Кибернация на экспорт: кого «лечат» украинские хакеры

Массивные кибератаки, с которыми Украина столкнулась в последние годы, и наличие сильных технических специалистов создают предпосылки для того, чтоб страна возглавила направление кибербезопасности в Восточной Европе. На деле эти факторы оказываются менее важны, чем наличие бизнес-навыков и внутреннего рынка. Mind опросил ведущих специалистов и выяснил, что представляет собой украинский рынок кибербезопасности, сколько в стране стартапов и на кого они работают.

Сколько в Украине киберстартапов? Основатель компании Berezha Security и этический хакер Владимир Стыран рассказывает, что украинский рынок кибербезопасности очень разрозненный – небольшие команды возникают постоянно, но они часто не знакомы друг с другом и никаких отчетов об их количестве нет. По его ощущениям, речь идет о десятках проектов. В основном это не стартапы, а работающие компании. Они не создают продукты и услуги, разрушающие традиционный рынок, не рассчитывают на венчурные инвестиции. Вместо этого предлагают заказчикам проверенные временем услуги аудитора угроз и построения защиты и пытаются уже сейчас на себя зарабатывать.

Что касается стартапов, то, по оценкам Стырана, их можно посчитать на пальцах одной руки. К стартапам от относит, например, львовский проект UnderDefence, у которого есть офисы в США, Польше, Украине и на Мальте. «На сегодняшний день внутренний рынок кибербезопасности в Украине слабый, сообщество небольшое и количество проектов измеряется десятками», – подтверждает оценку коллеги сооснователь компании Hacken Егор Аушев. При этом он видит положительные тенденции и считает, что количество украинских киберпроектов будет расти.

На кого работают украинские кибергуру? В Украине нет рынка для проектов в области кибербезопасности, поэтому украинские специалисты сразу работают на мировой рынок. Как рассказывает Владимир Стыран, из трех десятков заказчиков его компании Berezha Security только двое – из Украины. Остальные – международные бренды.

Большинство украинских стартапов в области кибербезопасности работают на рынки Европы и США, рассказывает исполнительный директор Украинской ассоциации венчурного бизнеса и частного капитала Ольга Афанасьева. Например, в США активно развивается стартап SOC Prime, хотя его команда находится в Киеве. Также на США ориентируется проект Ekran Systems, который разрабатывает софт для мониторинга киберугроз. В этот проект уже вложилось правительство американского штата Вирджиния и ряд европейских инвесторов. А в Украине недоступен даже сайт компании. Также Афанасьева вспоминает компанию Hideez, которая создает решение для защиты паролей и аккаунтов. Недавно она подписала два технологичных партнерства с большими профильными компаниями Centrify и CyberArk. Кроме того, по данным Hideez, она запустила «пилот» в госпитале ArchCare в США.

Еще один пример: компания Hacken Егора Аушева предоставляет услуги киберзащиты для азиатской авиакомпании или крупного банка, находясь в офисе в Киеве. «Сфера кибербезопасности не имеет географических границ», – говорит он.

Сколько платят за киберзащиту в Украине? Создатель компании «Октава Киберзахыст» Александр Кардаков рассказывает, что после атаки вируса Petya/Not Petya в 2017 году существенных изменений в сфере обеспечения кибербезопасности не произошло. «У нас в стране отношение к киберугрозам находится на уровне «пронесет/ не пронесет», – сетует он. По оценкам Кардакова, только 15-20% всех компаний в Украине серьезно подошли к вопросу собственной киберзащиты – проводят последовательную организационную и техническую работу, выделяют бюджеты. Остальные «упорно пытаются спрятать голову в бетонный пол и думают, что их не заметят».

«Октава Киберзахыст» работает на средний бизнес, которому оказывает услуги, и на крупный, для которого строит системы. Суммы конкретных контрактов Кардаков не озвучивает, но намекает, что тем, кто никогда не уделял внимание своей ИТ-инфраструктуре, придется изрядно потратиться. «Например, когда одному владельцу компании мы сказали, что ему необходимо будет потратить на приведение в порядок ИТ-инфраструктуры (даже не на дополнительную защиту!) до $100 000, он сказал, что это дорого. Ну что, если ты 15 лет ничего не вкладывал, то можно поделить упомянутую цифру на 15 и посчитать – дорого это или нет…», – рассказывает Кардаков.

Александра Гладышевская – также одна из тех, кто в последние годы открыл бизнес в отрасли кибербезопасности и работает на внутренний рынок. Ее компания Insart IB занимается страхованием киберрисков.

Как поясняет Гладышевская, стоимость страхования базируется на двух вещах. Первая – заполненный опросник, в котором клиент сам рассказывает, какие системы у него есть, с каким объемом персональных данных он работает. Вторая – страховщик может потребовать проведения аудита или воспользоваться услугами компаний, которые делают пен-тесты (проверка, насколько легко можно проникнуть в сеть). Например, такими тестами занимается Berezha Security Владимира Стырана.

Как правило, большие компании сами заказывают пен-тесты раз в год или раз в полгода, у них эти заключения есть. «В таком случае, бизнесу не нужно проходить никакой дополнительный аудит – страховая воспользуется заключением компании, которая проводила пен-тест. Для компаний, которые после пен-теста закрыли найденные «дыры» в безопасности, страхование будет дешевле. Если компании важна срочность, и она не готова сейчас дорабатывать систему безопасности, мы готовы покрыть ее в том состоянии, в котором она есть. Хотя такой полис обойдется дороже», – говорит Гладышевская.

