Кібернація на експорт: кого «лікують» українські хакери

Масивні кібератаки, з якими Україна зіткнулася останніми роками, і наявність сильних технічних фахівців створюють передумови для того, аби країна очолила напрямок кібербезпеки в Східній Європі. Насправді ці чинники виявляються менш важливими, ніж наявність бізнес-навичок і внутрішнього ринку. Mind опитав провідних фахівців і з'ясував, що являє собою український ринок кібербезпеки, скільки в країні стартапів і на кого вони працюють.

Скільки в Україні кіберстартапів? Засновник компанії Berezha Security і етичний хакер Володимир Стиран розповідає, що український ринок кібербезпеки дуже розрізнений – невеликі команди виникають постійно, але вони часто не знайомі одна з одною і жодних звітів про їх кількість немає. За його відчуттями, йдеться про десятки проектів. В основному це не стартапи, а працюючі компанії. Вони не створюють продукти і послуги, що руйнують традиційний ринок, не розраховують на венчурні інвестиції. Натомість пропонують замовникам перевірені часом послуги аудитора загроз і побудови захисту і намагаються вже зараз на себе заробляти.

Щодо стартапів, то, за оцінками Стирана, їх можна порахувати на пальцях однієї руки. До стартапів від відносить, наприклад, львівський проект UnderDefence, у якого є офіси в США, Польщі, Україні та на Мальті. «На сьогоднішній день внутрішній ринок кібербезпеки в Україні слабкий, співтовариство невелике і кількість проектів вимірюється десятками», – підтверджує оцінку колеги співзасновник компанії Hacken Єгор Аушев. При цьому він бачить позитивні тенденції і вважає, що кількість українських кіберпроектів ростиме.

На кого працюють українські кібер-гуру? В Україні немає ринку для проектів у галузі кібербезпеки, тому українські фахівці відразу працюють на світовий ринок. Як розповідає Володимир Стиран, з трьох десятків замовників його компанії Berezha Security тільки двоє – з України. Решта – міжнародні бренди.

Більшість українських стартапів у сфері кібербезпеки працюють на ринки Європи і США, розповідає виконавчий директор Української асоціації венчурного бізнесу і приватного капіталу Ольга Афанасьєва. Наприклад, у США активно розвивається стартап SOC Prime, хоча його команда знаходиться в Києві. Також на США орієнтується проект Ekran Systems, що розробляє софт для моніторингу кіберзагроз. У цей проект вже інвестували уряд американського штату Вірджинія і низка європейських інвесторів. А в Україні недоступний навіть сайт компанії. Також Афанасьєва згадує компанію Hideez, що створює рішення для захисту паролів та облікових записів. Нещодавно вона підписала два технологічних партнерства з великими профільними компаніями Centrify і CyberArk. Крім того, за даними Hideez, вона запустила «пілот» у госпіталі ArchCare в США.

Ще один приклад: компанія Hacken Єгора Аушева надає послуги кіберзахисту для азійської авіакомпанії або великого банку, перебуваючи в офісі в Києві. «Сфера кібербезпеки не має географічних кордонів», – каже він.

Скільки платять за кіберзахист в Україні? Засновник компанії «Октава Кіберзахист» Олександр Кардаков розповідає, що після атаки вірусу Petya/Not Petya в 2017 році істотних змін у сфері забезпечення кібербезпеки не відбулося. «У нашій країні ставлення до кіберзагроз знаходиться на рівні «пронесе/не пронесе», – нарікає він. За оцінками Кардакова, лише 15-20% усіх компаній в Україні серйозно поставилися до питання власного кіберзахисту – проводять послідовну організаційну і технічну роботу, виділяють бюджети. Решта «наполегливо намагаються заховати голову в бетонну підлогу і думають, що їх не помітять».

