Між «хотіти» і «робити» – прірва

Інтерв’ю з CEO Underdefense Назаром Тимошиком про кіберзагрози в Україні, фейки, використання хакерами роутів та жертви, на які варто піти заради керівництва компанією.

  • Як довго Ви на ринку, які послуги надаєте?
  • Компанія на ринку США з 2016-го, але тоді фактично роботи не проводились – різні дрібні проекти, експерименти, а лише з травня 2017-го ми почали зосереджуватися на бізнесі, розвивати  його. Послуги, які надаємо, – все, що стосується допомоги в питаннях кібербезпеки: тестування, захист і консультування. Насправді існує проблема у тому, що часто в країні є багато талантів, які стають на темну сторону і ламають системи, і значно менше людей, які вміють захищати. Ми знаємо, як робити і те, і те.
  • Хм, ви і ламаєте?
  • Так, це наша ключова компетенція вже протягом 18 років і полягає саме в етичному і легальному тестуванні захищеності безпеки клієнтських продуктів та систем.
  • Чи співпрацюєте з урядом?
  • Ми час від часу допомагаємо державних установам які про це просять на волонтерських засадах консультуваннями та тренінгами.
  • Чому волонтерські?
  • Тому що ми за це не отримуємо гроші. Наші ціни не прийнятні для українського ринку, грубо кажучи, тому для України робимо волонтерські проекти.
  • В яких країнах Ви маєте представництво Underdefense?
  • На Мальті, у Німеччині, Польщі та в США.
  • Чи співпрацює Underdefense з іншими центрами кібербезпеки у світі?
  • В основному ми працюємо з американськими та ізраїльськими компаніями. У них є свої центри, в нас – свої, це називається Security Operation Center. Ми з ними обмінюємось розвідданими.
  • Для спільного блага?
  • Так, ми знаходимо щось, надсилаємо їм інформацію про нову загрозу. Коли вони знаходять щось цікаве, також надсилають нам. Плюс ми так само повідомляємо компанії, котрі випадково потрапили у наші радари, про те, що в них можуть бути певні проблеми або на них щось планують.
  • Чи збільшилась кількість кіберзагроз в Україні у порівнянні з іншими державами?
  • Однозначно, що Україна більш вразлива, тому що в інших країнах до кібербезпеки ставляться набагато серйозніше. А в Україні більшість Windows не ліцензовані, піратський софт і т. д.
  • Чи відповідає Windows вимогам кібербезпеки в державних установах з точки зору неконтрольованості кінцевим користувачем?
  • Цікаве питання. Я думаю, що будь-яка система може працювати, якщо «вмілими ручками» її налаштувати, прикрутити і так далі.
  • Навіть в Україні?
  • Тим більше в Україні. Тут якраз правильне налаштування – це є половина успіху. Windows є enterprise стандартом, використовуваний глобально у світі, найбільш популярна операційна система для робочих комп’ютерів. Тому, відповідно, хлопці з Microsoft зробили все можливе для того, щоб вона була безпечною.
  • Чому інколи виробники програмного забезпечення заявляють про фейкові виявлені загрози?
  • Піар. Є багато компаній, які так роблять. Основні компанії, які займаються кібербезпекою, люблять пошуміти, що от з’явився суперновий смертельний вірус і саме наш продукт – те без чого всім не обійтися…
  • А Ви відрізняєте, коли це фейк, а коли ні?
  • Це дуже важко відрізнити. Потрібно сідати, дивитися, розбиратися з кожним випадком окремо.
  • Як Ви вважаєте, чи підтримують виробники мережевого обладнання в актуальному стані програмне забезпечення з точки зору реакції та попередження кіберзагроз?
  • Є проблема в тому, що є виробники рівня enterprise, тобто які стараються, оновлюють і так далі свої прошивки, а є small office, home office, тобто для end-user’ів. Наприклад, Ви купили сьогодні роутер, через два роки в цій моделі знайшли вразливість і ніколи в житті вона не оновлювалася. Якщо Вам необхідно виправити цю вразливість, найкраще рішення – це викинути цей роутер і купити новий. Такі виробники як TPLINK, DLINK, тобто всі китайські виробники апаратного програмного забезпечення, у більшості не дбають про те, щоб у роутера був життєвий цикл. Вони не попереджають користувача, що життєвий цикл таких пристроїв обмежений.

Ви купуєте сьогодні мультиварку або холодильник з підключенням до інтернету, але це не означає, що десь в оптимальному варіанті на 5 років ваш холодильник буде оновлюватись.  Після того він може не оновлюватися, і якщо він ще підключений напряму до інтернету, може дати комусь доступ до ваших продуктів, як варіант. Або його зашифрують, і ваш холодильник не буде відкриватися.

