Агринский Николай Михайлович
Николай родился 12 июня 1981 года. В 2004 году окончил Московский авиационный институт (МАИ) по специальности «Радиоэлектронные системы». С 2008 по 2014 годы прошёл путь от технического эксперта, руководителя экспертной группы и до руководителя отдела консалтинга в Softline, в течение которого сформировал и вывел на рынок услуги по консалтингу в области ИБ.
В 2014 году стал основателем и акционером компании ТЦ «Инженер», в 2015 году — компании-разработчика автоматизированной системы тестирования и обучения сотрудников в области ИБ «Фишман» (Phishman). До июля 2016 года являлся управляющим директором (CEO) Phishman. В ноябре 2021 года был назначен на должность директора компании Infosecurity a Softline Company, которая является специализированным сервис-провайдером, оказывающим услуги в сфере информационной безопасности, системной интеграции и консалтинга.
Мы поздравили Николая Агринского с назначением на должность генерального директора компании Infosecurity a Softline Company и расспросили его о современных проблемных задачах, стоящих перед лидером в сфере комплексных высокотехнологичных проектов. В интервью Николай поделился своим видением перспективы развития российского рынка кибербезопасности в свете происходящих сейчас в стране изменений и рассказал о том, как вверенная ему компания адаптируется к новым политико-экономическим реалиям.
Николай, рады приветствовать вас в студии AM Live. Хотим сразу поздравить вас с назначением на должность генерального директора компании Infosecurity a Softline Company. Сколько месяцев вы уже в новой должности?
Н. А.: С конца ноября, уже практически четыре месяца.
Мы знакомы уже давно, но для наших зрителей расскажите, чем вы занимались до Infosecurity и каким был ваш трудовой путь за последние несколько лет.
Н. А.: На текущий момент у меня получается очень интересная биография. Можно сказать, что я всю жизнь работал в Softline. Я пришёл в Softline инженером, развивался там как инженер, потом — как консультант, потом — руководитель группы, а затем дорос до руководителя отдела. Мы занимались консалтингом по информационной безопасности, далее был бизнес-консалтинг.
После этого я ушёл заниматься собственным бизнесом. Как раз тогда появилась компания «Инженер», которая занималась высококачественным сложным консалтингом, в первую очередь в информационной безопасности.
В этом году состоялась сделка, в результате которой компания «Инженер» вошла в ГК Softline. Теперь можно сказать, что я всю свою жизнь проработал в Softline.
А что сейчас происходит с компанией «Инженер»? Она перестала существовать как самостоятельная единица? Или она стала департаментом внутри Infosecurity a Softline Company?
Н. А.: Как компания «Инженер» остаётся юридическим лицом, она развивается. Сейчас, если чуть упростить, наша структура выглядит следующим образом. В группе компаний Softline есть управление по информационной безопасности, в которое входят различные составляющие: это департамент информационной безопасности самой Softline, компания Infosecurity, генеральным директором которой я сейчас являюсь, и компания «Инженер».
В целом это — три отдельных юридических лица, но при этом внутренне мы все работаем как единая команда, единая компания. Могут быть такие проекты, где часть людей приходит из департамента ИБ Softline, часть — из Infosecurity, часть — из «Инженера».
Более того, сейчас, по прошествии времени, у нас таких проектов становится всё больше. Это очень удобно, потому что есть различная загрузка, различные тематики, и это даёт сотрудникам возможность профессионально расти, развивать новые направления и переходить между разными проектами, что имеет очень большую ценность.
Со стороны заказчика это всё равно будет «одно окно», то есть он может обратиться в компанию Infosecurity a Softline Company, а затем она через другие компании «подтянет» нужных людей?
Н. А.: Неважно, пришёл ли он в Softline, в Infosecurity или в «Инженер»: нужные компетенции, продукты и сервисы могут быть «подтянуты» из любой точки группы.
ГК Softline больше фокусируется на ИТ: облака, продажи ПО и так далее, а ИБ занимает совсем небольшую часть в структуре деятельности компании. Насколько сама тема и направление информационной безопасности важны для ГК, которая уже стала публичной?
Н. А.: Информационная безопасность — одна из ключевых точек нашего развития. В развитие этого направления сейчас вкладывается очень много ресурсов. К тому же все эти виды деятельности тесно связаны. Помимо облаков мы предоставляем и помощь в их защите, как внутри, так и для хранения сервисов заказчика. Всё это тесно переплетено, и отделять эти функции, как куски, друг от друга не стоит.
