VK увеличила бюджет на кибербезопасность в 2,5 раза. ИБ-директор Алексей Волков – о главных киберугрозах и целях злоумышленников
Российский бизнес с каждым годом всё больше внимания уделяет вопросам кибербезопасности. VK, одна из крупнейших российских ИТ-компаний – не исключение. С какими угрозами компания сталкивалась в 2022 году, как они эволюционировали за последние годы, насколько актуально импортозамещение ИТ-решений в сфере ИБ и какую пользу приносят багхантеры, рассказал вице-президент, директор по информационной безопасности VK Алексей Волков в интервью TAdviser.
Волков
Алексей, расскажите, пожалуйста, каковы ключевые направления развития ИБ в VK?
Алексей Волков: Есть два взаимосвязанных направления. Первое – обеспечивать киберустойчивость сервисов VK, второе – защищать наших пользователей и создать условия для их доверия нашим продуктам.
Безопасность всех сервисов обеспечивает блок ИБ VK, который защищает внутреннюю инфраструктуру компании, все этапы разработки, пользователей и их данные. В 2022 году наш блок значительно вырос, в этом году исходя из текущих задач мы планируем увеличить штат еще в 1,5 раза.
У вас есть индивидуальные пользователи, а есть пользователи корпоративных сервисов. О безопасности и тех, и других заботится одна и та же структура?
Алексей Волков: В VK безопасность построена по гибридной модели. Есть централизованный блок ИБ, который отвечает за операционный центр безопасности VK SOC, безопасность приложений в части инструментария, методологию и киберкультуру. Но учитывая масштабы VK, в некоторых крупных бизнес-юнитах есть руководители по ИБ, в задачи которых входит внедрение централизованных инструментов в своих проектах, непосредственная работа по устранению уязвимостей.
Какова карта угроз VK?
Алексей Волков: События 2022 года показали, что основные киберугрозы для большинства цифровых сервисов — это DDoS-атаки, точечные кибератаки, попытки несанкционированного доступа в системы, которые в 85% случаев начинаются с фишинга. В этом плане у всех крупных ИТ-компаний одинаковая карта угроз.
С какими новыми угрозами вы столкнулись в 2022 году? Как изменилось поведение злоумышленников?
Алексей Волков: Не могу сказать, что появились новые методы и тактики злоумышленников, все угрозы широко известные. Другой вопрос, что у преступников изменились цели. Их впервые интересуют не столько деньги, сколько стремление как можно шире и громче заявить о киберпреступлении, приложив какие-то доказательства нанесенного вреда.
Т.е. теперь их основная цель – нанести вред репутации.
Алексей Волков: В основном действия злоумышленников направлены на это.
Какие были наиболее серьёзные инциденты в области ИБ в VK в 2022 году?
Алексей Волков: В VK очень хороший технологический резерв по мощностям и многоуровневая защита периметра, особо крупных инцидентов у нас не было. Есть постоянная активность злоумышленников, с которой мы успешно справляемся. Для этого мы увеличили штат, трансформировали SOC, расширили набор инструментов защиты и увеличили частоту внешних и внутренних пентестов.
Насколько актуальна для VK тема импортозамещения ИТ-решений в области ИБ?
Алексей Волков: Импортозамещение – это не самоцель. В России есть очень неплохие решения, часть из которых мы используем, а за развитием некоторых – наблюдаем с интересом. Кроме того, у нас очень много собственной разработки, много open source решений. При определённых усилиях со стороны государства и бизнеса мы сократим расстояние между нами и западными вендорами в короткие сроки.
Вот, например, мы довольно оперативно нашли отечественные платформы Bug Bounty, на которых разместили свою программу по поиску уязвимостей. На сегодняшний день мы единственная в России компания, которая присутствует на всех действующих отечественных Bug Bounty платформах, общий объем выплат за 2022 год превысил 13 миллионов.
Не сталкивались ли вы в прошлом году с тем, что некоторые иностранные вендоры ИБ ушли из России, ограничив каким-то образом возможности использования своих решений?
Алексей Волков: Поведение некоторых вендоров никак не повлияло на уровень защищённости продуктов и сервисов VK – используемые нами ИБ-решения как работали, так и продолжают работать. Сейчас у нас нет необходимости принимать какие-то экстренные меры по импортозамещению.