  • Але ж виробники холодильників зазвичай роблять на совість?
  • Всі намагаються зекономити. Всі намагаються поставити мінімальне апаратне забезпечення щоб, скажімо, зекономити гроші. Ви напевно чули про Botnet Mirai – той, що поклав Твітер та півінтернету в Америці. Та ж сама система зараз попереджає про нову супер загрозу від росіян, яка називалась VBN Filter? От на чому побудований VBN Filter? На старих роутерах. Тобто роутери, які ми з вами маємо вдома, в які ви, швидше за все, ніколи не заглядаєте. Прийшов хлопчина з Укртелекому, поставив, увімкнув і все, ви більше його ніколи в житті не оновлюєте.

Його хтось може використовувати?

– Так, більше того, вам у трафік вкапуватимуть свої шматки коду, які будуть красти, наприклад, ваші аккаунти. Мій колега робив дуже хороший заклик до Дня незалежності оновити свій роутер або, якщо цей роутер вже не оновлюється, викинути його і підвищити таким чином кібербезпеку держави.

  • Які лайфхаки порадите для власної безпеки?
  • Перше: не економте на тих речах, які мають бути нормальної якості.
  • Нещодавно мій знайомий пояснював за купівлю будинку. Вони продають будинки і продають їх дорого. Знаєте, чому дорого? Тому що за 5 років ви забудете за ціну, яку ви заплатили за цю квартиру, але якість ви будете бачити ще 5 років. Немає якісного і дешевого водночас.
  • Це так само і про спеціалістів: є нормальні спеціалісти, є ті, що шукають роботу, і є генії. Тобто вибрати можна лише 2 з трьох.

Отже, я порадив би купувати ліцензоване, купувати комерційні антивіруси, користуватися менеджером паролів (наприклад 1password) – дуже корисна штука, не зберігати паролі по дефолту в хромі чи іншому браузері. При користуванні цією програмою всі паролі доступні з телефона, на комп’ютері, але вони захищені не дефолтом Windows. Вона доступна для Windows, Linux, Mac і телефону.

  • Можливо Ви порадите якусь книгу, що Вам подобається, але не з кібербезпеки.
  • Я вам краще пораджу кілька фільмів, які варто подивитися з кібербезпеки. Це насправді дуже класні прості фільми: «Сноуден» – це класика, «П’ята влада».
  • Вам вдалось знайти свою нішу. Як заснувати компанію з кібербезпеки?
  • Це дуже непросто. Насправді, заснувати можна. Питання в тому, чи вона виживе. Це як будь-який бізнес. Мене спонукала, по-перше, Львівська бізнес-школа (LvBS), навчання там, по-друге, тур з Львівською бізнес-школою в Ізраїль, де, оскільки я був дуже активний, я попав в найбільшу кількість компаній, які нас цікавили на той час і займались кібербезпекою. Фактично ми проїздили разом з нашою групою із LvBS всі найкрутіші компанії там в плані кібербезпеки. Подивившись, як у них все зроблено, ми зрозуміли, що насправді можемо робити так само, а може навіть і краще.
  • Що Ви порадите, щоб віднайти те, що твоє?
  • Бути добрим в чомусь одному, але знати про все решту, експериментувати і хотіти більше за всіх. Є такий вислів «тобі більше за всіх треба». Якщо це не так, відповідно, ти не будеш засновувати щось і так далі. Необхідна пристрасть. Багато людей дуже багато хочуть, але між «хотіти» і «робити» – велика різниця, прірва. Вам дійсно має бути потрібно більше, ніж іншим.
  • Чим доводиться жертвувати, коли ти голова компанії?
  • Перш за все часом, увагою та енергією. Час – напевно те, що втрачається найбільше. Я, наприклад, не вірю в work-life balance.
  • Тобто 40 годин на тиждень .. J
  • Це брехня. Якщо ти йдеш робити компанію, ти працюєш по 12-16 годин на день. Спочатку два місяці ми жили взагалі без клієнтів, без нічого, в повний нуль, жили на зарплату дружини, а через два місяці знайшли першого клієнта і почали трошки заробляти. Із вересня дружина вже пішла в декрет, в жовтні народила і далі все пішло краще. Але ризики в бізнесі завжди дуже високі. Зараз у нас є 39 працівників у штаті.

 

 

Вам буде цікаво

In memoriam. Світлій пам'яті Олексія Скрипника

Два роки тому раптово обірвалося життя Олексія Скрипника молодшого, співзасновника...

MontyQuiz

У першому семестрі наші першокурсники організували інтелектуальний турнір з програмування...

Дані не знайдено

Долучайтеся до APPS UCU в соціальних мережах

Facebook Instagram