Если взять в целом количество людей, которые у нас занимаются именно информационной безопасностью, то это — более 300 человек. Это очень серьёзный коллектив, который может решать любые задачи.
При этом, если проанализировать структуру клиентской базы, среди клиентов Infosecurity, департамента ИБ Softline и компании «Инженер» окажутся многие компании России, включая топ-100. Речь идёт не только о приобретении, например, продуктов по информационной безопасности. Очень востребованны наши инженерные услуги, сервисы и консалтинг. Предмет нашей особой гордости — это осведомлённость, awareness.
Существует стереотип, что есть компании сервисные, которые ориентированы на предоставление набора услуг, а есть компании, которые специализируются на проектной работе. Infosecurity a Softline Company — это больше сервисная компания или всё-таки классический интегратор с набором проектов?
Н. А.: Любой сервис может начинаться с определённых проектов. Сервис может быть некой услугой, а может быть и последовательным выполнением ряда проектов для решения конкретного запроса. Такое выполнение, а также возможная поддержка его результата, — это одновременно и сервис, и проекты. Поэтому я не стал бы проводить такое разделение.
У нас есть всё для решения задач наших клиентов.
Мы располагаем большой продуктовой линейкой и отличной экспертизой в технической и консалтинговой областях. У нас есть желание и возможность развивать даже принципиально новые направления, которые только-только появляются.
Наша цель — решить проблему. Если её можно решить сервисом — отлично; если же есть возможность сделать проект — замечательно, давайте посмотрим, как это сделать с помощью проекта.
Мы не хотим быть компанией, которая продаёт продукты. Мы — компания, которая продаёт решения проблем.
Наш фокус — это именно решение проблемы. Способы могут быть разными.
Если говорить о ваших самых приоритетных направлениях внутри информационной безопасности, то что здесь можно выделить?
Н. А.: Я бы выделил осведомлённость и сложный консалтинг. В команду Infosecurity пришли новые специалисты из «Инженера», и теперь уровень квалификации наших сотрудников позволяет решать даже нетиповые задачи. Есть проекты, которые очень сложны, но они понятны — например, подготовка к 187-му Федеральному закону о КИИ.
В то же время могут быть проекты, которые никогда раньше не делались. Возьмём, к примеру, систему управления осведомлённостью пользователей. При этом речь идёт о разработке такой системы не в виде курсов или платформы, а как некого аналога ГОСТа или стандарта, переделанного под конкретную задачу. Здесь уже затронуты вся процессная часть, анализ рисков, привязанная социальная инженерия и так далее.
Другой пример нетиповой задачи — это разработка методик количественной оценки рисков под конкретного заказчика с применением сложных математических моделей, в том числе имитационного моделирования или дифференциальных уравнений.
При этом существуют и типовые задачи: система управления ИБ, анализ рисков, разработка стратегии ИБ, стратегии миграции с одних устройств на другие при сохранении и замене функциональности, а также комплаенс — тема очень актуальная в нашей стране. Сюда же относится консалтинг в разработке методик сравнения различных устройств с использованием знаний в области системного анализа.
Как я уже говорил, у нас собралась очень сильная команда, и в ней сейчас 30–35 высококлассных консультантов, а это — серьёзный пул.
Отдельно расскажу о нашем продукте ETHIC. Это — автоматизированный комплексный инструмент, и его можно приобрести и как лицензию, и как сервис. Он содержит 12 модулей, и ещё один модуль сейчас находится в разработке.
Этот продукт обеспечивает защиту компании от различных цифровых угроз в интернете. Сервис автоматически мониторит сеть и выявляет фишинговые домены, поддельные аккаунты компании в социальных сетях, объявления, которые могут содержать негативную информацию о заказчике, а также фейковых продавцов на маркетплейсах.
Кроме того, осуществляется анализ различных ресурсов, в том числе даркнета, телеграм-каналов и закрытых чатов, в которых могут обнаружиться утечки конфиденциальных данных организации, скомпрометированные корпоративные учётные записи сотрудников. C помощью нашего решения можно мониторить информационное пространство для выявления маркеров цифровых угроз, проверять контрагентов на предмет ранее осуществлённых махинаций и фиктивных сделок.
Таким образом, ETHIC — наш отдельный продукт, и мы его активно развиваем. У некоторых из наших конкурентов, я знаю, есть аналогичные услуги, но мы здесь очень сильны, и это — одно из наших ключевых направлений.
