Светлана Ульянова, RTM Group: На стыке ИТ, права и информационной безопасности появляются уникальные услуги
Директор административного департамента RTM Group Светлана Ульянова рассказала в интервью TAdviser о ключевых аспектах деятельности компании в направлениях ИТ-экспертиз, права и информационной безопасности.
Как появилась RTM Group? С чего вы начинали? Как формировалась команда?
Ульянова Светлана: Компания появилась в 2016 году, но активно развиваться мы начали в 2018. До этого основным направлением были компьютерно-технические экспертизы, но параллельно Евгений Царев (основатель RTM Group) самостоятельно проводил аудиты информационной безопасности. Собственно, так и появилось направление аудитов, потом юридические услуги в тематике ИТ. На одном из судебных заседаний Евгений познакомился с нашим будущим техническим директором - Федором Музалевским. Постепенно у нас появлялось больше и больше клиентов, и в какой-то момент стало понятно, что пора расти дальше. Мы открыли несколько филиалов, расширили штат, развили новые направления. Сейчас, оглядываясь назад, кажется, что все это было вообще в другой реальности. При этом переход был достаточно быстрым. Буквально год назад в штате было всего 3 человека. Сегодня нас больше 30.
Где Вы искали специалистов?
Ульянова Светлана: Мы прекрасно осознавали, что людей с нужной нам квалификацией мы не найдем на открытом рынке. Их просто не было - ни в Москве, ни в регионах. Слишком узкие профили: аудит ИБ, юристы с опытом в ИТ-отрасли, компьютерные эксперты. Было принято решение создать внутреннюю систему обучения, делать программы и самим готовить нужных нам специалистов.
Внутреннее обучение проходили все (за редким исключением). Задачи у нас новые и нетипичные, готовых специалистов нет, поэтому в том или ином объеме учились все. Это, кстати, было проблематично: не все 30+, 40+ специалисты с опытом были готовы признать, что нужно учиться. Но для нас прохождение обучения было принципиальным моментом. Страшно сказать, сколько денег из выручки шло на внутреннее обучение. Очень много.Метавселенная ВДНХ
Вопрос локации для производства также быстро решили. Федор из Воронежа, и это стало одной из причин, почему мы выбрали именно этот город в качестве производственной площадки.
В приоритете были молодые специалисты или специалисты с опытом?
Ульянова Светлана: Часто спрашивают. И это понятно. Набор молодежи на новые направления, к сожалению, норма для рынка.
В Воронеже находится ГНИИИ ПТЗИ ФСТЭК России, заметные компании рынка информационной безопасности, много ИТ-компаний. Мы набирали людей с опытом аудитов, из служб ИТ и ИБ банков, но, обязательно, готовых учиться. Евгений настаивал на этом. В то время Банк России очень мощно зарегулировал рынок, появились новые требования и стандарты, весь предыдущий опыт быстро обесценивался, поэтому специалисты без желания учиться также обесценивались. Учись или умри (как специалист, конечно).
А были специалисты, которых не удалось найти?
Ульянова Светлана: Традиционно сложно со специалистами по техническим аудитам. Рынок пентестов (тестов на проникновение) — это отдельный мир. Ищем специалистов днем с огнем и подсвечиваем фонариком.
Расскажите, пожалуйста, подробнее об основных направлениях деятельности.
Ульянова Светлана:Давайте в порядке возникновения.
Первыми появились судебные компьютерно-технические экспертизы. Это направление активно развивается и по сей день. Если вы зайдете в интернет и начнете вбивать в поисковик «провести экспертизу» – у вас выпадет какой-нибудь топ-10 экспертных организаций, которые занимаются всем подряд. Мы всем подряд не занимаемся - у нас очень узкое направление, где мы себя чувствуем как рыбы в воде. И в этом наше преимущество. Эксперты компьютерно-технического направления RTM Group участвуют в пентестах и расследовании инцидентов. В классических экспертных организациях вы не найдете экспертов с таким опытом. Проще говоря, мы не ставим цель делать все экспертизы подряд, мы просто круто выполняем свою работу. А это область ИТ-экспертиз.
Что такое ИТ-экспертизы? Расскажите подробнее.
Ульянова Светлана: С терминологией все плохо, но более-менее устойчивым стало такое разделение. Цифровые носители (диски, серверы и пр.) исследуют как раз в компьютерно-технических экспертизах. Но это малая часть ИТ-экспертиз в целом. Например, вы заказали какое-то программное обеспечение, но результат вам не понравился. И когда вы сказали об этом своему исполнителю, он ответил: "А у вас тут в ТЗ все так написано". И дальше начинается следующая история: "Мне не нравится, я подаю на вас в суд, требую вернуть уплаченные денежные...". Суд от слова «совсем» не разбирается в информационных технологиях, а в информационной безопасности тем более (к слову сказать, суд и не должен в этом разбираться). В таких случаях привлекают экспертов, чтобы они провели исследование и составили отчет. Так вот, в рамках своей работы эксперты оценивают соответствие ПО техническому заданию, которое было изначально. Такое исследование компьютерно-техническим назвать нельзя. Поэтому давайте хотя бы в рамках этого интервью договоримся, что ИТ-экспертизы - более широкое понятие, и компьютерно-технические экспертизы – это часть ИТ-экспертиз, вариантов которых может быть очень много.
