Алексей, отрадно слышать, что тюменские белые хакеры - на верхних строчках рейтингов, но эти победы явно достались непросто.
Алексей Томилов: В IT я пришел в девять лет. Сейчас мне 34. То есть путь занял четверть века. Сначала был мальчишеский интерес, потом стали появляться частные заказы, оформил несколько стартапов разной тематики. Как раз третий - сканер уязвимостей - привел к успеху. Сейчас тюменцы, а нас около десяти человек, - одни из лучших этичных хакеров как минимум в нашей стране - команда входит в пятерку самых заметных в России, по версии Positive Technologies, и в тройку самых перспективных в мире, по версии Ozon. Работа круглосуточная - ежедневно мы находим множество лазеек, ошибок, брешей у банков, ретейла, другого бизнеса, которыми бы могли воспользоваться черные хакеры и мошенники.
Белых хакеров обычно привлекают к оценке безопасности компьютерных систем или сетей средствами моделирования атак злоумышленников, но от пентестов вы зачем-то перешли к собственным разработкам.
Алексей Томилов: Просто настало время автоматизировать свои знания и компетенции. Парк IT-решений в мире обновляется чуть ли не каждый час: кто-то добавляет в онлайн-магазин новые бонусы, кто-то прикрепляет доставку, у операторов сотовой связи меняются тарифы, у банков - условия выдачи кредитов... Соответственно, появляются новые дыры для злоумышленников. Представим, что параллельно работают две системы. По статистике, в каждой из них может быть по десять уязвимостей. Когда их объединяют, лазеек становится уже не 20, а в десятки, сотни раз больше - каждая новая связь рождает новые ошибки.
А ваша программа справляется и с таким объемом?
Алексей Томилов: Многие команды делают подобные вещи, но наша разработка отличается дополнительным модулем. Это такой "паучок", который ходит-бродит по интернету, в том числе попадает в закрытые его части, не отображаемые в поисковых системах, и собирает сведения, опасные для наших заказчиков. Сканер, кроме прочего, позволяет просматривать пересылаемые темными хакерами друг другу планы атак на информационные системы и мониторить информацию, которую они уже накопили.
Вот и задумаешься: с одной стороны, цифровизация упрощает нашу жизнь, с другой - делает нас более уязвимыми.
Алексей Томилов: И цифровизация, и связанные с ней уязвимости стоят на одном фундаменте - социальной инженерии. Самое важное и самое слабое звено в IT-инфраструктуре - это человек, который, например, приклеивает стикер с паролем на монитор рабочего компьютера или приходит на сомнительное собеседование, где раскрывает свои данные. Совет руководителям компаний и офисным айтишникам: тратьте свободное время на просвещение, закрепление навыков кибергигиены среди персонала.
Можно предположить, что профессия специалиста по кибербезопасности, как и айтишника в целом, будет востребована многие десятилетия.
Алексей Томилов: Ее популярность растет бешеными темпами. Не забывайте, что к началу января 2025 года в России должно быть замещено все импортное программное обеспечение. Несмотря на то что какая-то часть специалистов покинула страну, гонка продолжается. Мы, как шахматисты, должны предвидеть максимальное количество шагов противника в игре.
Посоветуй, пожалуйста, как придумать надежный пароль, и напомни, как часто его следует обновлять?
Алексей Томилов: Я мог бы сказать про программки по менеджерам паролей, но их, конечно, тоже взламывают. Берите предложения из каких-то произведений, афоризмы, крылатые фразы, плюсом придумайте свой алгоритм - возможно, перескакивание через слова. А менять нужно хотя бы раз в три месяца. В идеале - раз в месяц. И не скачивайте программы для накручивания "лайков", не пользуйтесь сомнительным VPN. Проводил свое расследование: подобные сервисы продают пользовательские данные.
Как ты оцениваешь уровень цифровой грамотности своих земляков-тюменцев?
Алексей Томилов: Глобальный срез не делал, но навскидку могу сказать, что он неплох, в том числе и по общей цифровизации, только к вершинам все равно надо стремиться. Необходимо прививать кибергигиену детям, как только они начинают пользоваться телефоном и компьютером. Мошенники не знают границ в изощрениях - дистанционно установят на смартфон школьника программу слежения, подделают голос… Мы же заставляем малышей мыть руки перед едой. Тут то же самое: пусть учатся охранять свои данные.