Две недели назад у нас как раз был эфир на AM Live на тему цифровых рисков и защиты репутации в сети.
Н. А.: Это сейчас — одно из стратегических для нас направлений. Сейчас мы меняем стратегию в отношении SOC. До какого-то момента у нас было только продвижение своей платформы, и мы фактически стали заложниками ситуации, продавая не решение проблемы, а только сам продукт. Поэтому сейчас мы продолжаем разработку своей платформы, но параллельно с этим переносим свою экспертизу также и на ряд вендорских решений.
Таким образом, у нас сейчас есть возможность предоставлять этот сервис как на своей платформе, так и в виде гибридного SOC, когда крупная часть, например SIEM, находится у клиента. Мы также можем вообще всё передать клиенту и просто помогать в управлении. Так появляется дополнительный проект — SOC-консалтинг или плейбуки, когда мы помогаем перенести в существующий SOC клиента свою экспертизу.
В итоге, если наш клиент хочет получить сервис, он получает сервис; если он хочет получить настроенный SOC и помощь в управлении, он получает именно это; если ему нужно помочь спроектировать SOC у него, на нашей платформе или на чужой, — с этим мы также готовы помочь.
Ключевым моментом является то, что мы не хотим конкурировать с вендорами аналогичных решений. Основная цель — это симбиоз: мы хотим работать и развивать этот сервис совместно с вендорами, а не противопоставлять себя им.
Раньше у Infosecurity a Softline Company был свой коммерческий SOC, который они продавали, то есть фокус был именно на этой модели.
Н. А.: Да, и у нашей системы, несомненно, есть свои плюсы: мы можем более гибко подходить, например, к цене в ИБ-сервисе. С другой стороны, есть ряд вендорских решений, у которых есть свои преимущества, и мы их используем.
Наша главная особенность — это развитие экспертизы и аналитики.
Сейчас мы тестируем целый ряд продуктов и смотрим, как из этого конструктора можно «лепить» любые конфигурации; какие могут быть ограничения, или, наоборот, бонусы.
Расскажите теперь, пожалуйста, более подробно о направлении Security Awareness. Был сервис Phishman, я думаю, многие его знают, у нас на эту тему есть обзор. Если я правильно понимаю, это — лишь малая часть того, что можно сделать?
Н. А.: Phishman — это отдельная компания, которая занимается разработкой платформы, и фокус здесь приходится на усиление и разработку платформы автоматизации, связанной с выявлением вредоносной активности. При этом речь идёт не только о фишинге. Сейчас есть очень хорошие наборы правил, которые позволяют на различных событиях настраивать траектории обучения. Но это — именно платформа. А если взять то, чем занимается компания «Инженер», то речь как раз пойдёт о разработке обучающих материалов различного типа.
И здесь мы уже говорим об экспертных навыках наших методистов, дизайнеров и разработчиков курсов. Это — команда, которая в «Инженере» суммарно насчитывает 25 человек и всё ещё расширяется, причём не считая экспертов, то есть тех, кто имеет максимальную необходимую квалификацию по тем или иным направлениям.
Таким образом, разработка обучающих материалов — это целое отдельное направление, и сейчас работа организована по конвейерному принципу. Есть эксперты, которые выстраивают некий «сырой» материал. Дальше за дело берутся методисты, которые заключают его в стройный формат. Это может быть просто рассказ, а могут быть некие игровые ситуации или сторителлинг.
Параллельно с этим создаётся дизайн. У нас был проект, в котором стояла задача разработать достаточно большой объём учебных электронных материалов по безопасности. Для того чтобы не получать в последний момент запрос на переработку, а также для максимального комфорта клиента мы сделали полный брендбук безопасности, куда входили слоган и логотип службы безопасности, а также полное описание того, какие могут быть курсы, какие шрифты и цвета должны использоваться, какие плакаты, скринсейверы и заставки, какой должна быть панель навигации и как они все должны размещаться.
В итоге наш заказчик получил брендбук, который в дальнейшем можно использовать при работе как с нами, так и с любыми другими разработчиками курсов. В брендбуке уже всё прописано, и в дальнейшем по нему делались курсы, включая статьи и плакаты с собственной фотосъёмкой и обработкой. Это был целый комплекс услуг, и сейчас мы можем параллельно делать пять–семь таких потоков.
