безопасник должен понимать специфику бизнеса и уметь разговаривать с менеджментом. Даже если речь идет об инженере. Но мы часто забываем, что хороший безопасник — это человек с ownership mentality, которому не все равно. Ведь если к тебе пришли за помощью, а ты не помог, потому что это «вопрос не к тебе», то в следующий раз к тебе не придут, даже если будет уже по адресу.
Назовите самый живучий ИБ-стереотип.
Есть два стереотипа в индустрии ИБ, с которыми я пытаюсь бороться по мере сил. Первый — когда тестом на проникновение подменяют работы по обеспечению защищенности. «Мы давно не смотрели на нашу офисную сеть/ERP/наш Кубер — давайте закажем пентест» — такое мракобесие постоянно встречается даже среди практиков-безопасников. Обычно работа в таком случае превращается в замкнутый круг «заказали у вендора пентест, он нас где-то проломил, мы заткнули найденные дыры и живем дальше». Пройдет еще немало лет, прежде чем самый последний безопасник поймет: пентест — это средство проверки контролей ИБ, а не инструмент доказательства того, что контролей нет.
За рождение второго стереотипа ответственен уважаемый мной Алексей Лукацкий :) Алексей уже много лет говорит с трибуны о том, что слова «безопасность» и «бизнес» должны быть вместе, что безопасник должен мыслить бизнесом и говорить с СЕО на одном языке. Он, безусловно, прав. Но проблема в том, что многие понимают его слова в совершенном отрыве от контекста. В итоге на публикациях Лукацкого выросло целое поколение CISO, которое совершенно не понимает в технике, не имеет практического опыта и технического бэкграунда, не понимает, как работают инженерные системы. Но эти ребята с места в карьер изо всех сил пытаются организовать работу службы ИБ с оглядкой на то самое служение бизнесу. Я видел таких людей, это жалкое зрелище. Поэтому в своих выступлениях я часто говорю: не пытайтесь сразу перепрыгнуть технический уровень, если вы пришли в корпорацию строить ИБ, начните с технических контролей, станьте лучшими друзьями с ИТ-шниками, не комплексуйте, что вам не о чем поговорить с CEO. Все равно вас сломают через банальное заражение рабочей станции сотрудника.
Какая у вас самая странная ИБ-привычка, о которой мало кто знает?
Я до сих пор являюсь адептом самодельных решений, и вот уже 20 лет интернет у меня в квартире раздает не китайский роутер с урезанным дырявым Линуксом и веб-интерфейсом с кучей дыр, а компьютер под управлением OpenBSD. Также до недавнего времени я сопротивлялся и отказывал себе в современном smart TV, потому что это тоже, по сути, большой и дырявый компьютер, над которым у тебя нет никакого контроля. Привычки странные, потому что при всем этом я хожу с айфоном :)
Как думаете, можно ли взломать лично вас и во сколько это обойдется злоумышленникам?
Взломать любого человека очень просто, и для этого не нужен компьютер.
Назовите ИБ-термин, который вас бесит. Почему именно он?
Меня как душнилу безумно, невероятно бесит, когда в бытовом языке путают аутентификацию с авторизацией («двухфакторная авторизация»). К сожалению, вынужден признать, глядя на интерфейсы отечественных интернет-сервисов, что мы проиграли эту битву.
Какую киберлегенду или миф вы бы разоблачили раз и навсегда?
См. выше про пентесты и безопасников :)
Чем вы гордитесь, но никогда не напишете об этом в резюме?
Время от времени ко мне (до сих пор!) на собеседование приходят люди со словами: «Я вообще работу не ищу, но лично с тобой давно хотел познакомиться, ведь я вырос на твоих статьях в журнале „Хакер“, смотрел твои лекции и выступления». Это очень приятно, в такие моменты понимаешь, что все не зря.
P. S.
Что вы как безопасник попросили бы у Деда Мороза на Новый год?
Попросил бы его включить двухфакторную аутентификацию, конечно! :)
Чего желаете коллегам в 2026 году? А киберпреступникам? :)
Жаль, не получится пожелать сразу обоим лагерям, чтобы у них было поменьше работы :)
О российском кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»? Без чего нельзя представить отечественную ИБ-индустрию?