Предположим, мне, как заказчику, не понравится мобильное приложение, и я обращаюсь в суд. Как ваш эксперт поможет мне?
Ульянова Светлана: Во-первых, эксперт помогает не вам, а суду. Эксперт посмотрит, действительно ли Исполнитель сделал то, что от него требовалось. Тут речь идет не о дизайне и пресловутом "синий недостаточно синий", не о шрифте, а о соответствии – как отдельным пунктам задания, так и ссылочным требованиям. И если продукт соответствует ТЗ, эксперт может оценить, готово ли приложение к промышленному применению. Это довольно-таки распространенная проблема, когда формально все хорошо, а ничего не работает.
С экспертизами разобрались. А что по поводу информационной безопасности?
Ульянова Светлана: До этого мы вскользь затронули тему ИБ, когда говорили об аудитах и пентестах. Мы много работаем с финансовыми организациями: банками, страховыми компаниями, пенсионными фондами и пр. Мы в RTM Group создали одну из самых сильных команд аудиторов по требованиям Банка России.
Вы приводите примеры из вашей практики, но не совсем понятно, кто ваши клиенты? Это только финансовый сектор?
Ульянова Светлана: Аудиты мы, действительно, проводим в финансовом секторе – это любые финансовые организации: банки, некредитные финансовые организации, клиринговые центры, депозитарии и так далее. Развито направление работы с критической информационной инфраструктурой, в котором мы работаем как с финансовыми организациями, так и с промышленным сектором. В юридическом направлении, а также по вопросам персональных данных - приходят все. Кто-то внедряет ПО, кто-то хочет защитить свои авторские права, кто-то ведет сайт с уникальным контентом. Кстати, про сайты. Вы знаете, что сейчас практически у каждой организации есть свой сайт, где размещены пользовательское соглашение и политика обработки персональных данных? Так вот, большинство таких документов составлены некорректно, но об этом никто не знает. Ровно до того момента, пока компания не понесет убытки и не окажется в суде. Спросите себя: "Оно мне надо?". Ну, конечно, нет. А как этого избежать? Сделать все изначально грамотно.
Вы упомянули юридическое направление. Расскажите немного подробнее? Чем ваши юристы отличаются от других?
Ульянова Светлана: Третье наше направление - это как раз юридическое. Несколько лет назад Евгений сам придумал термин IT-юрист, который теперь используют даже в судебной практике - мы его не регистрировали, но с гордостью используем (смеется). Причем, когда люди слышат слово «IT-юрист», почему-то у них создается впечатление, что такие юристы работают исключительно с IT-компаниями. Это не так. IT-юристы работают именно по направлению IT: интеллектуальная собственность, товарные знаки, споры по выполнению IT-договоров на заказ, разработки программного обеспечения, тот же анализ уязвимости, анализ кода и так далее. Все эти вопросы интересуют любую организацию, а именно IT-юристы способны их решать. У наших юристов есть серьезное преимущество: они могут прийти к коллеге-эксперту и с ним проконсультироваться в любое время. Эксперт даст ему такие исчерпывающие знания, которые даже в судебной практике невозможно получить. Юрист переложит это на правовой язык и создаст либо юридическую схему для ИТ-проекта, либо сможет защитить интересы организации в суде. С момента запуска юридического направления мы в RTM Group начали объединять ИТ, право и информационную безопасность. Это очень связанные вещи, как оказалось.
А в чем основная ценность такого объединения?
Ульянова Светлана: Я на практике вижу, что если в команде одного проекта есть юрист, судебный эксперт и специалист по безопасности – результат окажется на порядок лучше. Можно сравнить с медициной, если вы заболели сложным заболеванием, вы предпочтете трех врачей одной квалификации или консилиум из трех врачей разной квалификации? На стыке трех направлений появляются уникальные услуги. Решаются задачи, которые не могут решить специалисты одной категории. Условно говоря, судебный эксперт помогает аудитору, аудитор помогает юристу, и наоборот. Так мы можем учитывать нюансы одного направления в другом.
Например, когда проводится аудит, мы смотрим глазами судебного эксперта.
Был случай, когда в ходе аудита одной из ключевых банковских систем мы обнаружили некорректно встроенную криптографию, плюс ко всему неизвестно чей генератор случайных чисел. Если, не дай бог, заказчик окажется в судебном процессе и эксперт увидит эту систему? Если об этом узнает ЦБ?
Благодаря объединению направлений мы можем провести экспертизу дистанционного банковского обслуживания на совершенно ином уровне. Если произойдет утечка данных - подтвердим или опровергнем факт внутренней утечки, что в дальнейшем будет использовано правоохранительными органами и судебной инстанцией. В случае инцидента, мы можем быстро провести внутренние работы и исследование. Если даже экспертизы проводили не мы, то сможем представлять интересы в суде.
Итак, у вас есть три направления, а планируете открывать что-то еще? Какие планы и цели вы ставите на будущее?
Ульянова Светлана: Пока нет. Мы активно развиваем текущие. Но опять же, если рынок изменится, то мы будем подстраиваться под него и наших клиентов. Я знаю точно – RTM Group будет развиваться и масштабироваться. Наша цель - донести до всего рынка и общества важность взаимосвязи между информационной безопасностью, правом и ИТ.
Спасибо. Надеюсь, что это интервью поможет достигнуть вам ваших целей.
Ульянова Светлана: Спасибо и вам.