«Принтеры — первая цель атаки хакеров»: как устроена работа кооператива для кибер­безопас­ников

В информационной безопасности Рустам оказался случайно, а к созданию кооператива шел всю жизнь.

Другие формы организации компании не подходили: герой этой истории хотел создать место, в котором прибыль будет распределяться в зависимости от трудового вклада участников. О том, что не так с ООО и другими классическими формами бизнеса, еще расскажем.

Кооператив, который возглавляет Рустам, называется RAD COP и оказывает комплексные услуги по информационной безопасности, как в области методологии и комплаенса, так и в инженерно-технических направлениях. Например, помогают выявить и устранить уязвимости в работе веб-приложений. Выручка в 2023 году была 50 млн рублей, а прибыль — около 9 млн рублей.

Это история о том, как корпоратив в доме с территорией в 16 гектаров и пятью Мерседесами помог Рустаму понять, что не так с капитализмом. И что, оказывается, можно развивать компанию без привлечения инвестиций.

Выгорел Рустам еще в школе и к моменту поступления в 2007 году просто хотел расслабиться и выбрал университет, в котором было бы легко учиться, параллельно занимаясь и другими делами, — поступил в Московский государственный университет геодезии и картографии.

Определиться со специальностью — организация и технология защиты информации, — помог отец, прикладной математик. Он оценил перспективы на ближайшие 20—30 лет. Тогда только появился закон о персональных данных и нарастал хайп вокруг безопасности этих данных — он предположил, что к моменту выпуска сына специалисты по информационной безопасности будут востребованы.

В университете было много свободного времени, на что Рустам его только не тратил: от скорочтения до философской литературы, включая книжки околомарксистcкой направленности и по системному анализу. После вуза не было мотивации работать, и он пошел в армию.

В 23 года после армии Рустам по знакомству устроился в центр обработки данных ФНС  на довольно скучную роль — администратором безопасности удостоверяющего центра. Он управлял правами доступа, выдавал токены и выпускал сертификаты. Но постепенно стал обрастать новыми задачами: настройкой прокси-сервера, управлением антивирусной защитой, разработкой внутренних нормативных документов, участием в проектах по интеграции средств защиты и так далее.

Со временем Рустам втянулся. Ему позволяли подключаться к новым задачам и обучаться, и за три года в ФНС он прошел путь от начинающего специалиста до заместителя начальника отдела.

В 27 лет, понимая границы государственной службы и особенности такой карьеры, герой решил попробовать что-то новое и начал искать вакансии в более динамичной, как ему тогда казалось, коммерции. Вариантов было много, в том числе его звали в банки и сырьевые компании, где зарплата была в полтора-два раза выше.

Но Рустам выбрал другой путь — и пошел на понижение зарплаты. Устроился консультантом в компанию Digital Security, потому что эта вакансия предполагала возможность научиться новому и расширить круг профессиональных возможностей. Он думал так: важнее не деньги и соцпакет в тот момент, а количество потенциальных ходов, которые можно совершить из занятой позиции. Как в шахматной партии.

Первые семь месяцев в Digital Security нужно было изучать английский язык, а затем сдать международные экзамены QSA-аудиторов в Барселоне. QSA  — это проверка на соответствие международному стандарту безопасности платежных карт, или PCI DSS  . Компания, в которую Рустам устроился, специализировалась именно на таких аудитах.

PCI DSS — это список требований, которым должна соответствовать компания, обрабатывающая платежные карты, чтобы удовлетворять требованиям систем. Это касается не только банков, но и всех, кто работает с электронными платежами, включая торговые точки и интернет-магазины.

PCI DSS считается одним из главных стандартов в мире информационной безопасности. Его поддержкой занимается специально созданная структура — совет PCI SSC. Именно этот совет выдает статус QSA-аудитора — независимого специалиста, который имеет право проводить проверку компании и выдавать документ, подтверждающий соответствие требованиям, под названием AOC  . Его нужно подтверждать ежегодно  .