Люди — добросовестные, вдумчивые, ежедневно обеспечивающие безопасность того, что работает уже сегодня, создающие то, что будет безопасно работать или обеспечивать безопасность завтра. Люди создают смыслы средств защиты и систем, которые нуждаются в защите. В целом мы работаем ради людей.
Как вы представляете себе ИБ-индустрию через 25 лет?
По моим ощущениям, ИБ (кибербез) сейчас проходит период охлаждения после энтузиазма 2010-х и гиперэнтузиазма конца 2010-х — начала 2020-х, связанного с пандемией, удаленкой и эффектами после начала СВО. Мы выходим на «плато продуктивности». Полагаю, в ближайшие 10–15 лет нас ждут крайне увлекательные упражнения как с новыми технологиями (что стало уже привычным), так и с удержанием в безопасном состоянии колоссального объема legacy, наработанного за первую треть XXI века. Это привлечет еще больше внимания к security by design на всех уровнях разработки систем и компонентов, окончательному формированию направлений кибербезопасности (аналогично тому, как это было ранее с информационной безопасностью).
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
ИБ — не самый важный вопрос для бизнеса. Даже если бизнес назначил его таковым и честно пытается о нем думать, даже если об ИБ говорит первое лицо организации, даже если этот вопрос фигурирует каждый день в разговоре. Будет бизнес — будет ИБ. У бизнеса ежедневно гораздо больше операционных и стратегических рисков и возможностей.
За последние 5–10 лет бизнес и ИТ, безусловно, шагнули в сторону ИБ — пришло осознание ценностей, принятие (часто на веру) важности порой затратных мероприятий. На новом витке спирали, кажется, настало время для ИБ сделать шаг навстречу бизнесу и ИТ: снизить резкость в заявлении проблематики, еще более деликатно действовать в отношении контрагентов.
Назовите самый живучий ИБ-стереотип.
ИБ — тормоз бизнеса. Причем «тормоз» всегда подразумевается в негативном ключе: мешает двигаться вперед, как заклинивший элемент системы. Наша задача как ИБ даже не избавиться от этого стереотипа, а изменить его восприятие: мы хотим быть максимально эффективным тормозом — тем, который помогает двигаться безопасно с более высокой скоростью, четче реагировать на управляющие сигналы, не закипать даже при экстремальной нагрузке, а при должной доле инновационного мышления даже повышать общую эффективность работы и развития системы.
Назовите ИБ-термин, который вас уже достал/раздражает/бесит. Почему именно он?
Кибербезопасность — когда так пытаются переназвать ИБ. Кибербезопасность — часть ИБ, сфокусированная на безопасности информационных систем. Это, безусловно, самая новая, модная и активно растущая область ИБ, но рассматривать через нее остальные вопросы ИБ, особенно лежащие выше уровня информационных систем, просто неудобно (юридическая значимость, неотказуемость, аутентичность, приватность и т. д.).
Новый год
Что вы, как безопасник, попросили бы у Деда Мороза на Новый год?
Всем взаимопонимания +1. Кажется, это единственная характеристика, которая чинит максимальное количество проблем — и между безопасниками, и с ИТ/бизнесом, и с пользователями, и с регуляторами. Возможно, не стоит ждать Нового года и Деда Мороза: подарить его себе и окружающим можно уже сейчас — как минимум начать действовать со своей стороны.
О российском кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»? Без чего нельзя представить отечественную ИБ-индустрию?
Без ФЗ-152 ;)
Какой инцидент в истории современного российского кибербеза кажется вам самым показательным/поучительным и почему?
Я не эксперт в ИБ, я специалист по коммуникациям в этой сфере. Наиболее знаковым инцидентом назову утечку «Яндекс.Еды». Сервисом пользуются буквально все, и обнаружить себя и своего соседа на карте данных было прям такое «жим-жим». Смешной штраф впервые показал тысячам людей, какова цена наших данных. По коммуникациям компания точно могла бы лучше. Это был урок для всей индустрии.
Из последних инцидентов — конечно, атака на Аэрофлот. Самый обсуждаемый и громкий инцидент 2025.
Самая яркая/влиятельная/важная фигура в отечественной ИБ-индустрии? Почему именно он/она?