Вы говорили, что у вас много собственной разработки. Какие решения в области ИБ вы разрабатываете?
Алексей Волков: Мы смотрим на многие рыночные решения, пилотируем, тестируем, ведём диалоги с вендорами о том, что необходимо доработать, показываем им нашу методику оценки. Но бывают случаи, когда оказывается быстрее и дешевле разработать что-то самим и настроить под нашу компанию.
Например, сейчас мы разрабатываем платформу управления уязвимостями, назвали её Security Gate. Здесь наша задача – объединить процессы управления дефектами в коде на нашей большой продуктовой линейке, поскольку есть определённая неоднородность в производственном процессе, а нам необходим единый инструмент и единая систему метрик. Эта платформа уже почти готова.
Как вы считаете, насколько всё-таки в целом сейчас российские производители ИБ-продуктов способны удовлетворить спрос?
Алексей Волков: Я настроен достаточно оптимистично. Думаю, что предложения от российских производителей будут расти и со временем смогут полностью удовлетворить все потребности технологических компаний.
Но, как показывает практика, проблема не всегда в ИБ-продуктах, а в недостаточном внимании к базовой ИБ и ИТ-гигиене. Я говорю об обучении пользователей, культуре работы с паролями, внедрении второго фактора аутентификации, сегментировании сети, управление уязвимостями, наличие антивируса и его обновлений.
Про то, что у многих организаций не улажены элементарные вещи, вроде паролей, разграничения прав доступа и тому подобного, на разных ИБ-мероприятиях периодически говорят и регуляторы, представители ФСТЭК, в том числе.
Алексей Волков: Я полностью согласен с коллегами. Просто нужно убедить в этом бизнес и планомерно, а главное регулярно, этим заниматься.
На рынке в 2022 году неоднократно обсуждали, что на фоне ухода западных ИБ-вендоров из России российские производители ИБ-решений сильно подняли цены. По отдельным вендорам приводилось повышение в 3-5 раз. Вы это ощутили? Пришлось ли вам пересматривать свой ИБ-бюджет в связи с ростом цен?
Алексей Волков: У нас достаточно зрелая ИБ и серьезный подход к бюджетированию, который позволяет учитывать современные тенденции и текущую ситуацию на рынке, даже с учетом повышения цен. Да, бюджет VK на кибербезопасность вырос в 2,5 раза относительно прошлого года. Но это обусловлено выполнением внутренних целей и задач, поставленных перед нашим блоком: у нас людей стало больше, инфраструктура масштабнее, плюс увеличилось количество проектов для обеспечения киберустойчивости.
Насколько сложнее стало находить квалифицированные кадры в ИБ, особенно на фоне усилившегося оттока из страны?
Алексей Волков: Квалифицированные кадры на рынке есть. Судя по входящему потоку, недостаток мы не испытываем. Я с уверенностью могу сказать, что у нас на данный момент одна из самых сильных ИБ-команд в России. Мы держим курс на дальнейшее развитие профессиональных навыков – с этой целью уже в три раза увеличили бюджет на обучение. Кстати, планируем в этом году привлечь начинающих специалистов на стажировку в ИБ, чтобы растить их под себя исходя из текущий задач.
VK – одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. И, как можно видеть по последним новостям компании, вы держите курс на расширение этой практики. Каковы ваши результаты 10-летнего использования программ bug bounty?
Алексей Волков: Если говорить о сухих цифрах, то за 10 лет мы получили около 15 тысяч отчётов и заплатили около 185 миллионов рублей за найденные уязвимости. За последний год мы получили 755 отчётов и заплатили свыше 13 миллионов рублей, из них порядка 15 отчетов – высокой степени уязвимости, за которые мы выплатили около 4 миллионов рублей.
Недавно мы в два раза увеличили верхний порог по оплате – 3,6 миллионов рублей сейчас составляет максимальная выплата.
