Директор по развитию компании Вебмониторэкс Екатерина СТАРОСТИНА и директор по информационной безопасности компании Вебмониторэкс Лев ПАЛЕЙ рассказали в интервью NBJ, что такое социальное инвестирование для организации, которая работает в сфере ИБ. Спикеры поделились своими взглядами на процессы, происходящие в отрасли информационной безопасности, и на перспективы её развития. Они объяснили, в чём состоит техническая и идеологическая суть создаваемого компанией продукта.

NBJ: Обычно в интервью с компаниями из сферы ИБ принято сразу говорить о вопросах информационной безопасности. Но сначала хотелось бы понять, чем «дышит» компания Вебмониторэкс сейчас, каков её дух, какие ценности исповедует?

Е. СТАРОСТИНА: Надо отметить, что наша компания развивается более 10-ти лет благодаря инновационным решениям. Открытость, обратная связь и современное руководство – основной инструмент достижения успеха, как мы считаем. Наша главная ценность – это люди, команда, с кем мы так или иначе пересекаемся внутри, а также вне компании, обеспечивая возможность социального инвестирования в будущих специалистов по кибербезопасности и не только. Образ компании Вебмониторэкс – это про сочетание энергии, логики и ума. Западный опыт, реализованный с русской душой. По крайней мере, мы к этому стремимся!

Л. ПАЛЕЙ: Люблю такие воздушные вопросы. На мой взгляд, отличительная особенность – это сочетание осознанности по отношению к внешнему миру и практичности в планировании и исполнении. Причём осознанность – не в общем понимании набившее оскомину «популярное выражение», которым пестрят сейчас все околопсихологиеские форумы и шоу. Здесь, скорее, про отказ от выставления искусственных границ, причинами которых зачастую становятся непроработанные опасения, исторические травмы и отсутствие кругозора. Практичность же – про соответствие потребностям рынка через инновационные решения, а не соответствие искусственным трендам и общей повестке (кто её задает, тоже не всегда понятно).

NBJ: Я знаю, что компания намерена активно заниматься социальным инвестированием – расскажите, пожалуйста, что это такое в вашем представлении. Каковы ваши цели в данном случае – ведь в условиях высокого темпа жизни времени и ресурсов остается не так много?

Е. СТАРОСТИНА: Социальное инвестирование означает вложение ресурсов и средств компании в проекты или программы, направленные на решение социальных проблем и улучшение качества жизни людей. В нашем случае – это повышение осведомлённости по проблемным и узким местам в сфере ИБ, освещение темы профориентации в ИБ, опыт ИБ маркетинга и коммуникаций. Раскрытие не только своих возможностей, но и приглашение компаний и людей из других компаний. Некая синергия. Целью такого инвестирования является не только будущая косвенная финансовая отдача, но и создание положительного социального влияния в обществе.

В условиях высокого темпа жизни и ограниченных ресурсов (мама, архитектор кафедры информационной безопасности, инструктор по джампингу, партнёр медиа-студии Global Digital Space и другое), тем не менее, я успеваю ставить перед собой различные цели в социальном инвестировании. В частности, у меня это:

1. Поддержка образования: как архитектор направления ИБ и системного администрирования в ITHub collage пробую построить эффективное бизнес-ориентированное обучение, привлекая действующих специалистов и компании с отечественного рынка ИБ к изменению программы, построению новых подходов в обучении. Также, важной частью поддержки образования считаю тему кибергигиены, киберграмотности не только детей, но и их родителей. Совместно с амбассадорами ITHub или я сама регулярно принимаю участие в активностях, посвящённым этим аспектам.

2. Голый маркетинг и ИТ маркетинг без прикрас, медиа-проект, где мы рассказываем интересные фишки в ИТ и ИБ-компаниях со стороны разных специалистов, которые могут облегчить путь развития и продвижения для нашей отрасли.

3. Развитие женского сообщества «женсоветпоИБэ», которое посвящено поддержке женщин в ИБ и ИТ среде, включая обмен опытом, регулярные встречи и поиск возможностей для всех в их работе. Сейчас нас уже 116 человек, думаем, как эффективно эволюционировать дальше.

Тут важно найти баланс между финансовыми и социальными выгодами, чтобы создать устойчивое и ответственное развитие компании.

Л. ПАЛЕЙ: Мы все – часть отрасли. Пускай и не великой, но находящейся под пристальным вниманием. И тут важно не только забирать, но и отдавать. Поэтому мы договорились, по возможности, посвящать время активностям по обучению, проектам, связанным с популяризацией и очеловечиванием профессии, информационная безопасность. Зачастую такие активности пресекаются из-за боязни чуть больше подсветить компетентность и образ мыслей человека. А вдруг кто-то увидит и позарится, сейчас как заберут его. Но с другой стороны, такая практика открывает новые возможности: позволяет всем работникам, как равным партнёрам, больше доверять друг другу, больше ценить вклад каждого в общие результаты.