В вопросе содержится три разных определения, подходящих для разных героев кибербеза :)) Ну ок. Самой яркой фигурой, безусловно, назвала бы Илью Сачкова — основателя Group-IB. И не только потому, что сама приложила усилия к продвижению бренда компании и Ильи. А потому, что все годы, что мы работали вместе, Илья жил миссией борьбы с киберпреступностью. Для него это было не частью жизни, а самой жизнью. Несмотря на все ограничения, которые есть у него сейчас, он продолжает свое дело: пишет книгу (по-моему, не одну) и ведет тг-канал, в котором через друзей публикует мысли о кибербезе, технологиях, русском инженерном деле. Это редкого масштаба босс и человек.
Важная фигура для меня дуалистична — это Евгений Валентинович и Наталья Ивановна. Почему так? Фамилия, сделавшая российский кибербез экспортируемым и с точки зрения бренда, и с точки зрения технологий. ЛК — это «человек и пароход» в ИБ. А InfoWatch — первая кибербезная компания, управляемая женской рукой. Да много чего связано именно с этими знаковыми фигурами на российском рынке. Вторых таких точно нет.
Про влиятельную фигуру. Назвала бы Юрия Максимова. Знаю его с давних времен, когда РТ еще были МСБ. И что тогда, что сейчас амбиций и идей хватило бы на несколько компаний. Вы не спрашивали, но я скажу: министр по ИБ из Максимова вышел бы что надо, на мой скромный взгляд.
Алексей Лукацкий — киберпросветитель №1. Я знаю его столько, сколько для меня существует рынок ИБ. Пример неутомимого self-made спикера, невероятно плодовитого автора, блогера и евангелиста от кибербеза. На его статьях и выступлениях уже поколение выросло. Реально не представляю отрасль без него. Жаль, шляпу в последнее время редко надевает. Заметная деталь личного бренда.
Если бы вы стали министром кибербезопасности, что бы вы изменили в свой первый рабочий день?
Насчет первого дня не знаю, но я ввела бы cтандарт по коммуницированию киберинцидента в публичном поле и сделала бы добровольную аттестацию CISO и PR-специалистов по данному стандарту. Готова лично приложить усилия к его разработке для защиты репутации российских компаний, пострадавших от кибератак.
Кого или что вы бы отправили в киберссылку, если бы могли?
Ссылка — это какое-то понятие из прошлого. Я бы внимательнее присмотрелась к тем, кто в бизнесе путает белое, серое и черное за рамками исследований.
Как вы представляете себе ИБ-индустрию через 25 лет?
Мне кажется, она станет неотделимой частью ИТ: войдет в состав каждого ИТ-сервиса провайдеров и наконец охватит весь бизнес любого масштаба, включая микро-, малый и средний.
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
Не управлять при инциденте внутренними коммуникациями — значит не управлять внешними.
Самый сложный вопрос/дилемма, с которым вы сталкивались за годы работы?
Где грань по раскрытию данных, когда TI-ресерч не стал объектом интереса определенных служб, но и не превратился в беззубый маркетинговый блог.
Без каких неочевидных навыков не получится построить карьеру в кибербезе?
Без понимания, как работать с PR-службой в мирное время и какого плана придерживаться, если произошел инцидент.
Назовите самый живучий ИБ-стереотип.
Все ИБ-шники — бывшие люди в погонах. Не все.
Какая у вас самая странная ИБ-привычка, о которой мало кто знает?
Я не сажусь в кафе с ноутбуком, чтоб экран был виден кому-либо, кроме меня. И закрываю его, если отхожу хотя бы на минуту, даже дома.
Назовите ИБ-термин, который вас уже достал/раздражает/бесит. Почему именно он?
Антивирус. Он вообще, если вдуматься, фонетически никакого отношения к ИБ не имеет.
Какую киберлегенду или миф вы бы разоблачили раз и навсегда?
«Человеческий фактор — главная проблема». Главная проблема, на мой скромный взгляд, — это перекладывание вины на человека: в первую очередь, нас должны защищать технологии, которые не дадут совершить ошибку. А во вторую — знания в области кибергигиены.
Чем вы гордитесь, но никогда не напишете об этом в резюме?
Тем, что знаю, как отрабатывать судебные кейсы. Если прошел это, остальное — уже в рамках обычного антикризиса.
Новый год
Что вы, как безопасник, попросили бы у Деда Мороза на Новый год?
Я не безопасник, но, поскольку в канун праздников свои головы обычно поднимают киберзлодеи, рассчитывая на снижение бдительности, желаю службам ИБ встретить Новый год без алертов. Потому что как встретишь НГ, так его и проведешь.