Мы воспринимаем bug bounty как один из важнейших этапов в процессе под названием application security наравне с архитектурными ревью, секьюрити тестингом, SAST, DAST и пентестом. Bug Bounty замыкает эту цепочку и позволяет нам быстро закрыть все обнаруженные уязвимости, которые мы не нашли в рамках своих многочисленных процедур. В этом нам очень помогают внешние исследователи, за что им большое спасибо. Эта история успешно работает даже после отключения от западных bug bounty платформ. 28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT 
Наконец, это и очень хорошая имиджевая история: мы находимся в хороших отношениях с сообществом, поддерживаем его и благодаря bug bounty его развиваем.
С точки зрения сообщества, раньше, когда зарубежные bug bounty платформы были доступны, пул хантеров, которых можно было привлечь к поиску уязвимостей, был в разы шире. А сейчас, в том числе из-за сложностей с зарубежными платежами, потенциальных хантеров меньше. Насколько перспективным вы видите расширение пула за счёт других стран, таких как, например, Индия и других?
Алексей Волков: Количество доступных хакеров уменьшилось на bug bounty платформах, но пока рано делать выводы о том, насколько их достаточно для нужд российских компаний. Думаю, что стоит подождать пару лет, когда подрастут наши молодые ребята, которые сейчас учатся в школах и институтах, и посмотреть.
С другой стороны, не вижу оснований, чтобы не расширять сообщество за счёт хакеров из других стран, но это уже больше задача платформ bug bounty. Нам-то неважно, кто принесёт отчёт. И стоит учитывать, что хантеров привлекают не только деньги, многим важно профессиональное развитие, интересные задачи. Это крупные российские компании могут обеспечить.
Можно ли привести примеры наиболее критических уязвимостей, которые были найдены в VK силами сторонних хантеров?
Алексей Волков: Конкретные примеры я не могу привести. Скажу, что те 15 уязвимостей, которые я упоминал, были очень высокой важности. Мы такие уязвимости устраняем в считанные часы, а рекордное устранение составило 11 минут. Мы очень внимательно относимся к полученным результатам bug bounty и иногда даже останавливаем продуктовые релизы для того, чтобы устранить найденную уязвимость.
Существует ли какое-то взаимодействие, обмен практиками в области ИБ между VK и другими крупными интернет-компаниями?
Алексей Волков: Да, конечно. Более того, в последнее время такое взаимодействие только усиливается, потому что наша сила – в единстве. Если раньше мне приходилось довольно долго искать коллег из какой-нибудь организации, то сейчас я могу сделать это не в шесть рукопожатий, а в два, к примеру. Сейчас ИБ-сообщество сильно консолидировалось, мы улучшили наше взаимодействие в различных сферах.
ИБ-директор будущего, скажем, в 5-летней перспективе: каким, по вашему мнению, он будет? Чем будут отличаться требования к нему и его функции от того, что, как правило, есть сейчас?
Алексей Волков: ИБ-директора бывают разные. Это зависит от компаний, в которых они работают. В целом, ИБ-директор будущего должен быть, прежде всего, профессионалом в технологиях. Не может человек что-то защитить, если он не разбирается в том, как это работает. ИБ-директор должен быть экспертом в том стеке, который он использует. И чем ближе он находится к инфраструктуре, тем лучше он должен в ней разбираться. Это первое.
Второе – он должен быть универсальным человеком с точки зрения хард и софт скиллов. Он должен понимать, что ИТ – это не враги, а друзья. ИТ и ИБ – это большая связка, как раз из-за того, что большая часть лежит в инфраструктуре, в базовой гигиене. И с другой стороны, ИБ-директор должен понимать, что в центре находится клиент. Нужно уметь идентифицировать клиента, понять клиентские пути и боли, понимать, чего он хочет, чего боится, какими способами он решает свои страхи и потребности. И вокруг этого выстраивать безопасность: архитектура, данные, процессы, технологический стек и т.д.
Третье – ИБ-директор должен непрерывно повышать свой уровень знаний и требовать того же от команды. Он должен быть примером. Life-long learning – необходимость в ИБ.
Это всё необходимо и сейчас, конечно, а через пять лет будет ещё актуальнее, учитывая, с какой скоростью развиваются технологии.
С Алексеем Волковым беседовала Наталья Лаврентьева, заместитель главного редактора TAdviser
