VK увеличила бюджет на кибербезопасность в 2,5 раза. ИБ-директор Алексей Волков – о главных киберугрозах и целях злоумышленников
Российский бизнес с каждым годом всё больше внимания уделяет вопросам кибербезопасности. VK, одна из крупнейших российских ИТ-компаний – не исключение. С какими угрозами компания сталкивалась в 2022 году, как они эволюционировали за последние годы, насколько актуально импортозамещение ИТ-решений в сфере ИБ и какую пользу приносят багхантеры, рассказал вице-президент, директор по информационной безопасности VK Алексей Волков в интервью TAdviser.
Волков
Алексей, расскажите, пожалуйста, каковы ключевые направления развития ИБ в VK?
Алексей Волков: Есть два взаимосвязанных направления. Первое – обеспечивать киберустойчивость сервисов VK, второе – защищать наших пользователей и создать условия для их доверия нашим продуктам.
Безопасность всех сервисов обеспечивает блок ИБ VK, который защищает внутреннюю инфраструктуру компании, все этапы разработки, пользователей и их данные. В 2022 году наш блок значительно вырос, в этом году исходя из текущих задач мы планируем увеличить штат еще в 1,5 раза.
У вас есть индивидуальные пользователи, а есть пользователи корпоративных сервисов. О безопасности и тех, и других заботится одна и та же структура?
Алексей Волков: В VK безопасность построена по гибридной модели. Есть централизованный блок ИБ, который отвечает за операционный центр безопасности VK SOC, безопасность приложений в части инструментария, методологию и киберкультуру. Но учитывая масштабы VK, в некоторых крупных бизнес-юнитах есть руководители по ИБ, в задачи которых входит внедрение централизованных инструментов в своих проектах, непосредственная работа по устранению уязвимостей.
Какова карта угроз VK?
Алексей Волков: События 2022 года показали, что основные киберугрозы для большинства цифровых сервисов — это DDoS-атаки, точечные кибератаки, попытки несанкционированного доступа в системы, которые в 85% случаев начинаются с фишинга. В этом плане у всех крупных ИТ-компаний одинаковая карта угроз.
С какими новыми угрозами вы столкнулись в 2022 году? Как изменилось поведение злоумышленников?
Алексей Волков: Не могу сказать, что появились новые методы и тактики злоумышленников, все угрозы широко известные. Другой вопрос, что у преступников изменились цели. Их впервые интересуют не столько деньги, сколько стремление как можно шире и громче заявить о киберпреступлении, приложив какие-то доказательства нанесенного вреда.
Т.е. теперь их основная цель – нанести вред репутации.
Алексей Волков: В основном действия злоумышленников направлены на это.
Какие были наиболее серьёзные инциденты в области ИБ в VK в 2022 году?
Алексей Волков: В VK очень хороший технологический резерв по мощностям и многоуровневая защита периметра, особо крупных инцидентов у нас не было. Есть постоянная активность злоумышленников, с которой мы успешно справляемся. Для этого мы увеличили штат, трансформировали SOC, расширили набор инструментов защиты и увеличили частоту внешних и внутренних пентестов.
Насколько актуальна для VK тема импортозамещения ИТ-решений в области ИБ?
Алексей Волков: Импортозамещение – это не самоцель. В России есть очень неплохие решения, часть из которых мы используем, а за развитием некоторых – наблюдаем с интересом. Кроме того, у нас очень много собственной разработки, много open source решений. При определённых усилиях со стороны государства и бизнеса мы сократим расстояние между нами и западными вендорами в короткие сроки.
Вот, например, мы довольно оперативно нашли отечественные платформы Bug Bounty, на которых разместили свою программу по поиску уязвимостей. На сегодняшний день мы единственная в России компания, которая присутствует на всех действующих отечественных Bug Bounty платформах, общий объем выплат за 2022 год превысил 13 миллионов.
Не сталкивались ли вы в прошлом году с тем, что некоторые иностранные вендоры ИБ ушли из России, ограничив каким-то образом возможности использования своих решений?
Алексей Волков: Поведение некоторых вендоров никак не повлияло на уровень защищённости продуктов и сервисов VK – используемые нами ИБ-решения как работали, так и продолжают работать. Сейчас у нас нет необходимости принимать какие-то экстренные меры по импортозамещению.
