Дорогі кіберзлочинці: що таке ринок кібербезпеки і чому він так швидко росте
Як розвивається ринок кібербезпеки? Чи варто інвестувати в cybersecurity-проекти? Які перспективи України в цій галузі?
У 2018 році втрати бізнесу від кібератак становили 600 млрд дол, а до 2021 року світова економіка буде втрачати з вини кіберзлочинців 6 трлн дол на рік.
Такі цифри навів на зустрічі закритого клубу інвесторів iClub співзасновник і CEO екосистеми Hacken Дмитро Будорін, посилаючись на дані McAfee і Cybersecurity Ventures. ЕП публікує витяги з його доповіді зі своїми коментарями.
Ринок кібербезпеки зростає
З огляду на темпи зростання кіберзлочинності, витрати на інформбезпеку — ІБ — теж збільшуються. У 2018 році вони становили 96 млрд дол, що на 17% більше, ніж у 2017 році, повідомляє Gartner. Як стверджує Будорін, цей ринок буде рости.
Підприємець також зазначає, що зараз важливо вкладати кошти в розробку інструментів та методів захисту, формування нових підходів. Причина проста: сфера кібератак розвивається швидше, ніж галузь ІБ, і, щоб мати "щит" завтра, виділяти кошти на його створення потрібно вже зараз.
У цьому особливо зацікавлений великий і середній бізнес, тому що хакерські техніки ускладнюються, а середня вартість атаки знижується.
Крім того, корпорації схильні до фішингу та методів соціальної інженерії. У великій компанії багато співробітників і майже неможливо контролювати, які посилання відкривають співробітники, які вкладення з листів вони запускають.
Середні компанії не можуть утримувати відділ ІБ, а фрилансерам у такому питанні вони не довіряють. Віддавати ці завдання на аутсорс теж можуть не всі — такі компанії зазвичай фокусуються на роботі з великим бізнесом.
Брак кадрів — одна з головних загроз
Гроші — далеко не все, чого потребує галузь ІБ. Не менш важлива тема — навчання фахівців. Уже зараз у світі не вистачає кіберінженерів, кількість вакансій перевищує мільйон. Через три роки таких вакансій буде 3,5 млн.
Україна, за словами Будоріна, може стати хабом, який готуватиме ключових професіоналів галузі. Він називає три складові успіху: велика кількість талановитої молоді, сильна базова IT-освіта і сформоване IT-співтовариство в країні.
Щоб навчати таких фахівців, Hacken та інноваційний парк UNIT.City запустили безкоштовний освітній проект Cyber School.
За два тижні команда отримала понад 1 500 заявок від кандидатів на 60 місць. З 26 листопада студенти вивчатимуть актуальні технології у сфері ІБ. Новий набір — навесні. Після іспиту випускникам допоможуть з працевлаштуванням.
Монетизують проект коштом роботодавців: компанії платитимуть комісійні за залучених фахівців. Вартість такого професіонала, за словами організаторів, становить 4,5 тис дол. Провідний напрямок школи — "біле" (етичне) хакерство.
Хто такі "білі" хакери
Етичними хакерами називають фахівців з ІБ, які руйнують технічну інфраструктуру на прохання компаній.
Поки "чорні" хакери атакують бізнес заради наживи, "білі" допомагають компаніям знаходити діри в безпеці і вчасно виправляти помилки.[L]
У бізнесу є три способи співпраці з етичними хакерами.
Перший — найняти "білих" хакерів у штат.
Другий — організувати власну bug-bounty-програму: хакери "полюють" на баги, дотримуючись заздалегідь встановлених правил, а компанія виплачує винагороду за кожну знайдену уразливість.
Третій — працювати з bug-bounty-платформами, які допоможуть регламентувати процеси, визначити розмір винагород і залучити етичних хакерів з власної бази.
Фриланс-хакери та ІБ-консалтинг
Bug-bounty-платформ у світі чимало, це своєрідні фриланс-біржі для "білих" хакерів. Найбільші — HackerOne, Bugcrowd — працюють у США. В Україні є bug-bounty-платформа HackenProof, що входить в екосистему Hacken.
Будорін зазначає, що українська платформа може стати лідером в Європі, адже конкурентів-гігантів на цьому ринку нема. З приводу американського ринку висловлюється інакше: "Це ми їм не конкуренти".
На HackerOne зареєстровано 250 тис хакерів, на HackenProof — тисяча, а до 2021 року команда очікує зібрати 15 тис фахівців з етичного зламування.
CEO HackenProof Євгенія Брошеван зазначає, що найбільші платформи доступні не всім. Річна bug-bounty-програма на відомому американському майданчику коштує 100-120 тис дол, на українському — 20-25 тис дол.
Тобто ключові гравці потрапляють у ту ж пастку, що й більш традиційні cybersecurity-компанії: вони пропонують послуги, доступні тільки корпораціям з величезними бюджетами, упускаючи величезний сегмент ринку — середній бізнес.
Проблема високих цін в тому, що краудсорсинг-тестування задумувалося як доступний підхід. У той час як аудитори беруть плату за витрачений час, на bug-bounty-платформі клієнт платить тільки за знайдені вразливості.
Як стверджує Брошеван, зараз послугами таких програм користується близько 5% підприємств, а до 2022 року їх буде 50%.
За її словами, українська платформа етичного зламування має величезні перспективи на азійському ринку. У багатьох країнах регіону не довіряють американським платформам з політичних причин. Вибираючи між американською та європейською платформами, виберуть європейську (українську).
Ринок послуг і продуктів у сфері кібербезпеки зростає, тому що зростає ринок кіберзагроз. Оскільки "чорні" хакери зупинятися не збираються, навчання "білих" хакерів і робота з ними — дуже перспективний напрямок.
Україна має всі шанси стати європейським лідером у цій галузі та одним з ключових гравців у світі, але для цього потрібно максимально ефективно використовувати наявні напрацювання і не зупинятися ні на секунду.