5.6.13

Почти половина хакеров хочеть создать свой ИБ-бизнес!

Группа "Астерос" в рамках PHDays III провела экспресс-опрос, по результатам которого выделила типы трудовой мотивации, характерные для специалистов по информационной безопасности. Меня заинтересовали результаты, согласно которым 39,7% респондентов после пика хакерской карьеры планируют передавать накопленные знания и видят себя руководителями в ИБ-компаниях. Еще 15,8% собираются открыть свой бизнес. В сложившейся в России ситуации, не самая лучшая перспектива.

Проблема в том, что у нас либо никто не учит, либо никто не учится бизнесу. Почему-то технари считают, что умнее всех и могут с нуля поднять ИБ-компанию, которая, по счастливой случайности, занимается либо аудитами/пентестами, либо разрабатывает сканер... дыр, кода, приложений (нужное подчеркнуть). На Западе, кстати, ситуация совершенно иная - технарь всегда находит к себе в пару хорошего бизнесмена (обычно со степенью тамошнего MBA). И вместе они занимаются развитием бизнеса с двух сторон - пишется продукт и ищутся на него покупатели (как на сам продукт, так и на компанию, его производяющую). Исключения очень редки и подтверждают правило - "чтобы заниматься бизнесом, надо заниматься бизнесом, а не техникой". А в институтах, на ИБшных специальностях, этому не учат.

У технарей, особенно самых даровитых, существует один большой изъян - они слишком умные. Чем умнее, тем хуже для продукта, который будут применять люди, явно слабее по интеллектуальным способностям чем разработчик. А иногда продукт применяют и вовсе люди, далекие от техники. А значит, что продукт, как минимум, в своей визуальной версии (интерфейсе) должен быть рассчитан на "чайников". Юзабилити - вот основа хорошо продаваемого продукта (помимо классной технической начинки). Без удобного и понятного интерфейса продукт никому не нужен. А юзабилити мало где учат. В институте этому тоже не учат, ибо у нас вообще нет дисциплин, курсов, программ для разработчиков средств защиты. Их не учат не только юзабилити, но и более понятным вещам, например, SDLC.

А вот технарей-одиночек-энтузиастов полно. Ими кишит рынок ИБ, ими кишат научные околовузовские конференции, ими кишит Интернет. Все мнят себя Джобсами, Гейтсами или на худой конец Шведами или Шнайерами. Все хотят миллионов и миллиардов. Работают на голом энтузиазме. И это третья проблема. Энтузиазм, будь он неладен. Он имеет свойство улетучиваться также внезапно, как и появляться. На таком базисе нельзя строить ни продукт, ни компанию целиком. Но многие строят. Выпускают продукт силами одного человка. Он же потом оказывает поддержку. Он же доработку. Он же интерпретирует выдаваемые средством защиты или средством анализа защищенности результаты. И вдруг в какой-то момент все исчезает. Энтузиазм, желание работать, желание что-то делать. И компания остается у разбитого корыта. И топ-менеджеры (особенно молодые да ранние) не понимают, что мало платить человеку хорошую зарплату - ключевой сотрудник может тупо уйти, потому что он перегорел или его все достало. Хуже, когда энтузиазм пропадает у единственного человека в компании, у которой появились первые заказчики и первые предоплаты. Что делать в такой ситуации? В институтах, на ИБшных специальностях, этому снова не учат.

А если разработчика-бизнесмена минуют описанные проблемы, то он в какой-то момент (особенно если продукт хороший) сталкивается с предложением покупки своих технологий или компании. Если, конечно, доживет до такого предложения. Не имея/умея заниматься бизнесом и не доведя продукт до ума, компания (сильно сказано) решает продать продукт, но... считая себя уникальным и что все должны выстроиться в очередь, либо завышает цену, либо просто не умеет вести переговоры. В итоге... продукт умирает или продолжает жить вялотекущей жизнью... А компания создает еще один продукт ... по тому же сценарию... А потом еще один...