P. S.
Что бы вы хотели сказать всей отрасли по итогам прошедших 25 лет?
У нас есть отрасль, ее локомотивы, лидеры и свежая кровь. Главное — это люди. Берегите свои команды!
О российском кибербезе
Первая ассоциация, которая возникает у вас при словах «российский кибербез»?
Я убежден, что российский кибербез — это про самобытную практическую безопасность. Вся отрасль построена на том, чтобы от любых действий был результат, чтобы любая нормативка работала на усиление защиты, а не для галочки или соответствия ради соответствия.
Приведу пример «Норникеля». Когда еще существовала возможность сертифицировать предприятия компании по международным стандартам серии 27001, мы использовали эту возможность не для статуса или рейтинга, а для того, чтобы проверить эффективность нашей защиты. И даже сейчас, когда возможность сертификации по стандартам сильно ограничена, а западные «партнеры» ушли из России, мы все равно продолжаем ориентироваться на международный опыт, чтобы не отставать в части компетенций — держать руку на пульсе.
В России сильная школа программирования и хороший опыт практической кибербезопасности, сейчас активно формируется кастомизированный рынок отечественных решений. Мы успешно адаптируем полученный за годы сотрудничества с западными партнерами опыт под нужды отечественного рынка и создаем сильную, устойчивую, импортонезависимую отрасль. Уверен, что пройдет немного времени — и международные партнеры будут равняться теперь уже на нашу экспертизу в части построения практической безопасности.
Какой инцидент в истории современного российского кибербеза кажется вам самым показательным/поучительным и почему?
Пожалуй, наиболее показательны для меня эпидемии вирусов WannaСry и NotPetya, и вот в каком ключе. Когда они добрались до России, отечественная отрасль кибербеза продемонстрировала невероятную сплоченность в борьбе с ними. Российские компании (вендоры, интеграторы, заказчики), а также государственный сектор и представители ответственных ведомств направили все усилия на то, чтобы максимально быстро и эффективно побороть угрозу. Было интересно наблюдать, как компании оповещают друг друга и поддерживают имеющимися ресурсами. Многие вендоры и интеграторы вообще выполняли работу по восстановлению бесплатно, без дальнейших гарантий по оплате. Общая негласная задача была просто устоять, и в целом мы справились! Именно поэтому (а вовсе не в связи с масштабом причиненного ущерба) упомянутые инциденты для меня — важная точка в развитии отечественного кибербеза.
Самая яркая/влиятельная/важная фигура в отечественной ИБ-индустрии? Почему именно он/она?
Я считаю, что это Алексей Лукацкий: на его постах и публикациях выучились и продолжают учиться целые поколения ИБ-шников. Алексей показывает, какой разносторонней и разнообразной сферой является информационная безопасность. Если про кого-то и можно сказать, что он «несет ИБ в массы», то это именно Лукацкий.
Как вы представляете себе ИБ-индустрию через 25 лет?
Сложно спрогнозировать. ИБ формируется от запроса (бизнеса, пользователей и государства), который регулярно трансформируется. Сфера гибко реагирует на внешние вызовы (характер киберпреступлений, новые угрозы), а также меняется в свете появления прорывных технологий: блокчейн, искусственный интеллект, квантовые вычисления и многое другое. С учетом того, что технологии развиваются семимильными шагами, а злоумышленники прокачивают свои схемы тоже на удивление быстро, рискну предположить, что не за горами и революция в ИБ. Мы не можем всегда быть догоняющими — должны появиться решения, которые позволят защитникам увереннее чувствовать себя в борьбе с преступниками. В любом случае, с учетом скорости, с которой мы несемся в будущее, оно будет кардинально отличаться от того, что есть сейчас: доживем — увидим!
О карьере
Самый важный урок, который вы усвоили за годы работы в ИБ?
Урок первый: если взялся за что-то, делай это максимально качественно. Как в «Звездных войнах»: «Не пробуй. Делай или не делай. Нет никаких попыток». Сам стараюсь придерживаться этого принципа.
Урок второй: самое главное — это люди. Твоя команда — это твоя опора и успех, твои партнеры — это твоя репутация, твои друзья — это твоя поддержка. Любые технологии создают люди, они же этими технологиями управляют, они же могут нанести непоправимый вред. Поэтому я всегда внимательно отношусь к людям вокруг, к людям в ИБ: это и источник вдохновения, и стимул для роста.
