«Любая криптография в России регулируется ФСБ не случайно» — гендиректор «Код Безопасности» Андрей Голов

В профессиональном сообществе часто говорят, что угрозы развиваются быстрее, чем компании успевают адаптировать защиту. Насколько это соответствует реальности?

— Я бы не сказал, что атакующие ушли далеко вперед. Если смотреть на действительно серьезные взломы, их не так много. Поэтому в целом компании все-таки совершенствуют защиту достаточно быстро. Другое дело — таргетированные атаки. Там действительно появляются очень изощренные сценарии: шифровальщики, специализированные инструменты, сложные цепочки проникновения.

Но важно понимать: почти всегда атакуют не абстрактную систему, а конкретные уязвимости. А слабых мест по-прежнему много. И главная проблема — не столько технологии, сколько люди и процессы. Системы управления безопасностью сегодня сложны, а квалифицированных специалистов хронически не хватает.

При этом сами инструменты атаки становятся проще. Если двадцать лет назад злоумышленнику нужно было писать код, потом — хотя бы скрипты, то сегодня появились платформы для сборки эксплойтов, готовые конструкторы. А сейчас в эту сферу активно приходит искусственный интеллект: достаточно сформулировать задачу — и система уже собирает нужный сценарий.

То есть технологии нападения упрощаются и автоматизируются, а системы защиты, наоборот, становятся все более комплексными. Но в центре всего по-прежнему остается человек.

Это, кстати, похоже на историю с телефонным мошенничеством. Нам кажется, что оно резко эволюционировало, хотя базовая социальная инженерия существует десятилетиями. Кевин Митник прекрасно пользовался этими методами еще тридцать лет назад. Просто сейчас масштаб вырос многократно.

Получается, безопасность не успевает за атакующими именно потому, что те быстрее осваивают ИИ?

— Не совсем так. Защитники тоже активно используют эти технологии. У нас, например, модели машинного обучения и языковые модели уже встроены в продукты — прежде всего в web application firewall, а сейчас мы переносим эти механизмы и в классические межсетевые экраны.

Поэтому я бы не сказал, что кто-то здесь лидирует. Это обычная гонка вооружений. Никто не ушел далеко вперед.

Другое дело, если речь идет о таргетированной атаке на слабого субъекта. Тогда начинаются серьезные проблемы. Но обычно об этом узнают уже постфактум — когда инфраструктуру зашифровали, положили сервисы или устроили отказ в обслуживании.

Как вы оцениваете текущее состояние кибербезопасности в России и в мире?

— Я могу говорить только про те рынки, где мы реально работаем. И если смотреть глобально, то сегодня есть фактически два мира: западный и наш. Мы живем довольно изолированно, а значительная часть развивающихся рынков остается в цифровой зависимости от крупных западных вендоров.

Во многих странах продукты информационной безопасности воспринимаются просто как IT-инструменты — «черные ящики». Без понимания их устройства и как ими правильно пользоваться. Экспертизу туда никто особенно не передает. Максимум — обучают эксплуатации и поддержке.

Это похоже на ситуацию с вооружением на Ближнем Востоке: вроде бы закуплены самые современные комплексы, но эффективность оказывается совсем не той, которую ожидали. В ИБ происходит примерно то же самое.

То есть проблема не в отсутствии технологий, а в отсутствии компетенций?

— Именно. Чтобы межсетевой экран или криптосистема действительно работали, нужно понимать, как они устроены. Одного user manual недостаточно.

Западные игроки, по сути, сохраняют контроль через технологическую зависимость. А цифровая колония работает примерно так же, как и обычная. Мы, кстати, сталкиваемся с этим постоянно. Нас готовы пускать на рынки только в случаях, когда речь идет о локализации производства, совместной разработке, полном раскрытии технологий.

Что касается России, то я всегда отвечаю очень просто. Страна функционирует: проходят выборы, работают связь, энергетика, транспорт, банковская система. Значит, в целом инфраструктура защищена. Да, есть инциденты, есть локальные проблемы — но это происходит фактически на фоне кибервойны. Поэтому, если система продолжает работать без катастрофических сбоев, значит, свою задачу мы выполняем.

Что сильнее всего изменилось за последние годы?

— По большому счету вектор остался прежним. Мы занимались сетевой безопасностью, защитой рабочих станций, виртуализацией, управлением инфраструктурой — этим и продолжаем заниматься.

Но ключевое изменение — переход к полноценной экосистеме. Раньше у каждой продуктовой группы были свои контуры управления. Сейчас мы строим единый оркестратор, который уже управляет тремя из четырех продуктовых направлений. Четвертое — на подходе.

Именно экосистема сегодня становится главным фактором конкурентоспособности.

При этом мы конкурируем не с одной компанией, а сразу с разными игроками по отдельным направлениям: в сетевой безопасности — с одними, в endpoint security — с другими. С одной стороны, это усложняет жизнь. С другой — позволяет строить действительно комплексные решения.

Насколько глубоко приходится адаптировать продукты под крупных заказчиков?

— Мы стараемся избегать индивидуальных релизов. Это очень опасная история. Когда-то мы занимались identity management — и быстро поняли, что бесконечная кастомизация под клиента превращает продукт в заказную разработку, которую невозможно закончить.

Сила вендора в другом: ты один раз несешь затраты на разработку, а потом масштабируешь решение через рынок.

Конечно, крупные заказчики формируют требования. Иногда они даже финансируют разработку отдельных функций. Но дальше мы все равно распространяем это на всех. У нас нет и не будет отдельных релизов под конкретного клиента.

Что сегодня наиболее критично для отрасли: сложность инфраструктуры, человеческий фактор, разрозненность решений?