Это добровольно-принудительная история: компания не обязана его получать, но участники рынка требуют друг от друга аттестат соответствия на основании правил международных платежных систем и их требований к своим участникам.

Все это лишь одна из многих ниш аудита и консалтинга в информационной безопасности в России. Некоторые фирмы вообще этим не занимаются. Они могут быть сосредоточены, например, на персональных данных или анализе защищенности веб-сайтов.

Работать можно внутри фирмы или извне. Внешние специалисты работают на проектной основе: проводят оценки соответствия по выбранным критериям, дают заключения и рекомендации. Внутренние специалисты работают на непрерывной основе, отвечают за безопасность организации каждый день. У них больше ограничений: бюджеты компании, внутренняя культура, коммуникация со смежными подразделениями. Первые больше похожи на спринтеров, вторые на марафонцев.

В аудите и консалтинге больше разнообразия, после завершения очередного проекта можно забыть о нем и расслабиться. Работа на стороне заказчика не имеет конца — это марафон, годы на построение и поддержания системы, которая будет функционировать и после увольнения сотрудника.

Так Рустам начал заниматься консалтингом и аудитами в сфере PCI DSS. Он мог без снижения качества делать три-четыре проекта параллельно. При этом 90% клиентов возвращались.

Герой считает, что в работе с клиентами тогда и сейчас ему помогает широкий кругозор, выработанный в университете, а также поставленная еще с детства склонность к системному мышлению и анализу.

Но в 2018 году бодрый взлет карьеры прервался: работодатель Рустама подпал под санкции США. У компании Digital Security отозвали лицензию QSA, которая позволяет делать PCI DSS аудиты. При этом у них был пул PCI DSS клиентов, которых все еще нужно было обслуживать, и были фирмы-конкуренты, которые сохранили QSA-лицензию.

Тогда они начали передавать старые проекты конкуренту и как аудиторы перенесли свои личные лицензии в эту фирму. Так у Рустама появилось два работодателя: второго назовем «компания с QSA-лицензией». Тем временем Digital Security решил развивать новые направления, связанные с отечественной регуляторикой, а герой стал руководителем направления этого консалтинга.

В конце 2018 года у Рустама в голове родилась концепция — диверсификация работодателей. Ему казалось, что если у работодателя много сотрудников, то будет справедливо, если у сотрудника будет много работодателей. Тогда никто не будет зависеть друг от друга и отношения будут справедливыми.

Примерно в то же время одна из дочерних структур ФНС позвала Рустама работать в качестве советника-консультанта. Ни от одного из работодателей он не скрывал, что совмещает несколько работ. Где-то работал по трудовой книжке, где-то по ГПХ, с 2020 года оформился как самозанятый.

К середине 2019 года Рустам получал в 2—3 раза больше среднего специалиста сопоставимой квалификации.

Так он проработал год. Но в 2019 году между Рустамом и его работодателями стали возникать напряженности. Новый работодатель хотел, чтобы он работал фултайм и брал больше проектов — обещал, что так герой будет зарабатывать больше.

Второй работодатель с QSA-лицензией пригласил Рустама с супругой на корпоратив к себе домой. Так получилось, что перед визитом они посмотрели фильм «Паразиты» Пона Джун-хо и были под сильным впечатлением от проблем неравенства. Герой с женой приехали: на территории в 16 гектаров стояли пять Мерседесов хозяина, дом, собственный скалодром. На веранде были разложены еда, напитки, кальяны, закуски. Прислуга в это время красила забор.

Рустам почувствовал, насколько нерационально устроен мир: люди просто оказались в нужном месте в нужное время. Хоть они и приложили некоторые усилия, но теперь по инерции обладают непропорционально большими возможностями в принятии решений и таким количеством активов, которые в реальности им не нужны. Под вечер подвыпившие хозяева пошли к пруду играть с собакой: погружали ее под воду и смотрели, как она выплывает. Жена расплакалась.