Вы говорили, что у вас много собственной разработки. Какие решения в области ИБ вы разрабатываете?
Алексей Волков: Мы смотрим на многие рыночные решения, пилотируем, тестируем, ведём диалоги с вендорами о том, что необходимо доработать, показываем им нашу методику оценки. Но бывают случаи, когда оказывается быстрее и дешевле разработать что-то самим и настроить под нашу компанию.
Например, сейчас мы разрабатываем платформу управления уязвимостями, назвали её Security Gate. Здесь наша задача – объединить процессы управления дефектами в коде на нашей большой продуктовой линейке, поскольку есть определённая неоднородность в производственном процессе, а нам необходим единый инструмент и единая систему метрик. Эта платформа уже почти готова.
Как вы считаете, насколько всё-таки в целом сейчас российские производители ИБ-продуктов способны удовлетворить спрос?
Алексей Волков: Я настроен достаточно оптимистично. Думаю, что предложения от российских производителей будут расти и со временем смогут полностью удовлетворить все потребности технологических компаний.
Но, как показывает практика, проблема не всегда в ИБ-продуктах, а в недостаточном внимании к базовой ИБ и ИТ-гигиене. Я говорю об обучении пользователей, культуре работы с паролями, внедрении второго фактора аутентификации, сегментировании сети, управление уязвимостями, наличие антивируса и его обновлений.
Про то, что у многих организаций не улажены элементарные вещи, вроде паролей, разграничения прав доступа и тому подобного, на разных ИБ-мероприятиях периодически говорят и регуляторы, представители ФСТЭК, в том числе.
Алексей Волков: Я полностью согласен с коллегами. Просто нужно убедить в этом бизнес и планомерно, а главное регулярно, этим заниматься.
На рынке в 2022 году неоднократно обсуждали, что на фоне ухода западных ИБ-вендоров из России российские производители ИБ-решений сильно подняли цены. По отдельным вендорам приводилось повышение в 3-5 раз. Вы это ощутили? Пришлось ли вам пересматривать свой ИБ-бюджет в связи с ростом цен?
Алексей Волков: У нас достаточно зрелая ИБ и серьезный подход к бюджетированию, который позволяет учитывать современные тенденции и текущую ситуацию на рынке, даже с учетом повышения цен. Да, бюджет VK на кибербезопасность вырос в 2,5 раза относительно прошлого года. Но это обусловлено выполнением внутренних целей и задач, поставленных перед нашим блоком: у нас людей стало больше, инфраструктура масштабнее, плюс увеличилось количество проектов для обеспечения киберустойчивости.
Насколько сложнее стало находить квалифицированные кадры в ИБ, особенно на фоне усилившегося оттока из страны?
Алексей Волков: Квалифицированные кадры на рынке есть. Судя по входящему потоку, недостаток мы не испытываем. Я с уверенностью могу сказать, что у нас на данный момент одна из самых сильных ИБ-команд в России. Мы держим курс на дальнейшее развитие профессиональных навыков – с этой целью уже в три раза увеличили бюджет на обучение. Кстати, планируем в этом году привлечь начинающих специалистов на стажировку в ИБ, чтобы растить их под себя исходя из текущий задач.
VK – одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. И, как можно видеть по последним новостям компании, вы держите курс на расширение этой практики. Каковы ваши результаты 10-летнего использования программ bug bounty?
Алексей Волков: Если говорить о сухих цифрах, то за 10 лет мы получили около 15 тысяч отчётов и заплатили около 185 миллионов рублей за найденные уязвимости. За последний год мы получили 755 отчётов и заплатили свыше 13 миллионов рублей, из них порядка 15 отчетов – высокой степени уязвимости, за которые мы выплатили около 4 миллионов рублей.
Недавно мы в два раза увеличили верхний порог по оплате – 3,6 миллионов рублей сейчас составляет максимальная выплата.