Причем это не столько демонстрация сценариев будущего, сколько рассказ о некоторых российских ИБ-компаниях. И если некоторые выживают за счет полученных от ФСТЭК/ФСБ бумажек, то для молодых будущих "Ранумов" и "Шведов", которые считают эти бумажки ненужными, вопрос выживания встанет гораздо острее. И будут они ходить неприкаянными по рынке ИБ, не имея возможности сбагрить свой продукт и ругая на чем свет стоит бумажных безопасников и ничего не понимающий бизнес...

34 коммент.:

ZZubra комментирует...

Много чего на этот пост хотел написать я ))) и про регистрацию НКО в минюсте, и про грядущие сложности бухгалтерского, налогового и другого учета и отчетности, и про сложности с противоречивым законодательством, и про то что именно обучение инженеров бизнесу и юзабилити лежит в первооснове моего начинания. Хоть кому-то будет легче! Но...
Дело в том, что сейчас я взялся за Чалдини "Психология влияния", где поднимается вопрос (среди других) жестоких ритуалов у народностей, клубов, новобранцев и т.п. Так вот если рассматривать пост с точки зрения описанной причины у Чалдини, то все становится на свои места. Это такой неосознанный отбор обществом - сильных и способных идти вперед, способных принести обществу пользу. Это норма человеческого общества, это по сути плата за разумность, что ли (наряду и в связке с некоторыми иными "человеческими" законами).
Знания конечно сила и учить можно многому. Но по всему выходит, что чем труднее (во всех смыслах - стоимости, физических нагрузок и т.п.) они достаются, тем они ценнее и больше будут использоваться (ознакомившись вскользь с программами МВА, я начинаю понимать почему и за что ценятся прошедшие такое обучение - отнюдь не за знания).
И потому получается что лучше, если человек набив шишек САМ дойдет до необходимости учитывать поведение окружающих людей сильнее, чем возможности технологий. Те кто получит знание на блюдечке с золотой каемочкой прямо с доставкой домой - не сможет и НЕ БУДЕТ его применять.
А неприкаянные на рынке ИБ - нужны, для "воспитания" настоящих игроков. И, как не парадоксально, чем их больше, тем скорее появятся реально сильные компании.
А пост хороший )))) эта тема многих цепляет, хоть и дерет по живому наждаком.

Tomas комментирует...

Алексей, на основе указанной информации, будете менять слайд в своих презентациях, где написано, что теперь мотивация у хакеров только деньги и время взломов ради собственного пиара прошло, или счиатете, что все это бред? Ведь если смотреть на стремление хакеров потом открыть свой ИБ бизнес, то успешность этого ИБ бизнеса (продукта ИБ) будет зависеть от "раскрученности" хакера. Мол, сканер безопасности от настоящего хакера из Anonimus...

OksanaVB комментирует...

Чёрта с два я куплю сканер безопасности от настоящего хакера. Мало ли каких доров он там наоставлял и какими НДВ снабдил.

Tomas комментирует...

Не совсем с Вами согласен, OksanaVB, так как для компаний, которые занимаются пен-тестом важно иметь в штате квалифицированных спецов, умеющих ломать. А как не сломанные сетки показатель того, что это они делать умеют (если речь о новой компании, а не имеющей связи и контраты с определенными компаниями в силу родственных связей и т.д.). Тоже самое и со сканером - если его написали парни, которые до этого занимались программированием стиральной машины, то я выберу сканер, написанный бывшими хакерами, а НДВ - это дело сертификата, SDLC и прочего.

Сергей Городилов комментирует...

Это ошибка всей воспитательной системы, что она желание волшебства воспитывает. А может даже отсутствие нужной воспитательной системы. И ведь не предвидится, что следующее поколение тех же ИТ-шников придет более зрелым, чем текущее.
Текущему уже ничего не поможет, т.к. то о чем Алексей пишет, нужно с пеленок воспитывать причем не на единичных примерах и не на примерах заморских, а так чтобы большинство людей вокруг разделяло эти ценности.