После этого Рустам уже был близок к созданию своего кооператива, но последним искушением была попытка войти к владельцам фирмы «в долю». В ответ на их запрос полностью перейти к ним он написал длинное письмо. В письме герой посчитал, сколько выручки приносит фирме в год — 25—30 млн рублей — и сколько за это получает — 3—4 млн рублей.

При этом он вел все свои проекты полностью сам, у него были шаблоны договоров, он мог составить коммерческое предложение, находил фирме новых сотрудников и даже «продавал» проекты. В конце письма Рустам предложил платить ему 25—30% от всего оборота, который он приносит, и 5—10% от оборота людей, которых он будет курировать. Указал, что хочет иметь доход в среднем от 500 000 до 1 млн рублей в месяц. Иначе не очень интересно работать на одном месте.

Работодатели удивились. Провели несколько вежливых, но напряженных встреч. В итоге они не приняли предложение Рустама — оказалось, что в доле есть неофициальные инвесторы, которые не хотят делиться своей маржой и пускать в компанию кого-то нового, даже ради перспективы роста оборотов.

К началу 2020 года Рустам выгорел и разорвал отношения со всеми работодателями.

Герой не думал, что будет дальше заниматься аудитами и консалтингом, и через месяц нашел инхаус-позицию. Он уже не был рядовым администратором информационной безопасности или обычным менеджером, а занимался внутренней проектной работой в интересах своего холдинга. Например, получал для фирмы лицензию ФСТЭК на ТЗКИ  . Или помогал юристам перед выходом на международные рынки соблюсти все требования местного законодательства по защите данных.

Но бывших аудиторов не бывает — после смены компании к Рустаму продолжили приходить бывшие клиенты и знакомые аудиторы, просили «пошабашить» на них. Так как в консалтинге люди работают более интенсивно, чем инхаус, у героя получалось быть на хорошем счету в новой фирме и успешно справляться со сторонними задачами. А тут еще подоспел COVID и удаленная работа. Со временем фрилансерских заказов становилось все больше. На пике, в 2021 году, его доход перевалил за 800 000 ₽ в месяц.

Когда заказов стало слишком много, Рустам начал искать других специалистов из консалтинга, готовых к фрилансу.

В основном они работали с генподрядчиками, которые передавали субподряды, то есть трудились под их лицензиями, но уже в статусе «вольных фрилансеров». Тогда на субподряде у команды Рустама было 95% проектов. Параллельно на них выходили клиенты, которые хотели быть их прямыми заказчиками, без работы через посредников.

Герои поняли, что их работа может масштабироваться дальше. Тогда Рустам предложил создать юрлицо. Оно позволило бы сформировать бренд и самостоятельно получить все необходимые лицензии, чтобы больше не зависеть ни от кого.

А еще непрозрачные схемы изъятия денег, которые консультанты приносили в пользу собственников. Это была одна из главных проблем в карьере Рустама.

Понятно, что все зависят от рынка и клиентов. Но организация, которую команда делает сама, на свои деньги, которая растет органически и в которой можно выбирать, с кем и на каких условиях работать, — это не то же самое, что работать в найме или делать бизнес с инвестиционными партнерами, от которого все ждут прибыли. И где есть влиятельные голоса других сторон, не участвующих непосредственно в производстве.

Рустам не видел смысла просто вводить эти принципы на уровне корпоративной культуры, как это происходит в обычных «бирюзовых» организациях.

Поэтому герои решили создавать именно производственный кооператив. Он отличается от ООО в первую очередь тем, что члены кооператива должны лично работать и вносить трудовой вклад в организацию, а не жить на ренту. Учредители ООО или АО, напротив, могут пассивно получать деньги за счет работы других людей, пропорционально чисто финансовому вкладу.