Самый сложный вопрос/дилемма, с которым вы сталкивались за годы работы?
Самый сложный вопрос — это увольнение сотрудника. И неважно, чем это продиктовано: сокращением штата, его некомпетентностью или нежеланием работать. В каждом есть ценность, каждый может принести пользу, за каждым стоит его жизнь и семья. Поэтому для меня, как для руководителя, этот вопрос самый болезненный. А по части ИБ — все проблемы можно решить, так или иначе.
Без каких неочевидных навыков не получится построить карьеру в кибербезе?
Может, это покажется странным, но я считаю, что хороший ИБ-шник должен быть «универсальным солдатом» — обладать не только и не столько сильной технической базой, но и уверенными soft skills. Это знание психологии, умение излагать свои мысли, умение общаться, вести переговоры и договариваться. Еще один неочевидный навык — понимание принципов маркетинга. Без одного и без другого ты вполне можешь стать успешным технарем, ценным специалистом в какой-то узкой области ИБ. Но если мы говорим именно о карьере, о поступательном подъеме по карьерной лестнице, безусловно, нужно выходить за рамки того образования, которое ты получил в вузе, и прокачивать все эти навыки. Кстати, в ИБ много разных направлений, здесь найдут себе применение и юристы, и гуманитарии, и даже люди творческих профессий. Но только синергия навыков даст тебе уверенный карьерный рост.
Назовите самый живучий ИБ-стереотип.
Их много, и для каждой целевой аудитории характерны свои:
- Топ-менеджеры зачастую думают, что ИБ — это пустая трата ресурсов. Проще один раз выплатить штраф или выкуп, чем планомерно и систематично вкладываться в ИБ.
- Подрядчики продают стереотип, что в экосистеме все работает лучше и слаженней.
- Внутри служб ИБ придерживаются мнения, что лучше максимально обезопасить все вокруг. Подложить соломки, так сказать, тогда мы будем защищены.
- Бизнес и ИТ часто думают, что основная цель ИБ — все запретить.
- А пользователи уверены, что с ними-то уж точно ничего не случится: или что они никому (в смысле киберпреступникам) не нужны, или что они смогут вовремя распознать угрозу и отреагировать.
Нужно ломать стереотипы! ИБ — это динамичная и непредсказуемая сфера, нужно быть гибкими, включать критическое мышление и забыть про все стереотипы. Не знаю, можно ли это назвать стереотипом, но это точно самый забавный ИБ-миф: есть мнение, что за Лукацкого пишут посты тысячи китайцев.
Назовите ИБ-термин, который вас уже достал/раздражает/бесит. Почему именно он?
Скажу так: меня раздражает не сам термин, а тот факт, что люди вкладывают разные смыслы в понятия «защиты информации», «информационной безопасности», «кибербезопасности». Для практиков ИБ это, по сути, одно и то же. В общем, когда все в информационном пространстве буквально полыхает, некогда играть в слова — нужно действовать, чем мы и занимаемся.
Есть ли у вас «плохие советы по ИБ» — рекомендации, о которых не принято говорить, но которые сильно облегчают жизнь и работу?
Советовать дурного не буду. Но скажу так: я сам иногда оказываюсь в ситуации сапожника без сапог. Действительно, зачастую проще пойти по короткому пути и сделать что-то быстро, а не безопасно. Бывает некогда включить бдительность: мы все живем и работаем в постоянном цейтноте, иногда хочется понадеяться на авось. Но все эти вредные лайфхаки мне рано или поздно аукались, и потом приходилось разбираться с последствиями. Поэтому как истинный безопасник скажу: «На Деда Мороза надейся, а сам не плошай». Кстати, мы в компании действительно придумываем и распространяем вредные советы по ИБ для наших сотрудников — это делает процесс обучения легче и веселее. Но этим и ограничиваемся.
Чем вы гордитесь, но никогда не напишете об этом в резюме?
Горжусь тем, что вокруг меня много замечательных людей, которые так или иначе помогли мне с успехом пройти по моему карьерному пути. Это и мои руководители — бывшие и нынешние, и мои коллеги, и подчиненные, и те, кто делал мой профессиональный путь непростым, зато интересным и наполненным возможностями для личностного роста.