Средний страховой лимит (максимальный размер выплаты), который запрашивают чаще всего – на уровне $5 млн. Хотя у Insart IB встречались и запросы на $20 млн. «Это был крупный бизнес условно из Forbes-200. При этом мы понимаем, что когда речь идет о таких суммах, компания хочет защититься от рисков, связанных с GDPR (регламент о защите данных, действующий в ЕС с 2016 года. – Mind), штрафы за нарушение которого огромны», – рассказывает Александра Гладышевская.

Так, например, в этом году Французская Национальная комиссия по делам информационных технологий и правам человека (CNIL) оштрафовала за нарушение GDPR компанию Google. Сумма штрафа составила 50 млн евро. Украинские компании, которые работают с данными европейских потребителей, также подпадают под GDPR. Чтобы получить компенсацию в $5 млн, компании нужно заплатить страховую премию (стоимость полиса) в размере около $50 000. Но сумма очень зависит от того, на каком виде деятельности специализируется данный конкретный бизнес. Самые рисковые – те, кто обрабатывает большое количество персональных данных, а также объекты стратегической инфраструктуры.

Сейчас у Insart IB больше десятка клиентов, все они крупные компании. «Рынок в Украине пока очень маленький», – констатирует Гладышевская.

Когда в Украине появится рынок? Владимир Стыран из Berezha Security объясняет, что украинскому бизнесу приходится существовать в условиях сильной экономической волатильности. Когда перед компаниями стоит выбор – вложить миллион гривен в развитие компании или потратить на кибербезопасность, обычно выбирают первое. Ведь инвестиции в кибербезопасность – это не то, что можно отразить в отчетах для инвесторов. Это не актив. В лучшем случае с вашей компанией ничего не произойдет.

По мнению Егора Аушева, украинский рынок кибербезопасности тормозит отсутствие законов – например, закона о кибербезопасности, в котором будут четко прописаны современные подходы и требования, а также ответственные за халатное отношение к хранению персональных данных в частных предприятиях, киберзащите госорганов. Вместе с тем интеграция Украины в Евросоюз и его цифровое пространство, по его мнению, приведет к тому, что Украина будет обмениваться огромным количеством данных со странами ЕС, а значит нужно соответствовать их требованиям. «Чем больше мы интегрируемся в ЕС и НАТО, тем лучше для киберпространства нашей страны», – считает Аушев.

CEO и основатель стартапа Hideez Олег Науменко подтверждает, что в США и Евросоюзе появляются законы и регуляторные требования во многих вертикалях, которые требуют значительного обновления технологий киберзащиты: GDPR, Open Banking, PSD2 и др. Это подталкивает организации активнее проводить аудиты по кибербезопасности и принимать реальные меры.

Управляющий директор в Startup Wise Guys CyberNorth Accelerator Фарид Синх говорит, что во многих странах, не только в Украине, бизнес не уделяет достаточно внимания безопасности. «Я не знаю ни одной страны или региона, который был бы полностью защищен. Просто в какой-то момент к вам приходит осознание, что именно нужно сделать. Это требует времени. К сожалению, сейчас во многих странах осведомленность компаний очень низкая», – рассказал он Mind.

Технари против бизнесменов: какие навыки важнее? Фарид Синх считает, что Украина – очень сильная страна с точки зрения технических компетенций. Это подтверждает статистика Startup Wise Guys: 17% проектов в акселераторе – из Украины.

То, что страна оказалась на передовой конфликта с Россией, влияет на фокус стартапов. «Вы фокусируетесь на том, где можно применить технологию, как защитить цифровую инфраструктуру, приватность людей», – отмечает Фарид Синх. В декабре 2018 года акселератор открыл отдельную программу для стартапов в области кибербезопасности – CyberNorth. Среди участников акселерации будут и украинские проекты, какие именно – станет известно после 18 марта, сейчас набор еще продолжается. CyberNorth базируется в Таллине, а значит стартапам будет доступен европейский рынок.

По опыту Синха, большинство украинских стартапов после акселерации возвращаются в Украину и создают компании здесь. Но стартапов в области кибербезопасности в Украине пока еще мало. Как говорит Фарид Синх, проблема в том, что страна сфокусирована на технологиях, а не на бизнесе. Большинство людей, которые сейчас разрабатывают технологии киберзащиты, – это технари, студенты. Получается, что вес технарей в отрасли очень большой, но лишь единицы превращают это в бизнес, создают продукты и компании. Создание продукта требует другого набора навыков. Ты должен догадаться, во что завернуть этот продукт, как его продвигать и продавать. «Даже если вы открываете маленькую компанию, это означает, что вам придется думать, как продавать, как проводить испытания своих продуктов, как строить бизнес вокруг этого», – отмечает Фарид Синх.

Как помочь украинским киберпроектам? Появление направления CyberNorth – это также попытка научить технарей думать как предприниматели. «Мы говорим: «Эй, как мы можем помочь вам превратить свои технологии в продукты?» А затем мы помогаем превратить этот продукт в компанию», – рассказывает Синх.

Эти наблюдения подтверждает и Егор Аушев. «У нас есть сильные технические специалисты с академическим образованием, но слабая менеджмент-составляющая в компаниях. Другими словами, у ребят есть много идей, но они не знают, как сделать из идей продукт и успешный бизнес», – рассказывает он. По его мнению, сильный толчок развитию могут дать государственные заказы, в том числе в военном направлении, а также спрос со стороны иностранных компаний.

Как считает Аушев, со временем международные стартап-акселераторы будут все больше приходить в Украину, выбирать лучшие проекты и помогать им становиться крупными компаниями. По его словам, в Украине не хватает серийного предпринимательства. Технические специалисты должны профессионально монетизировать свои идеи и продавать свои проекты по всему миру как «горячие пирожки», ведь спрос на киберстартапы огромен во всем мире и нужно просто занять свою нишу.