Но у кооперативов в нашей стране сложилась негативная репутация: в конце 80-х через них отмывали деньги, разворовывали государственную собственность, спекулировали. Кроме того, кооператив ассоциируется с сельским хозяйством, СССР, дачными, гаражными и строительными кооперативами — для некоторых от этого слова веет нафталином. Хотя за рубежом — в скандинавских странах, США, Великобритании, Азии, Южной Америке — такие формы весьма популярны.

Для создания кооператива команде нужно было понять, как он будет работать на практике. И к сложности создания бизнеса еще добавилась проблема создания сообщества.

Поэтому в 2021—2022 годах команда занималась исследованием альтернативных форм. В частности, они организовали первую конференцию Coop-Days в ноябре 2021 года, посвященную самоуправлению в ИТ и ИБ, и присоединились к уже существующей — «Цифровой социализм» от Агентства стратегических инициатив. Первую Coop-Days Рустам финансировал из личных сбережений, она обошлась примерно в 500 000 ₽.

Они также изучили реальные организации, которые внедряли у себя самоуправление. Например, в январе 2022 года с будущими пайщиками ездили в Краснодар, где встречались с компанией по разработке ПО Raketa  . Это одна из «бирюзовых» компаний — то есть организация без жесткой иерархии, основанная на принципах самоорганизации и доверия.

В этой поездке команда — те самые десять фрилансеров — обсудили, кто готов стать пайщиком, то есть участниками кооператива, и работать в нем. Некоторые все еще оставались на основной работе, поэтому чисто юридически не могли стать участниками кооператива, другие принимали мало участия в работе. В итоге все вместе выбрали первых пайщиков. Уже тогда решили, что состав пайщиков будет регулярно переизбираться — в зависимости от трудового вклада каждого.

В июне 2022 года герои провели еще одну конференцию: она обошлась в 1 млн рублей. Через месяц зарегистрировали производственный кооператив «РАД КОП», который оказывает услуги в области информационной безопасности. Шесть человек стали пайщиками и заплатили паевые взносы, каждый также занимается проектами наравне с остальными сотрудниками и получает за это зарплату.

Рустам получил 98% уставного капитала — это признательность коллектива за вложенные деньги, без которых они бы просто не смогли перевести часть специалистов на фултайм-работу в кооперативе, провести нужно количество конференций и встреч. И дополнительная гарантия стабилизации управления на первом этапе жизненного цикла компании. Всего с января 2021 года по февраль 2023 года Рустам вложил в компанию больше 10 млн рублей.

К моменту запуска не было практически ничего: консалтинг может работать полностью на удаленке, герои сделали компанию без офиса и собственного оборудования. В августе 2022 года они купили серверы на сумму примерно 500 000 ₽. К сентябрю запустили облачное хранилище на базе программ с открытым исходным кодом Nextcloud для хранения конфиденциальной информации, а также привлекли системных администраторов.

С момента открытия RAD COP продвижение услуг строится в основном на Рустаме, потому что в маленькой компании, тем более консалтинговой, многое зависит от личностей. Он выстраивает отношения с генподрядчиками, которые дают заказы, и активно выступает на конференциях как лицо компании. Часто кооператив и сам проводит мероприятия, например Coop-Days прошла уже три раза.

Этими конференциями кооператив, с одной стороны, выстраивает доверительные отношения с клиентами, чтобы после выполненного заказа они не просто не забыли про RAD COP, а возвращались. С другой — создает комьюнити, работает на участников кооперативного движения. А с третьей стороны — внешние специалисты могут стать в будущем представителями клиентов.

По итогам 2022 года в кооперативе было шесть штатных специалистов и 2,4 млн рублей выручки. Большинство проектов все еще получали на субподряде, так как не было собственной лицензии.

С самого начала у команды сформировалось три категории услуг:

1. Комплаенс и методология.
2. Анализ защищенности, техника и инженерия.
3. Аутсорсинг информационной безопасности.

