«Мы можем вырасти в 10-20 раз по проектам и выручке и не надломиться»

В компании F.A.C.C.T. — важные кадровые изменения, в сентябре руководитель департамента сетевой безопасности  Никита Кислицин был назначен техническим директором. Новый CTO рассказал, какие стратегические задачи стоят перед ним, о планах по развитию продуктов, о конкуренции и сертификации, а также о кадровой политике и чем конкретно компания может привлечь молодых талантливых инженеров. 

Весной 2023 года в результате диверсификации международного бизнеса Group-IB на российском рынке появился новый бренд — F.A.C.C.T. Сразу было заявлено, что российская компания юридически и финансово независима от международной.  А что с технологической независимостью? Насколько она безболезненно прошла для команды и самое главное  — для клиентов?

Технологическое разделение такой сложной компании — это длительный многоэтапный процесс, который включает в себя множество слоев, которые нужно «разделить»: люди и команда, бизнес-процессы, технологические процессы, исходный код продуктов, инфраструктура и т.д.

Считаю, что мы очень круто прошли этот этап и, самое главное, для наших клиентов это фактически прошло бесшовно. Разделение компании еще и совпало с волной новых клиентов, кто нуждался в срочной защите из-за ухода западных вендоров.

Мы сумели им помочь и не просто «импортозаместили», а на самом деле предложили более технологичные и эффективные решения уже под новым брендом и часто с новым исходным кодом, т.к. клиенты приходили с рядом новых запросов. Мы развиваем наши продукты полностью автономно, независимо от компании Group-IB.

Изначально у F.A.C.C.T.  технического директора не было. Почему сейчас возникла необходимость введения должности CTO? Какие основные задачи стоят перед тобой?

Как я уже сказал, F.A.C.C.T. это сложная, многосоставная, во многом уникальная компания. Мы одновременно и производитель сложного инновационного ПО, и центр экспертизы, и сервисная Cybersec-компания. Перед нами буквально в полный рост стоят вызовы технологического развития, поддержания необходимого уровня инноваций. Чтобы просто оставаться конкурентноспособными на таком сложном, быстро меняющемся и конкурентном рынке, нужно очень быстро бежать.

Передо мной как техническим директором стоит ряд стратегических задач: формирование эффективной продуктовой и технологической стратегии, эффективное развитие продуктов, укрупнение и структуризация технической команды, перестройка внутренней кухни для того, чтобы мы как компания могли бы вырасти в 10-20 раз по проектной работе и выручке и не надломиться.

Несмотря на новый молодой бренд у F.A.C.C.T. большая и богатая история, в том числе и технологическая — первые решения стали разрабатываться еще в 2011 году. Ты пришел в компанию в 2012 году, вспомни, с чего вы начинали разработку?

Когда я пришел в компанию, мы начали разрабатывать систему под названием Bot-Trek, которая стала аккумулировать автоматически собираемые данные по утечкам учетных записей, банковских карт и других подобный данных. Компания в это время очень много помогала банковскому сектору: это было время массовых хищений из ДБО, атак на банки, хищений из самих банков.

Наша команда оказывала услуги реагирования на инциденты и благодаря этому оказывалась на технологической передовой в плане осведомленности об атаках, инструментах, тактиках и техниках. Мы изучали то, как действуют злоумышленники, изучали инструментарий, инфраструктуру атакующих, сети зараженных компьютеров. Отталкиваясь от этого, я пришел к пониманию, что мы вполне можем сделать продукт для детектирования вредоносного ПО в трафике, что технически сможем вывести такую разработку относительно малой командой.

Именно так и начался продукт XDR — мы сделали сетевую часть, которая детектировала зараженные компьютеры. Почти на каждом пилоте мы что-то находили и здорово тогда помогли продуктом банковской индустрии.

Примерно в то же время компания начала разработку своей антифрод-системы, которая  по сути поставила крест на некоторых типах хищений и мошенничества.

Как сейчас, спустя 12 лет, выглядит продуктовый портфель компании? От каких киберугроз они защищают?

Наши продукты предназначены для защиты бизнеса от кибератак, и мы можем быть полезны как малому и среднему бизнесу, так и крупным корпорациям, которые уже инвестировали значительные средства в безопасность. 

Например, MXDR предоставляет комплексную защиту, охватывающую электронную почту, сетевой трафик, файловые хранилища и конечные устройства, включая удаленных сотрудников. Каждый день мы обнаруживаем десятки тысяч атак на наших клиентов, и помимо технологической помощи, предлагаем сервисы по мониторингу безопасности, поиску угроз и реагированию на инциденты.