NBJ: Наверное, главным результатом деятельности любой компании является её конечный продукт. Расскажите о вашем продукте. Как вы считает, в какой степени он отражает дух компании и ваши личные ценности?

Л. ПАЛЕЙ Платформа «Вебмониторэкс» (в девичестве Wallarm) интересна комплексным подходом и ориентировкой на сложные, нагруженные инфраструктуры. Те вызовы, на которые предстоит ответить другим решениям сегмента – уже часть истории успеха нашей платформы. Очень хорошим отличием также является подробная и открытая документация, постоянно наполняемая и поддерживаемая, она содержит описание каждой функции, детальной настройки, а сейчас мы планируем её расширять описанием частоиспользуемых сценариев. Если отвечать на вторую часть вопроса, как отражает продукт дух компании и ценности всех, кто находится внутри, то тут, как мне кажется, важное слово – открытость! У нас большое количество наработок, которыми мы делимся с рынком, участвуем в открытых и понятных инициативах.

Е. СТАРОСТИНА: Добавлю к ответу Льва, что мы стремимся создавать продукт, который не только обеспечивает безопасность веб-приложений и API, но и отражает наши ценности и дух компании. Важно для нас создать инструмент, который помогает защитить компании и блокирует атаки на веб-приложения. Мы верим в значимость безопасности в онлайн-мире и стремимся сделать его более безопасным и надёжным для всех пользователей.

Кроме того, мы также придаём большое значение инновациям и качеству продукта, работаем над улучшением и обновлением нашего WAF, чтобы он соответствовал самым современным требованиям безопасности.

NBJ: Для кого предназначен продукт Вебмониторэкс? Расскажите о его технической составляющей...

Л. ПАЛЕЙ Наши клиенты – все компании, для кого важна эффективная, как с точки зрения точности реагирования и покрытия всех векторов атак, так и со стороны экономической модели сопровождения. Наша платформа – это единственное решение, позволяющее раскрывать структуру API из наблюдаемого трафика. А комплексность решения, которая позволяет обеспечивать полный цикл управления уязвимостями веб-приложений, сильно выделяет на фоне существующей конъюнктуры. Есть и менее крупные отличия платформы, которые пока ещё никем не повторены. Тут и возможность идентификации уязвимости в атакуемом приложении, и наличие собственного сканера периметра – всё это и в отдельности, и в комплексе состоит из инновационных компонентов.

NBJ: Насколько сложнее или, наоборот, проще продвигать сейчас продукт на рынке и в целом развивать компанию?

Е. СТАРОСТИНА: На мой взгляд лучшее время – это сегодня. Никогда не смотрела на то, а «какое же время». В любом времени можно найти выгодную историю и двигаться вперёд. Сейчас это, несомненно, поддержка отечественных компаний, история, связанная с конкурентоспособностью других продуктов и решений. В частности, российских WAF решений не так уж и много, а главное – это открытое поле для вариативности практически любых возможностей на рынке. Здесь главное, как всегда – хлеба и зрелищ, но и продукт должен быть рабочим, с чем у нас нет проблем.

NBJ: Как вы считаете, насколько важно продвигать личные бренды сотрудников компании, и зачем это надо?

Е. СТАРОСТИНА: Тут скорее наоборот, если человек уже заработал имя на рынке (неважно каком) его охотнее принимают на работу. Так как доверие к личному бренду становится зачастую выше, чем даже к компании. В комплексе два бренда – личный и компании – могут работать куда эффективнее.

Л. ПАЛЕЙ Команда состоит не только из тех, кто по каким-то причинам на виду. Поэтому, если есть потребность – нужно способствовать становлению новых брендов, личностей, их дополнительной визуализации. Лучше иметь не 1 лошадиную силу, а мотор объединяющий 200–300 лошадиных сил. И тогда продвижение самой компании с таким усилением обретёт дополнительный запас мощности.

NBJ: Ситуацию на российском рынке ИБ, с которого ушло очень много иностранных компаний, можно сейчас, по вашему мнению, назвать стабильной, предсказуемой, динамично развивающейся? Какой вы видите роль Вебмониторэкс на отечественном рынке ИБ?

Е. СТАРОСТИНА: На мой взгляд, ситуацию на российском рынке информационной безопасности можно назвать динамично развивающейся. В последние годы наблюдается увеличение интереса к вопросам информационной безопасности со стороны частных компаний и государства в целом. Российские компании всё больше осознают важность защиты своих данных и активно ищут инструменты и решения для обеспечения безопасности именно с российского рынка, ищут высокое качество, не менее, чем оно было у ушедших вендоров. При этом отмечу, что уход иностранных компаний с российского рынка ИБ не означает, что рынок стал более стабильным или предсказуемым. Тем не менее, это может создать новые возможности для отечественных компаний, которые уже вовсю занимают освободившуюся нишу и предлагают конкурентоспособные решения.