Этот продукт находится в премиум-сегменте и очень востребован среди наших клиентов. Если провести сравнение с машиной, то это уровень Mercedes и Porsche. И хотя прямо сейчас мы пока ещё не можем претендовать на уровень Rolls-Royce, над этим мы тоже работаем.
Хочется отметить ещё один важный момент. Такой подход позволяет делать всё задавая минимум вопросов. Нашим специалистам не нужно несколько раз обращаться к заказчикам, чтобы что-то прояснить или что-то попросить. Всё это мы берём на себя и представляем несколько вариантов дизайна. Таким образом, всё, что требуется от заказчика, — приготовить ТЗ и потом просто принять результат. Можно уверенно назвать это «шестизвёздочным» сервисом.
В последнее время всё чаще и шире используются приёмы социальной инженерии. Существуют различные векторы, выходящие за рамки привычного для нас фишинга. Насколько это усложнило задачу подготовки такого рода курсов, чтобы комплексно охватить проблему?
Н. А.: В нашем активе — порядка 60–70 различных тематик, по которым мы сделали учебные материалы. Среди них есть базовые, такие как парольные политики, антивирусы, фишинг и правила поведения физических лиц. Кроме этого, у нас есть большое количество курсов по КИИ, притом под разные отрасли: аэропорты, производство, металлургия, финансы.
Параллельно с этим у нас есть подходы, которые позволяют оценивать риски именно социальной инженерии. Так, порядка 50 микрокурсов привязаны к гранулярным системам или важным для компании точкам. Здесь работа ведётся по траекториям, потому что если раньше у нас было 5–10 курсов, то сейчас — 50 микрокурсов. Наши пользователи — очень занятые люди, и их нельзя надолго отрывать от дел, поэтому траектории могут подстраиваться под задачу. Например, в случае когда у сотрудника изменился статус и связанные с ним риски, для него будут подобраны те курсы, которые сейчас для него важны.
В течение нескольких лет разрабатывается отдельное направление, связанное с психологией обучения. Все люди по-разному воспринимают обучение. Кому-то нужно больше анимации, а кому-то нужно больше читать; кому-то нужен курс, кому-то нужна статья. Эти подходы и модели исследованы в теории обучения, и сейчас мы изучаем возможности их имплементации в Security Awareness.
Мы создаём специальные алгоритмы, которые позволят нам выявить потребности людей в обучении и подобрать именно ту подачу материала, которая им подходит. Например, тема «Анализ рисков» может быть разработана в формате курса, статьи или опросника.
Человеку надо дать именно то, что позволит ему обучиться.
Если мы просто сделаем один курс на всех, 60–70 % его воспримут хорошо, 10 % — с трудом, а ещё 10–15 % не воспримут вообще.
Сейчас мы проводим очень много исследований в этой сфере, и в свете большого количества тематик, которые мы предлагаем, развитие методов социальной инженерии уже не выглядит столь устрашающим.
Сегодня у нас был эфир по теме промышленной кибербезопасности. Существует ли сейчас какая-либо программа Security Awareness специально для промышленных предприятий?
Н. А.: Да, такие тематики есть. Есть также и другие, например SDLC.
Давайте поговорим теперь об управлении рисками. Эта тема не пользуется пока в России массовым спросом и признанием, притом что управление рисками — краеугольный камень понимания пользы информационной безопасности для бизнеса. Каковы перспективы развития этого направления внутри компании Softline?
Н. А.: Мы считаем это направление очень перспективным и сейчас плотно его развиваем. Оно может быть интересно с разных сторон. Например, с точки зрения обоснования затрат, когда методы оценки качества уже не очень результативны.
Ещё одна интересная сфера применения — страхование киберрисков. В компании «Инженер» накоплен большой опыт количественного анализа рисков, а у Infosecurity есть очень хорошая практика связанная с форензикой, и совмещение этих направлений в итоге даёт новое, связанное с защитой от киберрисков.
Кроме того, с рядом своих партнёров мы разрабатываем ещё одно направление. По аналогии с программой 1С, у которой есть конфигурации, мы выстраиваем такую же модель с IRP-системами. Мы сейчас делаем свою конфигурацию IRP-системы под имеющиеся в ней процессы, в том числе и с анализом рисков, и с возможностью применения. Компании, которые пользуются IRP-системой, могут докупить эту конфигурацию. Мы аккумулируем свои знания в этой конфигурации, в итоге получая автоматизацию.