Мы собираем и обрабатываем все данные и знания об атаках в реальном времени с помощью нашей аналитической платформы Threat Intelligence. Эта платформа аккумулирует огромные объемы информации и аналитики о киберугрозах, охватывая широкий спектр — от массовых утечек до детальной аналитики целевых атак организованных групп злоумышленников, включая их инструменты, тактики, техники и процедуры. Помимо данных, платформа предоставляет доступ к часам работы наших аналитиков для решения задач.

Противодействие мошенничеству — основная функция продукта Fraud Protection. Он использует методы для анализа как устройств, так и поведения пользователей в системе, обеспечивая защиту от различных видов онлайн-мошенничества. Этот продукт востребован в самых разных отраслях — от банковского сектора до онлайн-ритейла, крипто-индустрии, букмекерских компаний и т.д.

Digital Risk Protection позволяет контролировать практически все, что происходит в интернете с точки зрения защиты бренда и выявления цифровых корпоративных рисков. Он отслеживает рекламу, объявления, сайты с пиратским и контрафактным контентом, каталоги мобильных приложений, ресурсы в дарквебе, информацию о новых доменах и многое другое. Решение не только выявляет нарушения, но и активно устраняет их: снимает с делегирования нелегальные домены, блокирует фишинговые сайты, удаляет пиратский и поддельный контент.

Продукт ASM отвечает за контроль периметра и публичной поверхности атак. Он сканирует интернет и автоматически проводит инвентаризацию внешних активов компании, включая «забытые» элементы, о которых текущая IT-команда компании может даже не знать — старые сайты, неиспользуемую, но работающую инфраструктуру. Все выявленные активы проверяются на наличие уязвимостей и рисков, а также предоставляются рекомендации по их устранению.

Какие решения наиболее востребованы на рынке в последнее время? Кто ваши ближайшие конкуренты?  Вы конкурируйте с российскими или международными вендорами?

Весь рынок продуктов ИБ сейчас на большом подъеме. Сложилось несколько факторов: из-за атак вымогателей и их массовости, компании резко осознали масштаб стоящих рисков и их возможное практическое влияние на бизнес. 2022 год добавил сюда и кибератаки со стороны квалифицированных групп атакующих, причем как политически-мотивированные публичные атаки, так и тихие целевые атаки. Мы видим высокий спрос и хороший рост по всему продуктовому портфолио компании.

В части конкуренции, это безусловно все российские ИБ компании и некоторые западные компании, которые втихую остались на рынке. Скажу только, что большое заблуждение говорить, что рынок с уходом иностранных вендоров потерял конкуренцию и стал голубым океаном. Все российские производители очень сильные и достойные друг друга конкуренты.

Отдельный вид конкуренции — это конкуренция с воспоминаниями про западные решения. Клиенты, кто обращается к нам для замены старых решений (зачастую еще работающих), часто приходят с очень конкретными запросами, которые полностью сформированы на основе прошлого опыта: у нас было вот так и сделайте ровно так же. Здесь мы стараемся искать компромисс и идти к коренным потребностям клиентов. Часто это толкает нас к разработкам абсолютно новых технологий. Например, в нашей технологии защиты электронной почты, мы в этом году реализовали технологию Time-of-click анализа ссылок (которая как раз была реализована в западных решениях и многократно запрашивалась клиентами). Идея в проверке ссылок в электронных письмах именно в тот момент, когда пользователь на них кликает: причем не важно, на каком устройстве он это делает — на домашнем компьютере, в офисе или на мобильном устройстве.

Какие планы по развитию продуктов? На чем будете делать акцент, какие решения должны появится?

Я сдержанно смотрю на идеи по запуску новых продуктов. Мы уже имеем довольно широкое портфолио в самых разных областях: от антифрод-систем до TI-платформы и комплексного решения для защиты инфраструктуры, хостов и электронной почты. Наша настоящая задача — продолжать растить рыночную долю на этих больших рынках, для этого мы реализуем довольно амбициозные функциональные роадмапы по каждому продукту.

Если говорить об акцентах, то очевидным акцентом сейчас является тесная интеграция с тем ландшафтом, на котором работают продукты. Например, понятно, что доля Linux и российских дистрибутивов будет расти, а доля Windows — сокращаться. Это новая реальность, которая расставляет акценты и в разработке: мы заключили технологические партнерства с производителями этих ОС, ведем тестирование нашего EDR-модуля на совместимость с ними, в этом году мы выпускаем песочницу с отечественными Linux-дистрибутивами в гостевых машинах и т.д.

Если несколько лет назад для заказчиков было важно попадание решения в квадрат Gartner, то сейчас про него уже мало кто вспоминает. Важно наличие лицензии ФСТЭК, попадание в реестр Отечественного ПО. Для F.A.C.C.T. лицензирование и попадание в реестр необходимая история?