«Октава Кіберзахист» працює на середній бізнес, якому надає послуги, і на великий, для якого будує системи. Вартість окремих контрактів Кардаков не озвучував, але натякає, що тим, хто ніколи не приділяв увагу своїй ІТ-інфраструктурі, доведеться неабияк витратитися. «Наприклад, коли одному власникові компанії ми сказали, що йому необхідно буде вкласти у приведення ІТ-інфраструктури до ладу (навіть не на додатковий захист!) до $100 000, він сказав, що це дорого. Ну що, якщо ти 15 років нічого не вкладав, то можна поділити згадану цифру на 15 і порахувати – дорого це чи ні...», – розповідає Кардаков.

Олександра Гладишевська – також одна з тих, хто в останні роки відкрив бізнес у галузі кібербезпеки і працює на внутрішній ринок. Її компанія Insart IB займається страхуванням кібер-ризиків.

Як пояснює Гладишевська, вартість страхування базується на двох речах. Перша – заповнений опитувальник, в якому клієнт сам розповідає, які системи у нього є, з яким обсягом персональних даних він працює. Друга – страховик може вимагати проведення аудиту або скористатися послугами компаній, які роблять пен-тести (перевірка, наскільки легко можна проникнути в мережу). Наприклад, такими тестами займається Berezha Security Володимира Стирана.

Як правило, великі компанії самі замовляють пен-тести раз на рік або раз на півроку, у них ці висновки є. «У такому разі, бізнесу не потрібно проходити ніякого додаткового аудиту – страхова скористається висновком компанії, яка проводила пен-тест. Для компаній, які після пен-тесту закрили знайдені «дірки» в безпеці, страхування буде дешевшим. Якщо компанії важлива терміновість, і вона не готова зараз допрацьовувати систему безпеки, ми готові покрити її в тому стані, в якому вона є. Хоча такий поліс коштуватиме дорожче», – каже Гладишевська.

Середній страховий ліміт (максимальний розмір виплати), який просять найчастіше – на рівні $5 млн. Хоча у Insart IB зустрічалися і запити на $20 млн. «Це був великий бізнес умовно з Forbes-200. При цьому ми розуміємо, що коли мова йде про такі суми, компанія хоче захиститися від ризиків, пов'язаних з GDPR (регламент про захист даних, що діє в ЄС з 2016 року. – Mind), штрафи за порушення якого величезні», – розповідає Олександра Гладишевська.

Так, наприклад, цього року Французька Національна комісія у справах інформаційних технологій і прав людини (CNIL) оштрафувала за порушення GDPR компанію Google. Сума штрафу склала 50 млн євро. Українські компанії, які працюють з даними європейських споживачів, також підпадають під GDPR. Щоб отримати компенсацію в $5 млн, компанії потрібно заплатити страхову премію (вартість поліса) в розмірі близько $50 000. Але сума дуже залежить від того, на якому виді діяльності спеціалізується даний конкретний бізнес. Найбільш ризикові – ті, хто обробляє велику кількість персональних даних, а також об'єкти стратегічної інфраструктури.

Зараз у Insart IB понад десяток клієнтів, усі вони – великі компанії. «Ринок в Україні поки дуже маленький», – констатує Гладишевська.

Коли в Україні з'явиться ринок? Володимир Стиран з Berezha Security пояснює, що українському бізнесу доводиться існувати в умовах сильної економічної волатильності. Коли перед компаніями стоїть вибір – вкласти мільйон гривень у розвиток компанії або витратити на кібербезпеку, зазвичай обирають перше. Адже інвестиції в кібербезпеку – це не те, що можна відобразити у звітах для інвесторів. Це не актив. У кращому випадку з вашою компанією нічого не станеться.

На думку Єгора Аушева, український ринок кібербезпеки гальмує відсутність законів – наприклад, закону про кібербезпеку, в якому будуть чітко прописані сучасні підходи і вимоги, а також відповідальні за халатне ставлення до зберігання персональних даних у приватних підприємствах, кіберзахисту держорганів. Разом з тим інтеграція України в Євросоюз і його цифровий простір, на його думку, призведе до того, що Україна обмінюватиметься величезною кількістю даних з країнами ЄС, а значить потрібно відповідати їх вимогам. «Чим більше ми інтегруємося в ЄС і НАТО, тим краще для кіберпростору нашої країни», – вважає Аушев.