В рамках комплаенса команда разрабатывает для компании нормативные документы и проверяет, соответствуют ли системы и процессы заказчика требованиям различных гостов, законов и регуляторов. Они также помогают компании подготовиться к проверкам регуляторов или партнеров и полностью сопровождают процесс, в том числе сами говорят с проверяющими. С такими проверками к компании-клиенту могут прийти Роскомнадзор, ФСТЭК, ФСБ, Банк России и другие.

Во вторую категорию входит, например, тестирование защищенности. То есть команда пытается «взломать» системы заказчика извне всевозможными способами, в том числе методами социальной инженерии: получить доступ к системам через сотрудников. Например, отправляют письма с замаскированными ссылками, которые ведут во внутренние системы. Сотрудник может перейти по ссылке и ввести свой пароль, а может вовремя понять, что это хакерская атака.

В офисах компаний обычно есть сетевые принтеры — они подключены к локальной сети, поэтому к нему может подключиться любой компьютер из офиса и отправить в него документ на печать. Сотрудники подключаются к нему через свои учетные записи, и очень часто эти принтеры оказываются незащищенными. Иногда для этого даже не нужны особые инструменты — принтеры раздают вайфай без пароля, и через них можно войти в защищенную сеть.

Кроме того, в некоторых принтерах настроена печать документа в папку. Для того чтобы сохранять документы в папку, нужны некоторые права на уровне пользователя. Компания взламывает принтер, получает из него учетные данные сотрудников, с помощью которых затем можно проникнуть в их компьютеры и дальше развивать атаку в корпоративной сети. Поэтому принтеры чаще всего являются основной целью для первоначальной атаки злоумышленников. Лакомый кусочек, так сказать.

На одном из проектов кооператива проверяли сервис для приема платежей. Для регистрации требовалось ввести код, который приходил на почту. Проблема была в том, что этот код состоял всего из четырех цифр, что очень небезопасно. Никакой защиты от перебора кода не было, так что злоумышленник мог бы попробовать все возможные комбинации и войти в учетную запись. Они смогли зарегистрироваться, используя почту на домене компании, к которой они фактически не имели доступа. Его можно использовать для фишинговых атак.

Третья категория — аутсорсинг информационной безопасности. Это подписка на работы первой и второй категории на регулярной основе. Сейчас у кооператива пять компаний-подписчиков.

Прибыли по итогам 2022 года практически не было, и Рустам все еще продолжал финансировать компанию из личных сбережений. В январе 2023 года они сняли офис, который был нужен для получения лицензии ФСТЭК. Ее команда получила через два месяца, в марте 2023 года.

Получение лицензии позволило расширить количество клиентов, работать с ними напрямую и перестать финансировать компанию из личных средств. За 2023 год в кооперативе закрыли 60 проектов — и только 20—30% из них получили через субподряд.

Сейчас они тратят в месяц около 3 млн рублей, но бывают и колебания. К концу года в команде было восемь специалистов на полной занятости и около 35 человек на фрилансе. Годовая выручка — 50 млн рублей, а прибыль — около 9 млн рублей. 2 млн рублей из них распределили поровну между пайщиками, а остальные отложили в качестве финансовой подушки компании.

2022 и 2023 годы показали, что производственный кооператив может быть экономически успешным. Компания вышла на прибыль, начала конкурировать с компаниями, которые много лет работают на рынке, некоторые клиенты стали переходить к ним.

Оказалось, что можно развивать компанию без привлечения инвестиций и что на рынке есть место для небольших консалтинговых фирм: рынок постоянно растет. Если 30 лет назад информационная безопасность включала в себя только защиту подключенных к интернету устройств, то затем «защищать» пришлось не только устройства, но и виртуальные среды. Сейчас развивается ИИ, биотех, нанотехнологии. И к каждой «прилипает» необходимость в защите от стороннего проникновения.