Мы работаем на рынке практически полезных продуктов, которые дают результат и защищают клиентов. Это совсем не всегда эквивалентно комплаенс-рынку продуктов, которые покупают для выполнения требований регуляторов. Многие наши продукты в целом не подлежат сертификации и под них нет профилей защиты в системе сертификации ФСТЭК. Поэтому я не могу сказать, что для нас это какой-то основополагающий вопрос.

При этом у нас есть опыт сертификации решений и я с большим уважением отношусь к работе и изменениям, которые ФСТЭК проводит в системе сертификации в последние годы. Мы видим, что сертификация это действительно работающий технический процесс, который толкает индустрию и производителей ПО к очень правильным практическим вопросам о безопасности этого ПО, выстраиванию эффективных циклов безопасной разработки, практическому поиску уязвимостей (в том числе в opensource), контролю зависимостей и так далее. Так что я смотрю на это в первую очередь через техническую призму: мы безусловно хотим, чтобы наши продукты были безопасны и сертификация точно толкает в правильную сторону.

Другой немаловажный вопрос, где хранятся данные российских клиентов?

Вся наша инфраструктура расположена в России. Если говорить о продуктах, которые обрабатывают клиентские данные, то примерно половина клиентов использует «On-Premise» поставку, при которой и сам продукт и данные располагаются в ЦОД клиента под его полным контролем. Вторая половина клиентов выбирает использование гибридной либо облачной модели поставки. В этом случае данные обрабатываются в нашем облаке, расположенном в России.

Как будет строиться кадровая политика CTO? Сколько технических вакансий?  Почему молодой инженер, разработчик должен, по твоему прийти работать, именно в F.A.C.C.T.?

Мы всегда исторически принимали к себе на работу очень много молодых технических специалистов, выпускников ведущих российских университетов. В основном, все текущие лидеры в технических командах это ребята, кто пришел к нам еще в студенчестве и вырос как специалист именно у нас в компании. Я люблю и ценю эту преемственность, мы абсолютно точно продолжим нанимать молодых сотрудников и подпитывать наш резерв ими. Мы доверяем людям, кого отобрали и можем предложить им сразу довольно хороший уровень задач, возможность личного влияния на процессы. Быть винтиком в большой машине — это не про работу у нас. Мы даем возможности людям принимать решения, чувствовать ответственность за них, видеть напрямую результат своей работы.

При этом только на одних молодых сотрудниках далеко уехать не получится. Важная задача состоит в том, чтобы удерживать лучшие кадры в долгую, привлекать с рынка состоявшихся специалистов с готовой экспертизой. Нам нужно вырасти минимум вдвое по размеру технической команды в ближайшие пару лет. Делать сейчас это кстати очень дорого, рынок труда очень тяжелый.

Сейчас сложно давать, какие долговременные прогнозы, тем не менее хотелось бы понять, какие актуальные киберугрозы будут в условном 2030 году и в какую сторону должны развиваться системы защиты?

Я недавно анализировал и перечитывал наши старые отчеты, в том числе с прогнозами. Очень интересно смотреть, что мы писали условно 7-9 лет назад. Тогда нам казалось, что все атаки постепенно начнут усложняться, технологически все начнет углубляться, что настанет эпоха массовых атак уровня прошивок, UEFI-имплантов и так далее. На деле, в 2024 году компании ломают примерно так же, как делали это в 2014, а UEFI-импланты как были экзотикой так и остались. Мы до сих пор видим множество клиентов с парком машин на неподдерживаемых ОС и нулем планов на их замену и рефакторинг этих систем. Так что если говорить о технических атаках, я не думаю, что что-то принципиально поменяется.

Думаю, что еще сильнее начнет себя проявлять проблема Supply chain атак, особенно в разработке софта (когда в коммерческие системы попадают уязвимости либо бекдоры через сторонние зависимости). Здесь реальность такова, что в целом разработка огромной части ПО изначально абсолютно небезопасна: многое строится на доверии, сплошь и рядом можно видеть полностью «открытый контур» разработки даже корпоративных приложений, при котором разработчики просто берут зависимости в виде готовых пакетов из публичных репозиториев. Это удобно, быстро и бесплатно. А вот контроль вот этого процесса, закрытие контура разработки, анализ всех зависимостей, самостоятельная сборка из исходных кодов всех зависимостей, контроль поставщиков и подрядчиков — очень объемный и на практике дорогой процесс. К нему, кстати, как раз толкает сертификация.

По поводу генеративного ИИ скажу, что пока злоумышленники куда быстрее начинают получать пользу от этой революции, чем защитники. Быстрая генерация контента для социальной инженерии, автоматическая генерация фишинговых ресурсов, автоматизация общения с жертвами, качественные аудио и видео фейки — это новая реальность использования ИИ злоумышленниками.