Мы воспринимаем bug bounty как один из важнейших этапов в процессе под названием application security наравне с архитектурными ревью, секьюрити тестингом, SAST, DAST и пентестом. Bug Bounty замыкает эту цепочку и позволяет нам быстро закрыть все обнаруженные уязвимости, которые мы не нашли в рамках своих многочисленных процедур. В этом нам очень помогают внешние исследователи, за что им большое спасибо. Эта история успешно работает даже после отключения от западных bug bounty платформ. Догнать и перегнать: Российские ВКС прирастают новыми функциями 
Наконец, это и очень хорошая имиджевая история: мы находимся в хороших отношениях с сообществом, поддерживаем его и благодаря bug bounty его развиваем.
С точки зрения сообщества, раньше, когда зарубежные bug bounty платформы были доступны, пул хантеров, которых можно было привлечь к поиску уязвимостей, был в разы шире. А сейчас, в том числе из-за сложностей с зарубежными платежами, потенциальных хантеров меньше. Насколько перспективным вы видите расширение пула за счёт других стран, таких как, например, Индия и других?
Алексей Волков: Количество доступных хакеров уменьшилось на bug bounty платформах, но пока рано делать выводы о том, насколько их достаточно для нужд российских компаний. Думаю, что стоит подождать пару лет, когда подрастут наши молодые ребята, которые сейчас учатся в школах и институтах, и посмотреть.
С другой стороны, не вижу оснований, чтобы не расширять сообщество за счёт хакеров из других стран, но это уже больше задача платформ bug bounty. Нам-то неважно, кто принесёт отчёт. И стоит учитывать, что хантеров привлекают не только деньги, многим важно профессиональное развитие, интересные задачи. Это крупные российские компании могут обеспечить.
Можно ли привести примеры наиболее критических уязвимостей, которые были найдены в VK силами сторонних хантеров?
Алексей Волков: Конкретные примеры я не могу привести. Скажу, что те 15 уязвимостей, которые я упоминал, были очень высокой важности. Мы такие уязвимости устраняем в считанные часы, а рекордное устранение составило 11 минут. Мы очень внимательно относимся к полученным результатам bug bounty и иногда даже останавливаем продуктовые релизы для того, чтобы устранить найденную уязвимость.
Существует ли какое-то взаимодействие, обмен практиками в области ИБ между VK и другими крупными интернет-компаниями?
Алексей Волков: Да, конечно. Более того, в последнее время такое взаимодействие только усиливается, потому что наша сила – в единстве. Если раньше мне приходилось довольно долго искать коллег из какой-нибудь организации, то сейчас я могу сделать это не в шесть рукопожатий, а в два, к примеру. Сейчас ИБ-сообщество сильно консолидировалось, мы улучшили наше взаимодействие в различных сферах.
ИБ-директор будущего, скажем, в 5-летней перспективе: каким, по вашему мнению, он будет? Чем будут отличаться требования к нему и его функции от того, что, как правило, есть сейчас?
Алексей Волков: ИБ-директора бывают разные. Это зависит от компаний, в которых они работают. В целом, ИБ-директор будущего должен быть, прежде всего, профессионалом в технологиях. Не может человек что-то защитить, если он не разбирается в том, как это работает. ИБ-директор должен быть экспертом в том стеке, который он использует. И чем ближе он находится к инфраструктуре, тем лучше он должен в ней разбираться. Это первое.
Второе – он должен быть универсальным человеком с точки зрения хард и софт скиллов. Он должен понимать, что ИТ – это не враги, а друзья. ИТ и ИБ – это большая связка, как раз из-за того, что большая часть лежит в инфраструктуре, в базовой гигиене. И с другой стороны, ИБ-директор должен понимать, что в центре находится клиент. Нужно уметь идентифицировать клиента, понять клиентские пути и боли, понимать, чего он хочет, чего боится, какими способами он решает свои страхи и потребности. И вокруг этого выстраивать безопасность: архитектура, данные, процессы, технологический стек и т.д.
Третье – ИБ-директор должен непрерывно повышать свой уровень знаний и требовать того же от команды. Он должен быть примером. Life-long learning – необходимость в ИБ.
Это всё необходимо и сейчас, конечно, а через пять лет будет ещё актуальнее, учитывая, с какой скоростью развиваются технологии.
С Алексеем Волковым беседовала Наталья Лаврентьева, заместитель главного редактора TAdviser