P. S.
Что бы вы хотели сказать всей отрасли по итогам прошедших 25 лет?
25 лет назад я еще был мальчишкой, и мне сложно заглянуть так далеко назад, чтобы охватить взглядом весь путь, который прошла ИБ за четверть века. Но вспоминая то, с чего я начинал свой путь в ИБ, не могу не отметить: отрасль за этот период сделала колоссальный даже не шаг вперед, а квантовый скачок. Мне приятно, что я вместе с командой причастен к целому ряду прорывных моментов в ее развитии: разработке отдельных нормативных документов, созданию важных экспертных площадок (таких как БИП-Клуб), формированию или развитию трендов в части подходов к сертификации, страхованию, включению этических норм в ИБ.
Отрасли желаю процветания, но не вопреки всем тем угрозам, которые растут и множатся в цифровом пространстве, а благодаря тем уникальным мозгам и опыту, которыми мы с вами коллективно обладаем. Людям в ИБ желаю здоровья, сил, терпения, призываю беречь себя и не забывать о своих близких. Нашей стране желаю продемонстрировать несгибаемость духа, силу мысли и невероятный потенциал, которые аккумулированы в нашей ИБ-отрасли.
С Новым годом!
О российском кибербезе
Какой инцидент в истории современного российского кибербеза кажется вам самым показательным/поучительным и почему?
Пожалуй, наиболее поучительный инцидент в российском кибербезе — это появление отечественного термина «кибербезопасность». С самого начала он базировался на представлении, что это что-то про киберпространство, а оно, в свою очередь, про компьютеры, серверы, маршрутизаторы и коммуникации. Американцы изначально дали ДРУГОЕ определение киберпространства: в нем выделяется «физический домен», где компьютеры управляют устройствами, которые атакуют людей; «политический домен» (или Human Domain), где компьютеры влияют на массовое сознание и принятие решений; и «кибердомен», где компьютеры атакуют компьютеры (см., например Wardrop, Christopher, ‘Bridging the gap between cyber strategy and operations: A missing layer of policy’, Australian Defence Force Journal, no. 204 (2018), p. 64).
В итоге СВО показала, что у противника один полковник может отдать приказ трем майорам, которые организуют согласованное выполнение кибератак, налетов дронов и психологических операций, а с нашей стороны две трети киберпространства остаются беззащитными, ибо специалистов соответствующего профиля мы не готовили. Вот, наверстываем.
Самая яркая/влиятельная/важная фигура в отечественной ИБ-индустрии? Почему именно он/она?
В нашей ИБ-индустрии много ярких фигур, но на практике чаще всего выручают цитаты Натальи Касперской. «Как определить уровень бизнесмена? Посмотри на ботинки», «Лидер — не тот, кто влез на гору. Лидер — это тот, кто влез на гору, свалился мордой в грязь, поднялся и вновь влез на гору», «В новом релизе важен не функционал, а точная дата выхода», «Все, что может утечь, — утечет» (цитаты в вольном пересказе Кибердеда).
Если бы вы стали министром кибербезопасности, что бы вы изменили в свой первый рабочий день?
Я бы запретил слово «импортозамещение» и заменил его на «экспортно-ориентированность». Первое слово означает «сделай любую фигню, лишь бы работала». Второе — «если что-то делаешь, сделай так, чтобы кто-то за рубежом захотел это у тебя купить». После кризиса 1998 г. я это осознал, и доходы выросли в четыре раза. Почему бы не проделать это на уровне страны?
О карьере
Расскажите о самом крупном факапе и главной победе в вашей карьере.
Самых крупных факапов было два, и они стоят того, чтобы рассказать о них подробно. Бизнес не располагает к скромности и стыдливости. Любой сейл-менеджер (как и любая девушка) подтвердит: бесстыжие добиваются большего. Однако было у меня два случая, которые реально стыдно вспомнить.