CEO та засновник стартапу Hideez Олег Науменко підтверджує, що в США і Євросоюзі з'являються закони і регуляторні вимоги в багатьох вертикалях, які вимагають значного оновлення технологій кіберзахисту: GDPR, Open Banking, PSD2 тощо. Це підштовхує організації активніше проводити аудити з кібербезпеки і вживати реальних заходів.

Керуючий директор в Startup Wise Guys CyberNorth Accelerator Фарид Сінх каже, що в багатьох країнах, не лише в Україні, бізнес не приділяє достатньої уваги безпеці. «Я не знаю жодної країни або регіону, який був би повністю захищений. Просто в якийсь момент до вас приходить усвідомлення, що саме потрібно зробити. Це вимагає часу. На жаль, зараз у багатьох країнах обізнаність компаній дуже низька», – розповів він Mind.

Технарі проти бізнесменів: які навички важливіші? Фарид Сінх вважає, що Україна – дуже сильна країна з точки зору технічних компетенцій. Це підтверджує статистика Startup Wise Guys: 17% проектів у акселераторі – з України.

Те, що країна опинилася на передовій конфлікту з Росією, впливає на фокус стартапів. «Ви фокусуєтесь на тому, де можна застосувати технологію, як захистити цифрову інфраструктуру, приватність людей», – зазначає Фарид Сінх. У грудні 2018 року акселератор відкрив окрему програму для стартапів у сфері кібербезпеки – CyberNorth. Серед учасників акселерації будуть і українські проекти, які саме – стане відомо після 18 березня, зараз набір ще триває. CyberNorth базується в Таллінні, а значить стартапам буде доступний європейський ринок.

З досвіду Сінха, більшість українських стартапів після акселерації повертаються в Україну і створюють компанії тут. Але стартапів у галузі кібербезпеки в Україні поки що мало. Як говорить Фарид Сінх, проблема в тому, що країна сфокусована на технологіях, а не на бізнесі. Більшість людей, які зараз розробляють технології кіберзахисту, – це технарі, студенти. Виходить, що вага технарів у галузі дуже велика, але лише одиниці перетворюють це на бізнес, створюють продукти і компанії. Створення продукту вимагає іншого набору навичок. Ти повинен здогадатися, в що загорнути цей продукт, як його просувати і продавати. «Навіть якщо ви відкриваєте маленьку компанію, це означає, що вам доведеться думати, як продавати, як проводити випробування своїх продуктів, як будувати бізнес навколо цього», – зазначає Сінх.

Як допомогти українським кіберпроектам? Поява напрямку CyberNorth – це також спроба навчити технарів думати як підприємці. «Ми говоримо: «Гей, як ми можемо допомогти вам перетворити свої технології на продукти?» А потім ми допомагаємо перетворити цей продукт у компанію», – розповідає Сінх.

Ці спостереження підтверджує і Єгор Аушев. «У нас є сильні технічні фахівці з академічною освітою, але слабка менеджмент-складова в компаніях. Іншими словами, у хлопців є багато ідей, але вони не знають, як зробити з ідей продукт і успішний бізнес», – розповідає він. На його думку, сильний поштовх розвитку можуть дати державні замовлення, зокрема й військового напрямку, а також попит з боку іноземних компаній.

Як вважає Аушев, з часом міжнародні стартап-акселератори будуть все більше приходити в Україну, вибирати кращі проекти і допомагати їм ставати великими компаніями. За його словами, в Україні не вистачає серійного підприємництва. Технічні фахівці мають професійно монетизувати свої ідеї та продавати свої проекти по всьому світу як «гарячі пиріжки», адже попит на кіберстартапи величезний у всьому світі й потрібно просто зайняти свою нішу.