Роман Кобцев комментирует...

Я бы так прям на технарях акцент не делал. У нас в стране управленческий голод начинается с самого верха, хотя в этом никто не признается, ибо в нашем менталитете всегда считалось, что управлять государством может любая кухарка, ну или там любой подполковник. И технари далеко не самый худший вариант, ведь умный человек тот, который знает где искать то, чего он еще не знает (чья то цитата). Пойдут и доучатся в Гарвардах и Кембриджах, ну или на худой конец в ВШЭ или АНХ...
Да, изменится смогут не все, но произойдет естественный отбор и лучшие добьются результатов (если кухарки и подполковники им не будут сильно мешать). Когда у нас в конце 90-х создавали FW\VPN под западный рынок то кому-то из технарей пришлось стать маркетологами и пытаться понять рынок, по бразильской системе (если кто помнит тот советский ералаш). И потом была драка уже между ними и разработчиками, когда требовали сделать красивый графический интерфейс центра управления для пользователя - а те в ответ им орали: "на каких дебилов вы это рассчитываете? Что прям так сложно просто команду написать в строке? Это проще, технически правильнее и т.д. и т.п"
В общем, я считаю, пусть лучше технари будут, чем бывшие фарцовщики - бизнесу после матана можно научится, а вот наоборот вряд ли... А вообще, тема бизнеса просто пропасть. Лёха, правильно поднял..

doom комментирует...

>Меня заинтересовали результаты, согласно которым 39,7% респондентов после пика хакерской карьеры планируют передавать накопленные знания и видят себя руководителями в ИБ-компаниях. Еще 15,8% собираются открыть свой бизнес. В сложившейся в России ситуации, не самая лучшая перспектива.
Это логичные результаты. Все понимают (судя как раз по этим результатам), что безопасник в любой компании - это статья расходов, человек, которому всегда надо будет доказывать, что он нужен и т.п. Это гарантированное отсутствие карьерного роста (что, конечно, не нравится всем молодым специалистам) - почти нигде в российских компаниях нет должности CISO (или ее аналога). Компания, которая оказывает услуги на рынке ИБ - совсем другое дело. Тут ты источник дохода. Вот и все.

>А юзабилити мало где учат. В институте этому тоже не учат, ибо у нас вообще нет дисциплин, курсов, программ для разработчиков средств защиты.

Учат. Могу точно сказать, что в моем родном вузе на специальности "компьютерные науки" курсы по эргономике есть (возможно, не обязательные)

2 Tomas
>для компаний, которые занимаются пен-тестом важно иметь в штате квалифицированных спецов, умеющих ломать.
А вот и нет. Нужны люди, которые смогут процесс пен-теста мало-мальски формализовать, распределить задачи в команде, продумать способ отчетности. Сделать какую-никакую методику.
Просто "творческая личность" тут мало помогает (был опыт пробовать сотрудничать с RuCTF командами - они не годны для проектной работы, гораздо эффективнее разработать методику для "обычных инженеров", по которой они все сделают и нормально оформят).

И здесь я соглашусь про энтузиазм - именитому технарю будет лениво заниматься проектом по установке какого-нибудь SecretNet'а на 1000 рабочих станций. А это сложный проект, поверьте мне. И востребованный кроме того.

Artem Ageev комментирует...

Совет хакерам, которые хотят создать свои бизнес: не слушайте старых аксакалов ИБ, ибо стартапер - это не благодаря, а вопреки.

Мир не увидел бы и половины гениев, если бы те в свое время не усомнились бы в том, что "очевидно каждому".

Vlad Styran комментирует...