Сейчас существуют две основных проблемы с рисками. Одна из них — это автоматизация, а вторая связана с получением значений численных вероятностей. И здесь у нас тоже есть успехи. Мы нашли способ, при помощи которого можно обойти ограничение статистики, которое господствует над всеми нами.
Если не секрет, с какими IRP-системами вы сейчас работаете?
Н. А.: У нас была возможность сравнить между собой различные системы. Моё экспертное мнение таково: пока самая гибкая из них — это Security Vision.
Сколько человек в ГК Softline сейчас занимаются безопасностью?
Н. А.: Больше трёхсот. Среди них 200–250 человек занимаются производством, и ещё большая группа сотрудников занимается продуктовыми вопросами: это продажи, технические решения.
В последние полгода тема кадрового голода приобрела особую остроту. Как вы решаете кадровую проблему?
Н. А.: Я наблюдаю эту проблему уже два года. Мы — в постоянном поиске специалистов, коллег, которые хотят развиваться, расти. С другой стороны, внутри ГК Softline большим подспорьем является система дополнительной мотивации.
Ещё в то время, когда я занимался своим бизнесом, я всё время задавался вопросом, как вовлечь сотрудников, сделав это безболезненно для компании и себя как акционера. Как вовлечь их в ситуацию, когда они будут владеть кусочком компании, и эта возможность станет дополнительной мотивацией, финансовой и нефинансовой?
Руководство ГК, мои коллеги, нашли очень элегантное решение этой задачи. Эта дополнительная мотивация связана с акциями компании и позволяет при определённых условиях получить бонус, который в полтора-два раза увеличит доход сотрудника.
В этом — одно из преимуществ публичных компаний?
Н. А.: Я не знаю, преимущество ли это публичных компаний, но в данном случае оно используется по максимуму, и как сотрудник компании могу сказать, что это очень выгодно, причём обеим сторонам. Такое решение интересно и для сотрудников, и для работодателя.
Передо мной лично сейчас стоит задача разработать последовательность шагов развития сотрудника внутри компании. Речь идёт об очень чётком понимании возможностей развития и роста.
И, конечно, мы занимаемся привлечением и обучением молодых сотрудников.
Таким образом, можно сказать, что кадровый голод действительно есть, но также есть и много талантливых специалистов внутри. И если нам не удаётся прямо сейчас найти очень нужного специалиста, есть возможность достаточно быстро обучить молодых ребят и довести их до того уровня, который нам необходим. Проблема есть, решение есть — надо просто работать.
Если говорить о будущем, можно ли анонсировать какие-то новые направления или услуги, которые сейчас разрабатываются?
Н. А.: Сейчас мы покрываем достаточно большое количество тематик и сервисов. При этом моя задача — добиться, чтобы то, что сейчас делается на «хорошо», делалось бы на «отлично». Сейчас, когда мы повсеместно наблюдаем, как многие проекты и сервисы делаются на «троечку» — так, что их можно было бы сделать намного лучше, — я хочу, чтобы мы были отличниками.
На рынке у нас все друг друга знают, и наша основная задача — делать лучше, чем кто-то другой.
Я вижу перед собой перфекциониста!
Н. А.: Когда компания «Инженер» только начинала свою работу, одним из наших направлений было внедрение стандарта DIN 27201. И я хорошо помню, каково это, когда у тебя спрашивают, какой у тебя опыт, а у тебя опыта ещё нет, потому что ты только начал работать. Вы умеете это делать как специалисты, но у вас нет опыта, и как конкурировать на рынке со всеми остальными, у кого он уже есть? Ответ: за счёт качества. Каждый наш проект заканчивался рекомендацией. За счёт такого подхода, например, по стандарту DIN 27201 «Инженер» 2–3 года назад стал делать больше проектов, чем все остальные компании в России вместе взятые. Количество проектов, связанных с этим стандартом, измерялось десятками в год.
Если же говорить в целом, то у нас большой объём направлений и нам нужно его поддерживать. Мы не можем выбрать какую-то одну узкую нишу.
За последние несколько недель в стране и на рынке всё очень изменилось. С вашей точки зрения, как ускоренное импортозамещение повлияет на рынок информационной безопасности в реалиях новой политико-экономической ситуации? И как на это отреагирует Softline?
Н. А.: Я могу сказать только следующее: у нас есть клиенты, а у них есть задачи. И у нас есть все инструменты, чтобы эти задачи решить.
У нас не бывает ситуаций, когда мы не знаем, как решить проблему заказчика.
Большое спасибо за содержательное и подробное интервью! Удачи!