Л. ПАЛЕЙ Основная экспертиза Вебмониторэкс – работа с уязвимостями, атаками веб-приложений и API. Хоть и не люблю это пафосное слово – экспертиза, но тут оно кстати. История команды – больше 10 лет развития продукта с исследовательским подходом. Сейчас это уже не один продукт, а платформа, но полностью сосредоточенная на нише защиты приложений. При этом линейка в процессе пополнения. И если есть потребность в качестве, то это точно к нам.

NBJ: Как проблемы ИБ со стороны заказчиков, о которых вам хорошо известно благодаря предыдущему опыту работы, преломляются в деятельности вендора? Вообще, насколько интересно с точки зрения карьерного роста пройти путь от заказчика к вендору? Что вы для себя почерпнули полезного?

Е. СТАРОСТИНА: Да, это мой тоже первый опыт работы в вендоре. Оказалось не так и страшно, ведь тут есть больше возможностей с точки зрения запуска и опробования новых подходов к развитию продукта, нет бюрократии, как у многих заказчиков. Зато есть скорость, энергия и драйв.

Карьерный путь от заказчика к вендору может быть интересным с точки зрения профессионального роста. Работа в роли заказчика позволяет получить практический опыт работы с продуктами и услугами в области информационной безопасности, а опыт работы в вендоре даёт возможность применить его на практике, основываясь на понимании  потребности и проблемы клиентов.

Ну и работая на стороне заказчика, мне удалось познакомиться с огромным количеством высококлассных специалистов в ИБ; заказчики, вендоры, интеграторы, консалтинг – со всеми ними успела поработать, понять отличия, расширить кругозор.

NBJ: Аудитория нашего журнала – это представители финансового рынка. Что сейчас актуально для них с точки зрения ИБ?

Л. ПАЛЕЙ Ответ простой – Application Programming Interface (API). Финансовые продукты используют API как для взаимодействия с пользователями через мобильные приложения, так и для обмена данными между различными партнёрскими информационными системами. Именно через API передаются самые чувствительные для отрасли данные, и они же представляют самый большой интерес для злоумышленников. С увеличением использования API в финансовой сфере – безопасность API становится всё более важной. Соответственно нужно следить за защитой данных, конфиденциальности и безопасности информации при использовании API.

NBJ: Расскажите о вашем взаимодействии с финансовым рынком…

Е. СТАРОСТИНА: Вебмониторэкс, конеч­но, стремится предоставить технологические решения и инструменты, которые могут быть использованы компаниями в финтех-секторе для разработки своих продуктов и услуг.

В области WAF (Web Application Firewall) и API security компании могут использовать передовые алгоритмы и модели от OpenAI для создания систем защиты, обнаружения и предотвращения атак на веб-приложения и API. Это может помочь обеспечить безопасность финтех-продуктов и депозиториев, защитить конфиденциальность данных клиентов и предотвратить   несанкционированный доступ.

Важно отметить, что конкретные решения и инструменты должны быть разработаны и настроены компаниями, работающими в финтех-секторе, с учётом их конкретных потребностей и требований безопасности.

NBJ: Говоря о перспективах российской сферы ИБ, нельзя не сказать о  подходах к образованию в инфобезе. Что вы думаете по этому поводу? И какую молодёжь хотели бы видеть у себя в компании?

Е. СТАРОСТИНА: Я считаю, что образование в области информационной безопасности в России нуждается в дальнейшем развитии и совершенствовании. И это уже происходит – его модернизация. Мы все знаем, как остро ощущается недостаток квалифицированных специалистов в этой области, что создаёт проблемы для компаний, которые нуждаются в защите своей информации, своей инфраструктуры и прочее.

Одной из проблем ИБ-образования является отсутствие актуальных и специализированных программ обучения по информационной безопасности в российских университетах и колледжах. Часто программы не отражают современные тенденции и требования индустрии. Да, они меняются, но не так быстро, как хотелось бы. И эти программы меняет сам бизнес, помогает перестраивать их, отражать реалии рынка ИБ. Важно не бояться брать на стажировку студентов, делать воронку и выбирать, доучивать, докручивать и снова выбирать.

В компании я хотела бы видеть молодёжь, которая проявляет интерес и страсть к информационной безопасности. Именно страсть – я не оговорилась. Ведь в энергии рождается действие, которое и помогает поддерживать ИБ на должном уровне.

Л. ПАЛЕЙ Самое главное – это интерес и огонёк в глазах. Нам важно, чтобы команда была готова продолжать путь инновационного развития, а для этого нужна правильная подпитка в виде коллег, готовых выйти за рамки стереотипного восприятия устоявшихся процессов и предложить другой взгляд на проблему. Любое такое решение – это плод детального погружения, недюжинные аналитические способности и, конечно, терпение и упорство в достижении цели. Вот пожалуй и всё: рецепт прост в описании, но его достижение – хоть и увлекательный, но, зачастую, сложный путь.  

Беседовала: Оксана ДЯЧЕНКО

Материал также опубликован в печатной версии Национального банковского журнала (октябрь 2023)