На Западе, кстати, ситуация совершенно иная - технарь всегда находит к себе в пару хорошего бизнесмена (обычно со степенью тамошнего MBA).
Не могу согласиться, потому что не всегда. По крайней мере, известные мне примеры этот тезис не подтверждают.

doom комментирует...

2 Артем Агеев

Ну осталось еще привести статистику по успешности ИБ стартапов (я что-то ничего не могу припомнить на отечественном рынке).
Тут все-таки есть своя специфика - ориентироваться надо сразу на ынтырпрайс, а у них свои запросы.

Andrey Beshkov комментирует...

SDLC учат и вполне успешно, но не в России. У нас это направление пока экзотика.

Впрочем тем кому интересно могут вполне легко найти материалы в сети. Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.

doom комментирует...

Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.
По случайному совпадению это нам написал Андрей Бешков :D

Unknown комментирует...
Этот комментарий был удален автором.
Rebz комментирует...

"Работают на голом энтузиазме. И это третья проблема. Энтузиазм, будь он неладен. Он имеет свойство улетучиваться также внезапно, как и появляться. На таком базисе нельзя строить ни продукт, ни компанию целиком."
Не согласен с тем, что энтузиазм является проблемой. Он наоборот, придает силы, увеличивает работоспособность в разы, горящие глаза, бессоные ночи, а вот когда его нет - это уже проблема. Конечно же, иметь базисом голый энтузиазм - не вариант совершенно. Но это, имхо, должны все понимать, понимание приходит, когда начинаешь работать с первыми клиентами.

Насчет бизнеса согласен, что технарю сложно совмещать технарские навыки с административными. Но я тут больше склоняюсь к топологии личностей Адизеса, он, в частности, говорит, что наиболее эффективная команда управленцев может получиться только тогда, когда гармонично будут развиты все 4 составляющие PAEI (гуглить, кто не знает).
Т.е. это может быть 2 человека, а может и 3. Исключения бывают в виде одного, это скорее всего и есть Гейтсы и Джобсы.

И главное - без крайностей :) Бумажки иногда тоже важны, сертификаты ФСБ, ФСТЭК, лицензии на проведение тех же аудитов и пентестов..

PS В IT работают умные люди =)

Andrey Beshkov комментирует...

@Doom

>> Например взять прародитель почти всех SDLC от MS SDL и применить его к своей разработке.

> По случайному совпадению это нам написал Андрей Бешков :D

Это не в коем случае не совпадение. Если такие корифеи как Жириновский с Гатаровым про обучение в сфере ИБ рассказывают.
То видно нам про обучение реальному SDLC давно пора говорить. :)

Tomas комментирует...

2 doom: угрозы 0дня тоже будете по формализованным документам искать посредством "обычных инженеров"? Red October и прочее наврено все же ищут люди по каким-то определенным шаблонам (согласен), но с творческим подходом! Вы же написали, что "распределить задачи в команде", почему часть работ не может быть отдана бывшими хакерами, например?

а вот про то, что каждый хакер потом сможет создать собственную компанию ИБ - полностью согласен с Алексеем!

P.S. окоп можно копать посредством 5 солдат, а можно одного на трактор посадить (если хоть один умеет)...

doom комментирует...

2 Tomas:

я же говорю - у меня был практический опыт. Команда из просто инженеров + конкретная методика это эффективнее, чем толпа хакеров (было два похожих проекта, в одном толпа хакеров выполняла работы, в другом я и несколько инженеров).
Ваш крутой хакер, в конце-концов может потратить все время на какой-нибудь неважный элемент системы вместо того, чтобы сделать более широкий анализ всей системы, к примеру.

Tomas комментирует...

2 doom: согласен и с Вами, но порой широкий анализ сситемы не выявляет именно того, на первый взгляд (взгляд просто инженера с методикой), не важного элемента, которым впоследствие воспользуется действующий (не бывший) хакер. Вот практика 2х групп (инженеры и "белые" хакеры), как Вы описали - круто! Но увы, дорого.
Пример: недавний взлом систем МО США (с кражей материалов по самолетам и вообще разработок последних 10лет США) как бы китайскими хакерами - не думаю, что в этих системах не работали инженеры с четкой методикой в установленные промежутки времени, однако ущерб в миллиарды $ налицо, значит неважный элемент все таки нашли и отработали по нему пополной.

doom комментирует...