Первый случай произошел в лютые девяностые. Вокруг беспредел, в магазинах пусто, месячной зарплаты едва хватает на проездной. А у меня день рождения. Да еще почти круглый — 35 лет. Да еще в марте. Когда холодно и до первой зелени месяца эдак два. Но надо отмечать. И тут звонок — от Тимура из Тбилиси, делового партнера и вообще хорошего человека. Встречай, говорит, завтра поезд из Тбилиси, подойди к девятому вагону, проводнику скажи: посылка от Тимура. Вау! Приезжаю утром на вокзал, нахожу проводника. Так и так, посылка от Тимура. Канэшна, говорит, дарагой, возьми у меня в купе на полке. Захожу в купе, а там на полке ящик грузинского вина и здоровенная сумка зелени. Рай. Кто жил в девяностые, тот поймет. Собираю гостей, стол ломится, народ счастлив, жизнь удалась. Звоню Тимуру: дорогой, как же ты меня выручил! Вина отменные, а зелень вообще выше всяких похвал. Минута молчания, потом вкрадчивый голос Тимура: «Какая зелень? Я вино передавал». Милый безымянный проводник из девятого вагона! Не держи зла, объявись. Сходим в самый дорогой грузинский ресторан и подарю тебе «газель» кинзы.
Вторая история случилась в начале двухтысячных. Бизнес в России прилег после кризиса 1998 г. — выручали офшорные контракты по разным странам (разработчики из России всегда были в цене). У меня шел крупный контракт в Бостоне, летать туда самому и отправлять программистов приходилось практически каждый месяц. Благо у заказчиков был свой отель в пригороде Бостона, куда нас и селили. Романтический такой отель, на берегу океанского залива — Kimball’s by the Sea. И бравый морячок на логотипе. И в номерах красивые такие конверты с этим самым морячком. А надо сказать, в девяностые-двухтысячные все зарплаты были в конвертах. Что привило привычку везде, где можно, эти конверты собирать. Ввиду особой нарядности, я потом в этих конвертах из Бостона раздавал премии.
Прошло много лет, контракт давно кончился, и как-то занесло меня опять в Бостон, уже по другим делам. Дай-ка, думаю, позвоню Стивену, нашему прежнему заказчику. Попьем пива, вспомним минувшие дни. Стивен откликнулся с радостью. И вот сидим мы на верхотуре небоскреба Prudential в понтовом баре «Топ-оф-зе-Хаб», потягиваем местное рыжее пиво. И говорит мне Стивен:
— Вы, русские, классные ребята. И работать с вами было одно удовольствие. Но вот что давно хотел тебе сказать, Андрей. Ты и твоя команда — звери, а не люди.
— В смысле? Что было не так?
— Понимаешь, Андрей. Отель, где мы вас селили, он такой романтический. Туда в основном заселяются молодые парочки. И они оставляют щедрые чаевые. Поэтому горничным-латинкам я плачу копеечную зарплату, основной заработок им обеспечивают довольные клиенты. И когда постоялец съезжает, девушки оставляют в номере нарядный конверт (такой — с морячком) как раз под чаевые. А твои орлы мало того, что чаевые не оставляли, так еще и конверты прихватывали. С особым цинизмом.
Милые латиноамериканские девушки! Боюсь, в Бостон теперь занесет меня не скоро. Но если будет возможность — приезжайте в Москву. Каждую озолочу и в попу поцелую. Не серчайте.
Какими общепринятыми правилами ИБ вы обычно пренебрегаете и почему?
У меня слабые пароли, которые я редко меняю. Это связано с использованием «многослойной легенды прикрытия»: любой мамкин хакер довольно легко доберется до моей почты и социальных аккаунтов и обнаружит, что Масалович — бабник, пьяница, романтик и самопиарщик, который давно отошел от серьезных дел. Грамотный хакер сообразит, что не все так просто, и найдет почтовые и социальные аккаунты для более серьезного общения. Они защищены получше, но их тоже можно сломать. Сломает и их — и убедится, что Масалович таки бабник, пьяница, романтик и самопиарщик, который давно отошел от серьезных дел. До третьего и последующих уровней защиты хакеры пока не добирались))
Чем вы гордитесь, но никогда не напишете об этом в резюме?
Когда я получил персональные санкции от правительства США, там было указано основание –— «за influence» (то есть за влияние на мозги) и перечислены пять конкретных стран: Вьетнам, Никарагуа, США, Украина и Россия. Хотя думаю, что взъелись они конкретно за Никарагуа: там мы их нахлобучили всухую. Жалко, в ближайшие двадцать пять лет это не стоит вставлять в резюме)).
Новый год
В эти бурные времена всем хочу пожелать: меняйся — или забей!