— Все сразу. Ничего не ушло на второй план.

Инфраструктура становится все сложнее: появляются новые сервисы, модели потребления, растут объемы данных, увеличивается число устройств, каналов связи, пользователей. Параллельно расширяется поверхность атаки — от умных домов до киберфизических систем.

Но главная проблема все равно остается кадровой. Людей мало, опыта тоже. И многие хотят быстро уйти в менеджмент, а не становиться инженерами, которые десятилетиями накапливают экспертизу.

Можно ли сказать, что платформенный подход становится ответом на разрозненность средств защиты?

— Безусловно. Все крупные игроки сейчас строят экосистемы: и мы, и Positive Technologies, и Kaspersky, и UserGate.

Причина простая: через экосистему гораздо проще управлять безопасностью. Когда endpoint и network security связаны между собой, можно автоматически изолировать зараженную машину, перераспределять проверки, согласовывать правила.

Без этого современная инфраструктура становится практически неуправляемой.

Многие говорят, что ИИ должен помогать специалисту, но не принимать решения самостоятельно. Вы согласны?

— Абсолютно. Это инструмент поддержки, а не субъект принятия решений.

Например, сейчас мы активно занимаемся системой предотвращения IT-аварий. Потому что крупные инциденты почти никогда не происходят мгновенно — это всегда цепочка мелких событий: ошибки персонала, утечки памяти, неудачные обновления, накопление технических проблем.

Наша задача — автоматически отслеживать эти индикаторы и заранее предупреждать: «Сейчас будет проблема».

Именно здесь искусственный интеллект действительно дает огромный эффект.

Оркестраторы сегодня — это еще вспомогательный инструмент или уже центр управления безопасностью?

— Они становятся центральным элементом. Мы рассчитываем, что уже в следующем году начнем полноценно переводить серверы управления продуктовых групп в единый оркестратор.

На крупных инсталляциях это уже работает — в том числе в инфраструктурах на десятки тысяч пользователей.

В чем вы видите ключевую экспертизу компании?

— Сетевая безопасность. И главное здесь даже не только ИБ-компетенция, а глубокое понимание инфраструктуры: как работает оборудование, как системы взаимодействуют между собой, где возникают реальные проблемы совместимости.

Мы не системный интегратор и не пытаемся им быть. Но в понимании инфраструктуры — действительно очень сильны.

На что вы делаете основной акцент: глубину технологий, платформу или комплексный подход?

— На комплексный подход. Потому что у каждого заказчика свой уровень зрелости.

Наша задача — не «продать модную технологию», а обеспечить стабильную работу бизнеса за адекватные деньги.

И здесь есть важное отличие вендора от интегратора. Интегратор может закончить проект и уйти. Вендор — нет. Если заказчик построил инфраструктуру на твоих продуктах, это отношения на десятилетия.

Сетевого вендора практически невозможно заменить полностью. Это как менять двигатель у автомобиля на ходу.

С какими запросами клиенты приходят чаще всего?

— Все зависит от отрасли. Для силового блока критичны сертификация, требования регуляторов, контрольные суммы, военная приемка. Для банков — отказоустойчивость и функциональность.

Но в конечном счете всем нужны одни и те же вещи: стабильность, управляемость и предсказуемость.

Вы используете свои продукты внутри компании?

— Примерно на 90%. Остальное — решения других игроков, включая Kaspersky и Positive Technologies.

Но для нас собственная инфраструктура — это еще и огромная лаборатория. Мы сразу видим, где появляются новые атаки, и можем быстро дорабатывать продукты.

Как вы оцениваете сотрудничество с Росатомом?

— Для нас это прежде всего финансовый партнер. Они владеют 50% компании, но не вмешиваются в операционную деятельность — это было зафиксировано изначально.

Мы учитываем требования Росатома, как учитываем требования ЦБ, Минобороны или ФНС. Но сказать, что они напрямую влияют на разработку продуктов, нельзя.

При этом Росатом — довольно комфортный партнер. Из всех госкорпораций, пожалуй, самый дипломатичный.

Какие направления развития вы считаете ключевыми на ближайшие годы?

— Мы не сократили инвестпрограмму ни на рубль — несмотря на кризис.

Потому что кризисы заканчиваются, а выигрывают те, у кого к этому моменту готовы новые продукты.

Наши ключевые направления — межсетевые экраны нового поколения, оркестратор, endpoint security, системы предотвращения аварий, технологии на базе искусственного интеллекта.

Объем инвестиций в разработку — около 1,2 млрд рублей.

И да, возможно, мы будем меньше платить дивидендов. Но инвестиции сокращать нельзя. Иначе после кризиса рынок заберут конкуренты.

Как вы оцениваете дискуссию вокруг ограничений VPN?

— Здесь важно разделять человеческий и профессиональный взгляд.

Как вендор я могу сказать: технически такие механизмы реализуемы. VPN-трафик можно детектировать и блокировать, в том числе с помощью ИИ. Но я понимаю эту тему прежде всего как вопрос национальной безопасности. Любая криптография в России регулируется ФСБ не случайно.

Мы живем в условиях гибридной войны. Через зашифрованные каналы идут и мошенничество, и координация атак, и управление беспилотниками, в том числе и вербовка детей через заблокированные мессенджеры. Поэтому спецслужбы пытаются сохранить возможность расследования и противодействия угрозам.

Можно спорить о балансе между удобством и безопасностью. Но сама логика ограничений мне понятна.

И это, кстати, не исключительно российская история. Ограничения на коммуникационные сервисы существуют во многих странах — просто в разных формах.