2 Tomas

Защищаться всегда сложнее, как известно.
В одной презентации я для этого использовал образ рыцарских лат (как известно, вещь крайне дорогая и требующая нехилого опыта для нормального использования) и годендага (палка со штыком, по сути) - стоит копейки, тыкать ей ума не надо, но при этом может пробить доспех (и было известное сражение во Фламандии, вроде, где толпа городских ополченцев одолела отряд рыцарей - именно с годендагами они были).

Те же инженерные команды могли выявить 999 уязвимостей, но вот эту одну не нашли (и не факт, что ее нашла бы команда хакеров) - это другой известный факт, в ИБ нельзя обеспечить защищенность системы на 99.99%.

Tomas комментирует...

2doom: интересное сравнение, но так же можно рассмотреть лучника, с копеечной стрелой, обладающего фантастической меткостью и ловкостью, который уничтожит 20 (а то и больше) городских ополченцев за долго до того, как они с годендагами смогут к нему подойти. (хакер с опенсорсным по)
На основе чего готовятся методики для "просто инженеров"? разве не на основе практик? а если такой практики еще нет и хакер нашел ее первым и никому не рассказывает? Ведь вероятность того, что такую уязвимость найдет другой талантливый белый хакер гораздо больше, чем по методике (где этой уязвимости нет) 20 просто инженеров. Я лишь к тому, что хакеры, которые не смогут основать компании ИБ, очень могли бы пригодиться в уже существующих компаниях. А чем известнее будет бывший хакер тем: 1.его быстрее посадят (если преступления) 2. он будет нанят на большую зп.

Евгений комментирует...

Tomas, вы наверно не понимаете, но ваши высказывания как нельзя лучше иллюстрируют пост Алексей. Ведь если задача - найти дырку и залезть в нее, то конечно толпа хакеров как нельзя лучше соответствует этому. Но в том то и дело, что бизнес по пен-тесту -это отработать максимально большое число заказчиков, выявив у них наиболее типичные проблемы и дыры. Заработать на этом кучу денег, устранить для заказчиков 90% проблем со взломом. Да, не 99%, но это наверно им это и не нужно? А вот для этой задачи как нельзя лучше подходит группа инженеров с правильной методикой.

В этом и отличие бизнеса от "творческого хакинга"...

Tomas комментирует...

Евгений, посмотрите, пожалуйста, мое первое высказывание: я говорил о том, что мотивация у хакеров не только украсть деньги, но и самопиар, до сих пор. Как влезть и показать себя в уже существующем бизнесе пен-теста, быть более бизнес-привлекательным, чем другие - разве не быть известным? ЛОзунг "все найдут у вас 90%уязвимостей, а я 99%", потому что пользуюсь помимо того, чем и все остальные, еще и собственными наработками.

Рустам комментирует...

Наверное имело смысл еще добавить ссылку на старый пост Алексея http://lukatsky.blogspot.ru/2010/01/blog-post_21.html
О том, что может останавливать хакеров создать собственный бизнес.

Не могу отнести себя к хакерам, но все таки считаю себя безопасникам, так что мои пять копеек:
Безопасники, даже внутри IT, - отдельная и обособленная группа. Мало того, что бизнес явно дает понять, что ИБ - это дополнительная статья расходов, так и остальные IT специалисты испытывают некоторую неприязнь, согласны?
Тот же Secure SDLC приносит в процесс разработки дополнительные проверки, доработки и сложности. Все эти проверки (Access Control, Vulnerability и Patch Management).
Уровень доходов я так понимаю тоже разный: у безопасников и сопоставимых по опыту\знанию программистов, бизнес аналитиков и администраторов.
Отсюда, в том числе, возникает желание вырваться и податься либо в бизнес, либо в интеграторы. Отчасти для того, чтобы внутри тебя самого появилось какое-то удовлетворение: ты не прикрываешь свою компанию от коварных посягательств РКН надежным щитом сертификатов соответсвия, но начинаешь приносить пользу:
1. Помогаешь заработать интегратору.
2. Делаешь такой продукт, который на деле может защитить компанию от «реальных угроз», а не Compliance рисков.

Tomas комментирует...

если откинуть всех рыцарей и т.д., то:
если почти 40% хакеров хотят потом открыть свой бизнес впоследствии, то может хакерская деятельность носить не подрывной характер (чтоб не посадили), а характер долгосрочного вложения - т.е. обретя извесность ряд "товарищей" попытаются открыть свое дело на основе собственной известности.

Рустам комментирует...

Можно пошалить, отсидеть и вернуться уже бизнесменами, как Кевин Дэвид Митник и Фрэнк Эбегнейл:)

doom комментирует...

2 Tomas

ЛОзунг "все найдут у вас 90%уязвимостей, а я 99%", потому что пользуюсь помимо того, чем и все остальные, еще и собственными наработками.

За какое время? За какие деньги?
К тому же, один человек - это всего лишь один человек. Он физически не сможет сделать достаточно много для компании.
А еще - никому не нужны "звезды", они плохие командные игроки и, как правило, у них проблемы с дисциплиной.

Евгений комментирует...

Можно пошалить, отсидеть и вернуться уже бизнесменами, как Кевин Дэвид Митник и Фрэнк Эбегнейл:)

Не после отсидки в России :)

Tomas комментирует...

2Евгений:
а в России у нас мало кто сидит за хакерство. российского спамера, которого никто "не мог поймать", арестовали и посадили за педофилию или что-то в этом духе.
2doom:
не могу написать коммерческое предложение на эту тему :) А кто сказал, что хакер это одиночка,не способная работать в команде, посмотрите, они уже объединяются в группы и "раскручиваются" не меньше чем звезды шоу-бизнеса (те же, упомянутые мной выше anonimus). Проблемы с дисциплиной - Стив Джобс тоже не отличался дисциплиной, в том числе по отношению к своим подчиненным, а iphone что-то вон все еще покупают.

ZZubra комментирует...

Я же говорил )))))):
>>А пост хороший )))) эта тема многих цепляет, хоть и дерет по живому наждаком.

Алексей Лукацкий комментирует...

Tomas, менять в презентациях ничего не буду. Чем "успешнее" хакер, тем менее успешнее его легальный бизнес.

Алексей Зыкин комментирует...

Алексей, а если это не его бизнес, а он наемный работник?

Выше было сказано, что уровень IT высок, однако, многие ли смогут что-то создать на Assembly?

Хакеры и ИБ-шники это как разведка и контрразведка, лучший контрразведчик это лучший разведчик.

НО! им обоим нужны грамотные рукводители, которые будут ставить правильные цели.

Алексей Лукацкий комментирует...

Это верно, но по опросам хакеры хотят быть руководителями себя же

Tomas комментирует...

"Рулить" собой и другими это они сейчас по молодости отвечают, через 5-10 лет им будет лениво в налоговых делах разбираться для ИП, ООО, ЗАО и т.д., и тогда и придет осознание трудоустройства в фирмы, занимающиеся пен-тестом (и почему бы не взять то их).
"Чем "успешнее" хакер, тем менее успешнее его легальный бизнес" - робин гуд не был бы успешным принцом?))) Справедливо, но только если этот хакер сам вор, а если он что-то типа разоблачителя воров?

Lallora комментирует...

В нашей стране весь рынок ИБ формируют госструктуры, иными словами рынка как такового то и нет